Observação: este laboratório baseia-se nos laboratórios 01 e 02. Para concluir este laboratório, você precisará de uma assinatura do Azure. no qual você tem acesso administrativo.

Diretrizes gerais

  • Ao criar objetos, use as configurações padrão, a não ser que haja requisitos que exijam configurações diferentes.
  • Crie, exclua ou modifique objetos apenas para cumprir os requisitos estabelecidos. Alterações desnecessárias no ambiente podem prejudicar sua pontuação final.
  • Se houver várias abordagens para alcançar uma meta, escolha sempre a abordagem que requer o mínimo de esforço administrativo.

Precisamos configurar o Microsoft Sentinel para receber eventos de segurança de máquinas virtuais que executam o Windows.

Diagrama de arquitetura

Diagrama de eventos de segurança do Windows via AMA usando DCR

Tarefas de habilidades

Você precisa validar a implantação do Microsoft Sentinel para atender aos seguintes requisitos:

  • Configure os eventos de segurança do Windows por meio do conector AMA para coletar todos os eventos de segurança somente de uma máquina virtual chamada VM1.
  • Crie uma regra de consulta NRT (quase em tempo real) para gerar um incidente com base na consulta a seguir.
SecurityEvent 
| where EventID == 4732
| where TargetAccount == "Builtin\\Administrators"
  • Crie uma regra de automação que atribua ao Operador1 a função Proprietário para incidentes gerados pela regra NRT.

Instruções para o exercício

Observação: nas tarefas a seguir, para acessar Microsoft Sentinel, selecione o workspace que você criou no Laboratório 01.

Tarefa 1 – Configurar as DCRs (regras de coleta de dados) no Microsoft Sentinel

Configurar eventos de segurança do Windows via conector AMA. Aprenda mais sobre eventos de segurança do Windows via conector AMA.

  1. No Microsoft Sentinel, vá para a seção do menu Configuration e selecione Conectores de dados
  2. Procure e selecione eventos de segurança do Windows via AMA
  3. Clique em Abrir página do conector
  4. Na área de Configuration, selecione +Criar regra de coleta de dados
  5. Na guia Basics insira um Rule Name
  6. Na guia, Resources expanda sua assinatura e o grupo de recursos RG1 na coluna Scope
  7. Selecione VM1 e selecione Avançar: Coletar >
  8. Na guia Collect deixe All Security Events com o padrão
  9. Selecione Avançar: Revisar + criar > e escolha Criar

Tarefa 2 – Criar uma detecção de consulta NRT (quase em tempo real)

Detectar ameaças com regras de análise NRT (quase em tempo real) no Microsoft Sentinel. Saiba mais sobre regras de análise NRT (quase em tempo real) no Microsoft Sentinel.

  1. No Microsoft Sentinel, vá para a seção do menu Configuration e selecione Análise
  2. Selecione + Criar e regra de consulta NRT (Versão prévia)
  3. Insira um Name para a regra e selecione Elevação de Privilégios em Tactics and techniques.
  4. Selecione Avançar: Definir lógica da regra >

  5. Insira a consulta KQL no formulário Rule query

    SecurityEvent 
| where EventID == 4732
| where TargetAccount == "Builtin\\Administrators"
  6. Selecione Avançar: Configurações de incidente > e selecione Avançar: Resposta automatizada >
  7. Selecione Avançar: Examinar + Criar
  8. Após a conclusão da validação, escolha Salvar

Tarefa 3 – Configurar a automação no Microsoft Sentinel

Configurar a automação no Microsoft Sentinel. Saiba mais sobre Criar e usar regras de automação do Microsoft Sentinel.

  1. No Microsoft Sentinel, vá para a seção do menu Configuration e selecione Automação
  2. Selecione + Criar e Regra de automação
  3. Insira um Automation rule name e selecione Atribuir proprietário em Actions
  4. Atribua Operator1 como proprietário.
  5. Selecione Aplicar.