Nota: Este laboratorio se basa en los Laboratorios 01 y 02. Para completar este laboratorio, necesitará una suscripción de Azure. en la que tenga acceso administrativo.

Directrices generales

  • Al crear objetos, use la configuración predeterminada a menos que haya requisitos que requieran configuraciones diferentes.
  • Solo cree, elimine o modifique objetos para cumplir los requisitos indicados. Los cambios innecesarios en el entorno pueden afectar negativamente a la puntuación final.
  • Si hay varios enfoques para lograr un objetivo, elija siempre el enfoque que requiere la menor cantidad de esfuerzo administrativo.

Es necesario configurar Microsoft Sentinel para recibir eventos de seguridad de máquinas virtuales que ejecutan Windows.

Diagrama de la arquitectura

Diagrama de eventos de Seguridad de Windows a través de AMA mediante DCR

Tareas de aptitudes

Debe validar la implementación de Microsoft Sentinel para cumplir los siguientes requisitos:

  • Configure los eventos de Seguridad de Windows a través del conector AMA para recopilar todos los eventos de seguridad solo de una máquina virtual denominada VM1.
  • Cree una regla de consulta casi en tiempo real (NRT) para generar un incidente basado en la consulta siguiente.
SecurityEvent 
| where EventID == 4732
| where TargetAccount == "Builtin\\Administrators"
  • Cree una regla de automatización que asigne a Operator1 el rol Propietario para incidentes que genera la regla de NRT.

Instrucciones del ejercicio

Nota: En las siguientes tareas, para acceder a Microsoft Sentinel, seleccione el workspace que creó en el Laboratorio 01.

Tarea 1: Configurar reglas de recopilación de datos (DCR) en Microsoft Sentinel

Configurar eventos de Seguridad de Windows a través del conector AMA. Consiga más información sobre los eventos de Seguridad de Windows a través del conector AMA.

  1. En Microsoft Sentinel, vaya a la sección del menú Configuration y seleccione Conectores de datos
  2. Busque y seleccione Eventos de Seguridad de Windows a través de AMA
  3. Seleccione Abrir página del conector
  4. En el área Configuration, seleccione +Crear regla de recopilación de datos
  5. En la pestaña Basics escriba un Rule Name
  6. En la pestaña Resources expanda la suscripción y el grupo de recursos RG1 de la columna Scope
  7. Seleccione VM1 y, a continuación, seleccione Siguiente: Recopilar >
  8. En la pestaña Collect, deje el valor predeterminado de All Security Events
  9. Seleccione Siguiente: Revisar y crear > y, después, seleccione Crear

Tarea 2: Crear una detección de consultas casi en tiempo real (NRT)

Detecte amenazas con reglas de análisis casi en tiempo real (NRT) en Microsoft Sentinel. Más información sobre las reglas de análisis casi en tiempo real en Microsoft Sentinel.

  1. En Microsoft Sentinel, vaya a la sección del menú Configuration y seleccione Análisis
  2. Seleccione + Crear y regla de consulta casi en tiempo real (Versión preliminar)
  3. Escriba un Name para la regla y seleccione Elevación de privilegios en Tactics and techniques.
  4. Seleccione Siguiente: Establecer la lógica de la regla >

  5. Escriba la consulta KQL en el formulario Rule query

    SecurityEvent 
| where EventID == 4732
| where TargetAccount == "Builtin\\Administrators"
  6. Seleccione Siguiente: Configuración de incidentes > y seleccione Siguiente: Respuesta automatizada >
  7. Seleccione Siguiente: Revisar y crear.
  8. Una vez completada la validación, seleccione Guardar

Tarea 3: Configurar la automatización en Microsoft Sentinel

Configure la automatización en Microsoft Sentinel. Obtenga más información sobre crear y usar reglas de automatización de Microsoft Sentinel.

  1. En Microsoft Sentinel, vaya a la sección del menú Configuration y seleccione Automatización
  2. Seleccione + Crear y regla de automatización
  3. Escriba un Automation rule name y seleccione Asignar propietario desde Actions
  4. Asigne Operator1 como propietario.
  5. Seleccione Aplicar.