Información general del ejercicio

Usted es un analista de operaciones de seguridad que trabaja en una empresa que ha implementado Microsoft Sentinel. Debes aprender a conectar los datos de registro de los numerosos orígenes de datos de la organización. El siguiente origen de datos es máquinas virtuales Windows dentro y fuera de Azure, como entornos locales u otras nubes públicas.

Instrucciones del ejercicio

Tarea 1: acceder al área de trabajo de Microsoft Sentinel

En esta tarea, accederás al área de trabajo de Microsoft Sentinel.

  1. Inicia sesión en la máquina virtual WIN1 como administrador con la contraseña: Pa55w.rd.

  2. Abra el explorador Microsoft Edge.

  3. En el explorador Edge, ve a Azure Portal en https://portal.azure.com.

    Nota: Selecciona la pestaña Recursos en el Nombre de usuario y Contraseña en el laboratorio. Usa la cuenta LabUser-XXXXXXXX@LODSPRODXXX.onmicrosoft.com para este laboratorio.

  4. En el cuadro de diálogo Iniciar sesión, copia y pega la cuenta Correo electrónico del inquilino que te ha facilitado el proveedor de hospedaje del laboratorio y luego selecciona Siguiente.

  5. En el cuadro de diálogo Escribir contraseña, copia y pega la contraseña de inquilino que te ha proporcionado el proveedor de hospedaje de tu laboratorio y después selecciona Iniciar sesión.

  6. En la barra de búsqueda de Azure Portal, escribe Sentinel y luego selecciona Microsoft Sentinel.

  7. Selecciona el área de trabajo de Microsoft Sentinel que has creado en la tarea anterior.

  8. Continúe con la siguiente tarea.

Tarea 2: Instalar la solución Eventos de seguridad de Windows

  1. En la barra de búsqueda de Azure Portal, escribe Sentinel y luego selecciona Microsoft Sentinel.

  2. Selecciona el área de trabajo de Microsoft Sentinel que has creado anteriormente.

    1. En el menú izquierdo de Microsoft Sentinel, desplázate hacia abajo hasta la sección Administración de contenido y selecciona Centro de contenido.

  4. En el Centro de contenido, busca la solución Eventos de seguridad de Windows y selecciónala en la lista.

  5. En la página de la solución Eventos de seguridad de Windows, selecciona Instalar.

  6. Cuando se haya completado la instalación, selecciona Siguiente.

    Nota: la solución Eventos de seguridad de Windows instala los eventos de seguridad de Windows a través de AMA y los Eventos de seguridad a través del agente heredado. Además de 2 libros, 20 reglas analíticas y 43 consultas de búsqueda.

  7. Selecciona el conector de datos Eventos de seguridad de Windows a través de AMA y selecciona Abrir página del conector en la hoja de información del conector.

En la siguiente tarea, configuraremos este conector mediante la creación de una regla de recopilación de datos (DCR) y la adición de una máquina virtual Windows de Microsoft Azure a él.

Tarea 3: Conectar una máquina virtual de Azure Windows a Microsoft Sentinel

  1. En la barra de búsqueda de Azure Portal, escribe Sentinel y luego selecciona Microsoft Sentinel.

  2. Selecciona el área de trabajo de Microsoft Sentinel que has creado anteriormente.

  3. En el menú de navegación izquierdo de Microsoft Sentinel, desplázate hacia abajo hasta Configuración y selecciona Conectores de datos.

  4. Busca los eventos de seguridad de Windows a través del conector AMA que has creado en el ejercicio anterior.

  5. Selecciona el conector de datos Eventos de seguridad de Windows a través de AMA y selecciona Abrir página del conector en la hoja de información del conector.

  6. En la sección Configuración, en la pestaña Instrucciones, selecciona Crear regla de recopilación de datos.

  7. Escribe AZWINDCR como Nombre de regla y luego selecciona Siguiente: recursos.

  8. Selecciona +Agregar recursos para seleccionar la máquina virtual que hemos creado.

  9. Expande la suscripción MOC Subscription-lodxxxxxxxx y el grupo de recursos RG2, luego selecciona VM1.

  10. Selecciona Siguiente: Recopilar.

  11. Revisa la opción de recopilación de eventos de seguridad diferente. Mantén Todos los eventos de seguridad y luego selecciona Siguiente: revisar y crear.

  12. Selecciona Crear para crear la regla de recopilación de datos.

  13. La nueva regla de recopilación de datos tardará unos minutos en aparecer. Puedes seleccionar Actualizar según sea necesario. También puedes seleccionar el icono de notificación Campana para ver el progreso de creación de la regla. Deberías ver que la creación de la regla ha “instalado con éxito” la extensión del agente AMA en la máquina virtual VM1”.

Continúa con el ejercicio 4