Hinweis: Dieses Lab baut auf Lab 01 und Lab 02 auf. Für dieses Lab benötigen Sie ein Azure-Abonnement. In dem Sie über Administratorzugriff verfügen.

Allgemeine Richtlinien zu

• Verwenden Sie beim Erstellen von Objekten die Standardeinstellungen, es sei denn, es gibt Anforderungen, die unterschiedliche Konfigurationen erfordern.
• Erstellen, löschen oder bearbeiten Sie Objekte nur dann, wenn dies zum Erfüllen der Anforderungen dient. Unnötige Änderungen an der Umgebung können sich negativ auf Ihre Endbewertung auswirken.
• Wenn es mehrere Möglichkeiten gibt, ein Ziel zu erreichen, wählen Sie immer den Ansatz, der den geringsten Verwaltungsaufwand erfordert.

Wir müssen Microsoft Sentinel so konfigurieren, dass Sicherheitsereignisse von virtuellen Computern empfangen werden, auf denen Windows ausgeführt wird.

Architekturdiagramm

Qualifikationsaufgabe

Sie müssen die Microsoft Sentinel-Bereitstellung überprüfen, um die folgenden Anforderungen zu erfüllen:

• Konfigurieren Sie die Windows-Sicherheit Ereignisse über den AMA-Connector, um alle Sicherheitsereignisse nur von einem virtuellen Computer namens VM1 zu erfassen.
• Erstellen Sie eine NRT-Abfrageregel (Near-Real-Time), um einen Vorfall basierend auf der folgenden Abfrage zu generieren.

SecurityEvent 
| where EventID == 4732
| where TargetAccount == "Builtin\\Administrators"

• Erstellen Sie eine Automatisierungsregel, die Operator1 die Besitzerrolle für Vorfälle zuweist, die von der NRT-Regel generiert werden.

Übungsanweisungen

Hinweis: Um in den folgenden Aufgaben auf Microsoft Sentinel zuzugreifen, wählen Sie workspace, das Sie in Lab 01 erstellt haben.

Aufgabe 1: Konfigurieren von Datensammlungsregeln (DCRs) in Microsoft Sentinel

Konfigurieren Sie ein Windows-Sicherheitsereigniss über den AMA-Connector. Erfahren Sie mehr über Windows-Sicherheitsereignisse über AMA-Connector.

1. Navigieren Sie in Microsoft Sentinel zum Menüabschnitt Configuration und wählen Sie Datenconnectors.
2. Suchen Sie nach und wählen Sie Windows-Sicherheitsereignisse über AMA.
3. Wählen Sie Connectorseite öffnen.
4. Wählen Sie im Bereich Configuration + Datensammlungsregeln erstellen
5. Auf der Registerkarte Basics geben Sie Rule Name ein.
6. Erweitern Sie auf der Registerkarte Resources Ihr Abonnement und die Ressourcengruppe RG1 in der Spalte Scope.
7. Wählen Sie VM1, und wählen Sie dann Weiter: Sammeln > aus.
8. Auf der Registerkarte Collect lassen Sie den Standardwert All Security Events stehen.
9. Wählen Sie Weiter: Überprüfen + Erstellen >, dann Erstellen aus.

Aufgabe 2 – Erstellen einer in Quasi-Echtzeit-Abfrageerkennung (NRT)

Erkennen Sie Bedrohungen mit Analyseregeln in Quasi-Echtzeit (NRT) in Microsoft Sentinel. Hier erfahren Sie mehr über NRT-Analyseregeln in Microsoft Sentinel.

1. Navigieren Sie in Microsoft Sentinel zum Menüabschnitt Configuration und wählen Sie Analyse aus.
2. Wählen Sie + Erstellen, und NRT-Abfrageregel (Vorschau) aus.
3. Geben Sie einen Name für die Regel ein, und wählen Sie Rechteausweitung aus Tactics and techniques.
4. Wählen Sie Weiter: Regellogik festlegen >.

5. Geben Sie die KQL-Abfrage in das Formular Rule query ein.

   SecurityEvent 
   | where EventID == 4732
   | where TargetAccount == "Builtin\\Administrators"
   

6. Wählen Sie Weiter: Vorfallseinstellungen >, und wählen Sie Weiter: Automatisierte Antwort > aus.
7. Klicken Sie auf Weiter: Überprüfen und erstellen.
8. Wenn die Überprüfung abgeschlossen ist, wählen Sie Speichern.

Aufgabe 3 – Konfigurieren der Automatisierung in Microsoft Sentinel

Konfigurieren der Automatisierung in Microsoft Sentinel. Erfahren Sie mehr über Erstellen und Verwenden von Microsoft Sentinel-Automatisierungsregeln.

1. Navigieren Sie in Microsoft Sentinel zum Menüabschnitt Configuration und wählen Sie Automatisierung aus.
2. Wählen Sie + Erstellen, und die Automatisierungsregel aus.
3. Geben Sie eine Automation rule name ein, und wählen Sie Besitzer zuweisen aus Actions.
4. Weisen Sie Operator1 als Besitzer zu.
5. Wählen Sie Übernehmen aus.