Información general del ejercicio

Eres un analista de operaciones de seguridad que trabaja en una empresa que ha implementado Microsoft Sentinel. Debes aprender a detectar y mitigar amenazas mediante Microsoft Sentinel. Después de conectar los orígenes de datos a Microsoft Sentinel, crea reglas de análisis personalizadas que te ayuden a detectar las amenazas y los comportamientos anómalos de tu entorno.

Las reglas de análisis buscan eventos o conjuntos de eventos específicos en tu entorno, te avisan cuando se alcanzan determinados umbrales de eventos o condiciones, generan incidentes para que el SOC evalúe e investigue, y responden a las amenazas con procesos de seguimiento y corrección automatizados.

Instrucciones del ejercicio

Tarea 1: crear una consulta programada

En esta tarea crearás una consulta programada y la conectarás al canal de Teams que creaste en el ejercicio anterior.

  1. Inicia sesión en la máquina virtual WIN1 como administrador con la contraseña: Pa55w.rd.

  2. En el cuadro de diálogo Iniciar sesión, copia y pega la cuenta Correo electrónico de inquilino que ha facilitado el proveedor de hospedaje de laboratorio y luego selecciona Siguiente.

  3. En el cuadro de diálogo Escribir contraseña, copia y pega la Contraseña de inquilino que ha facilitado el proveedor de hospedaje de laboratorio y luego selecciona Iniciar sesión.

  4. En la barra de búsqueda de Azure Portal, escribe Sentinel y luego selecciona Microsoft Sentinel.

  5. Selecciona el área de trabajo de Microsoft Sentinel.

  6. Selecciona Análisis del área de Configuración.

  7. Asegúrate de que estás en la pestaña Plantillas de reglas de la barra de comandos y busca la regla Nuevo usuario de CloudShell.

  8. Selecciona la plantilla de regla New CloudShell User, y haz clic con el botón derecho para abrir y seleccionar el botón + Crear regla para abrir el Asistente para reglas analíticas.

    Nota: También puedes seleccionar el icono de puntos suspensivos (…) en la plantilla de regla Nuevo usuario de CloudShell para abrir el asistente + Crear regla.

  9. En la hoja de resumen de reglas, asegúrate de que recibes datos revisando el icono verde en Orígenes de datos: actividad de Azure.

>**Note:** If you do not see it in a connected state, make sure you completed Task 3 of the Learning Path 6 Lab, Exercise 1. --->

  1. Selecciona Crear regla para continuar.

  2. En el Asistente para reglas de análisis, en la pestaña General, cambia la gravedad a Media.

  3. Selecciona el botón Siguiente: establecer la lógica de la regla >:

  4. Para la consulta de regla, selecciona Ver resultados de la consulta. No debes recibir ningún resultado ni error.

  5. Cierra la ventana Registros seleccionando la X del ángulo superior derecho y selecciona Aceptar para descartar los cambios para volver al asistente.

  6. Desplázate hacia abajo y en Programación de consultas, establece lo siguiente:

    Configuración Valor
    Ejecutar consulta cada 5 minutos
    Buscar datos del último 1 día

    Nota: estamos generando muchos incidentes a propósito para los mismos datos. Esto permite al laboratorio usar estas alertas.

  7. En el área Umbral de alerta, deja el valor sin cambios, ya que queremos que la alerta registre todos los eventos.

  8. En el área Agrupación de eventos, deja agrupar todos los eventos en una sola alerta como opción seleccionada, ya que queremos generar una sola alerta cada vez que se ejecuta, siempre y cuando la consulta devuelva más resultados que el umbral de alerta especificado anteriormente.

  9. Selecciona el botón Siguiente: configuración de los incidentes >.

  10. En la pestaña Configuración de los incidentes, revisa las opciones predeterminadas.

  11. Selecciona el botón Siguiente: respuesta automatizada >.

  12. Selecciona el botón Siguiente: revisar y crear >.

  13. Seleccione Guardar.

Tarea 2: probar tu nueva regla

En esta tarea probará la nueva regla de consulta programada.

  1. En la barra superior de Azure Portal, selecciona el icono >_ que corresponde a Cloud Shell. Es posible que tengas que seleccionar primero el icono de puntos suspensivos (…) si la resolución de pantalla es demasiado baja.

  2. En la ventana Le damos la bienvenida a Azure Cloud Shell, seleccione Powershell.

  3. En la página Introducción, selecciona Montar cuenta de almacenamiento y, después, selecciona tu MOC subscription-lodxxxxxxxx en el elemento de menú desplegable suscripción de la cuenta de almacenamiento y selecciona el botón Aplicar.

    Importante: No seleccione la opción de botón de radio No se requiere ninguna cuenta de almacenamiento. Esto hará que se produzca un error en la creación del incidente.

  4. En la página Cuenta de almacenamiento de montaje, seleccione Crearemos una cuenta de almacenamiento para usted y, a continuación, seleccione Siguiente.

  5. Espere hasta que se aprovisione Cloud Shell y cierre la ventana de Azure Cloud Shell.

  6. En la barra de búsqueda de Azure Portal, escribe Actividad y luego selecciona Registro de actividad.

  7. Asegúrate de que aparecen los siguientes elementos Nombre de operación: enumerar claves de cuentas de almacenamiento y actualizar cuenta de almacenamiento Crear. Estas son las operaciones con las que la consulta KQL que has revisado anteriormente coincidirá para generar la alerta. Sugerencia: puede que tengas que seleccionar Actualizar para ver el estado actualizado.

  8. En la barra de búsqueda de Azure Portal, escribe Sentinel y luego selecciona Microsoft Sentinel.

  9. Selecciona el área de trabajo de Microsoft Sentinel.

  10. Selecciona la opción de menú Incidentes en Administración de amenazas.

  11. Selecciona la alternancia Incidentes de actualización automática.

  12. Deberías ver el servicio recién creado.

    Nota: el evento que desencadena el incidente puede tardar más de 5 minutos en procesarse. Continúa con el ejercicio siguiente, volverás a esta vista más adelante.

  13. Selecciona el incidente y revisa la información de la hoja derecha.

Continúa con el ejercicio 5