Hinweis: Dieses Lab baut auf Labs 01, 02 und 03 auf. Für diese Übung benötigen Sie ein Azure-Abonnement. In dem Sie über Administratorzugriff verfügen.

Allgemeine Richtlinien

  • Verwenden Sie beim Erstellen von Objekten die Standardeinstellungen, es sei denn, es gibt Anforderungen, die unterschiedliche Konfigurationen erfordern.
  • Erstellen, löschen oder ändern Sie nur Objekte, um die angegebenen Anforderungen zu erfüllen. Unnötige Änderungen an der Umgebung können sich negativ auf Ihre Endbewertung auswirken.
  • Wenn es mehrere Möglichkeiten gibt, ein Ziel zu erreichen, wählen Sie immer den Ansatz, der den geringsten Verwaltungsaufwand erfordert.

Wir müssen überprüfen, ob unsere Microsoft Sentinel-Bereitstellung Sicherheitsereignisse empfängt und Vorfälle von virtuellen Computern, auf denen Windows ausgeführt wird, erstellt.

Architekturdiagramm

Diagramm eines simulierten Angriffs

Qualifikationsaufgabe

Sie müssen einen simulierten Angriff durchführen, um zu überprüfen, ob die Analyse- und Automatisierungsregeln einen Vorfall erstellen und ihn dem Operator1 zuordnen. Sie führen einen einfachen Privilege Escalation-Angriff auf vm1 durch.

Übungsanweisungen

Aufgabe 1: Durchführen eines simulierten Rechteausweitungsangriffs

Verwenden Sie simulierte Angriffe, um Analyseregeln in Microsoft Sentinel zu testen. Erfahren Sie mehr über die Simulation eines Rechteausweitungsangriffs.

  1. Suchen und wählen Sie die virtuelle Maschine vm1 in Azure aus und scrollen Sie die Menüpunkte nach unten zu Operationen und wählen Sie Skriptausführung.
  2. Wählen Sie im Bereich Skriptausführung RunPowerShellScript aus.

  3. Kopieren Sie die folgenden Befehle, um die Erstellung eines Administratorkontos zu simulieren, in das Formular PowerShell Script und wählen Sie Ausführen.

     net user theusernametoadd /add
 net user theusernametoadd ThePassword1!
 net localgroup administrators theusernametoadd /add

Hinweis: Stellen Sie sicher, dass es nur einen Befehl pro Zeile gibt und dass Sie die Befehle erneut ausführen können, indem Sie den Benutzernamen ändern.

  1. Im Fenster Output sollten Sie dreimal The command completed successfully sehen.

Aufgabe 2: Überprüfen eines Vorfalls anhand des simulierten Angriffs

Stellen Sie sicher, dass ein Vorfall erstellt wird, der Kriterien für die Analyseregel und Automatisierung entspricht. Erfahren Sie mehr über Microsoft Sentinel Incident Management.

  1. Gehen Sie in Microsoft Sentinel zum Menüabschnitt Threat management und wählen Sie Vorfälle.
  2. Sie sollten einen Vorfall sehen, der mit Severity und Title übereinstimmt, die Sie in der von Ihnen erstellten NRT-Regel konfiguriert haben.
  3. Wählen Sie Incident aus und der detail-Bereich wird geöffnet.
  4. Die Owner-Zuweisung sollte Operator1 sein, erstellt aus der Automation rule, und die Tactics and techniques sollte Rechteausweitung sein (aus der NRT-Regel).
  5. Wählen Sie Vollständige Details anzeigen aus, um alle Incident management-Funktionen und Incident actions