練習 - 建立 Microsoft Sentinel 劇本
此課程模組中的<建立 Microsoft Sentinel 劇本>練習是選擇性單元。 不過,如果您想要執行此練習,便需要存取能夠建立 Azure 資源的 Azure 訂用帳戶。 如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
若要部署練習的先決條件,請執行下列工作。
注意
請注意,如果您選擇執行此課程模組中的練習,您的 Azure 訂用帳戶可能會產生費用。 若要預估成本,請參考 Microsoft Sentinel 價格。
工作 1:部署 Microsoft Sentinel
選取下列連結:
系統會提示您登入 Azure。
在 [自訂部署] 頁面上,提供下列資訊:
Label 描述 訂用帳戶 選取 Azure 訂閱。 資源群組 選取 [新建],並提供資源群組的名稱,例如 azure-sentinel-rg。區域 從下拉式功能表中,選取要部署 Microsoft Sentinel 的目標區域。 工作區名稱 提供 Microsoft Sentinel 工作區的唯一名稱,例如 <yourName>-Sentinel,其中 <yourName> 代表您在上一個工作中選擇的工作區名稱。位置 接受 [resourceGroup().location] 的預設值。 Simplevm 名稱 接受 simple-vm 的預設值。 Simplevm Windows OS 版本 接受 2016-Datacenter 的預設值。 
選取 [檢閱 + 建立],然後在驗證內容之後選取 [建立]。
注意
等待部署完成。 部署應該不到五分鐘即可完成。
工作 2:檢查建立的資源
在 [部署概觀] 頁面上,選取 [前往資源群組]。 您自訂部署的資源會隨即出現。
選取 [首頁],然後在 [Azure 服務] 下,搜尋並選取 [資源群組]。
選取 [azure-sentinel-rg]。
依類型排序資源清單。
資源群組應該包含下表所示的資源。
名稱 類型 描述 <yourName>-SentinelLog Analytics 工作區 Microsoft Sentinel 使用的 Log Analytics 工作區,其中 <yourName> 代表您在先前工作中選擇的工作區名稱。 simple-vmNetworkInterface網路介面 用於 VM 的網路介面。 SecurityInsights(<yourName>-Sentinel)解決方案 適用於 Microsoft Sentinel 的安全性見解。 st1<xxxxx>儲存體帳戶 虛擬機器所使用的儲存體帳戶。 simple-vm虛擬機器 用於示範的虛擬機器 (VM)。 vnet1虛擬網路 用於 VM 的虛擬網路。
注意
在此練習中部署的資源與完成的設定步驟,都是下一個練習中的必要項目。 如果您想要完成下一個練習,請不要刪除此練習的資源。
工作 3:設定 Microsoft Sentinel 連接器
在 Azure 入口網站中,搜尋 Microsoft Sentinel,然後選取先前建立的 Microsoft Sentinel 工作區。
在左側功能表的 [Microsoft Sentinel | 概觀] 窗格中,向下捲動至 [內容管理],然後選取 [內容中樞]。
在 [內容中樞] 頁面中,在 [搜尋] 表單中輸入 Azure 活動,然後選取 Azure 活動解決方案。
在 [Azure 活動解決方案詳細資料] 窗格中,選取 [安裝]。
在中央 [內容名稱] 資料行中,選取 [Azure 活動資料] 連接器。
注意
此解決方案會安裝這些內容類型:12 個分析規則、14 個搜捕查詢、1 個活頁簿和 Azure 活動資料連接器。
選取 [開啟連接器頁面]。
在 [指示/設定] 區域中,向下捲動並在 [2. 連線您的訂用帳戶...] 下選取 [啟動 Azure 原則指派精靈]。
在精靈的 [基本] 索引標籤中,選取 [範圍] 底下的省略符號 ...。 在 [範圍] 窗格中,選取您的訂用帳戶,然後選取 [選取]。
選取 [參數] 索引標籤,然後從 [主要 Log Analytics 工作區] 下拉式清單中選擇您的 Microsoft Sentinel 工作區。
選取 [補救] 索引標籤,然後選取 [建立補救工作] 核取方塊。 此動作會將原則指派套用至現有的 Azure 資源。
選取 [檢閱 + 建立] 按鈕以檢閱設定,然後選取 [建立]。
注意
Azure 活動的連接器會使用原則指派,您必須具備可讓您建立原則指派的角色權限。 而且,通常需要 15 分鐘才會顯示 [已連線] 的狀態。 在連接器部署時,您可以繼續執行此單元以及此課程模組中後續單元的其餘步驟。
工作 4:建立分析規則
在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel],然後選取先前建立的 Microsoft Sentinel 工作區。
在 [Microsoft Sentinel] 頁面的功能表列上,選取 [設定] 區段中的 [分析]。
在 [Microsoft Sentinel | 分析] 頁面上,選取 [建立],然後選取 [NRT 查詢規則 (預覽)]。
在 [一般] 頁面上,提供下表中的輸入,然後選取 [下一步: 設定規則邏輯 >]。
Label 描述 Name 提供描述性名稱 (例如刪除虛擬機器),以說明警示會偵測哪種類型的可疑活動。 描述 輸入詳細的描述,協助其他安全性分析師能夠了解規則的作用。 策略和技術 從 [策略和技術] 下拉式功能表中,選擇 [初始存取] 類別,以根據 MITRE 策略來將規則分類。 嚴重性 選取 [嚴重性] 下拉式功能表,以將警示的重要性層級分類為下列四個選項之一:[高]、[中]、[低] 或 [資訊]。 狀態 指定規則的狀態。 根據預設,狀態為 [啟用]。您可以選取 [停用],以在規則產生大量誤判為真的情況下將其停用。 在 [設定規則邏輯] 頁面上的 [規則查詢] 區段中,輸入下列查詢:
AzureActivity | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE' | where ActivityStatusValue == 'Success' | extend AccountCustomEntity = Caller | extend IPCustomEntity = CallerIpAddress接受所有其他設定的預設值,然後選取 [下一步:事件設定]。
在 [事件設定] 索引標籤上,確定已針對 [從這個分析規則所觸發的警示建立事件] 選取 [已啟用]。 接著,選取 [下一步: 自動化回應]。
在 [自動化回應] 索引標籤上,您可以選取要在產生警示時自動執行的劇本。 只會顯示包含邏輯應用程式 Microsoft Sentinel 連接器的劇本。
選取 [下一步:檢閱]。
在 [檢閱及建立] 頁面上,確認通過驗證,然後選取 [建立]。
注意
您可在<使用 Microsoft Sentinel 分析進行威脅偵測>課程模組中深入了解 Microsoft Sentinel 分析規則。