练习概述
你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你需要了解如何使用 Microsoft Sentinel 检测和缓解威胁。 将数据源连接到 Microsoft Sentinel 后,可以创建自定义分析规则来帮助发现环境中的威胁和异常行为。
分析规则将在你的整个环境中搜索特定事件或事件集,在达到特定事件阈值或条件时发出警报,生成故障事件以供 SOC 进行会审和调查,并通过自动化跟踪和修正流程来响应威胁。
练习说明
任务 1:创建计划查询
在此任务中,你将创建一个计划查询,并将其连接到在上一个练习中创建的 Teams 频道。
-
使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd。
-
在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。
-
在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。
-
在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。
-
选择 Microsoft Sentinel 工作区。
-
从“配置”区域选择“分析”。
-
确保你位于命令栏中的“规则模板”选项卡中,并搜索“新建 CloudShell 用户”规则。
-
选择“新建 CloudShell 用户”规则模板,然后“右键单击”打开并选择“+ 创建规则”按钮以打开“分析规则向导”。
备注: 还可以选择“新建 CloudShell 用户”规则模板上的省略号图标 (…),以打开“+ 创建规则”向导。
-
在规则摘要边栏选项卡中,查看“数据源: Azure 活动”下的绿色图标,确保接收数据。
>**Note:** If you do not see it in a connected state, make sure you completed Task 3 of the Learning Path 6 Lab, Exercise 1. --->
-
选择“创建规则”以继续。
-
在 Analytics 规则向导的“常规”选项卡上,将“严重性”更改为“中” 。
-
选择“下一页:设置规则逻辑 >”按钮:
-
对于规则查询,请选择“查看查询结果”。 不应收到任何结果或任何错误。
-
通过选择右上方的 X 关闭“日志”窗口,然后选择“确定”以放弃保存更改,并返回到向导 。
-
向下滚动并在“查询计划”下设置以下项:
设置 值 运行查询的时间间隔 5 分钟 查找上次的数据 1 天 注意: 我们特意针对同一数据生成了多个事件。 这样,实验室就可使用这些警报。
-
在“警报阈值”区域下,保留值不变,因为我们希望警报注册每个事件。
-
在“事件分组”区域下,将“将所有事件分组到一个警报中”保留为所选选项,因为我们希望在每次运行时生成单个警报,只要查询返回的结果多于上述指定的警报阈值。
-
选择底部的“下一步: 事件设置 >”按钮。
-
在“事件设置”选项卡上,查看默认选项。
-
选择底部的“下一步: 自动响应 >”按钮。
-
选择“下一步: 查看并创建 >”按钮。
-
选择“保存”。
任务 2:测试你的新规则
在此任务中,你将测试新的计划查询规则。
-
在 Azure 门户的顶部栏中,选择与 Cloud Shell 对应的图标 >_。 如果显示分辨率太低,可能需要先选择省略号图标 (…)。
-
在“欢迎使用 Azure Cloud Shell”窗口中,选择“Powershell”**。
-
在“入门”页上,选择“装载存储帐户”,然后从“存储帐户订阅”下拉菜单项中选择“MOC subscription-lodxxxxxxxx”并选择“应用”按钮。
重要提示: 请勿选择“不需要存储帐户”单选按钮选项。** 它会导致事件创建失败。
-
在“装载存储帐户”页上,选择“我们将为你创建一个存储帐户”,然后选择“下一步”。****
-
等待 Cloud Shell 预配完成,然后关闭 Azure Cloud Shell 窗口。
-
在 Azure 门户的“搜索”栏中,键入“活动”,然后选择“活动日志”。
-
确保显示以下操作名称项:“列出存储帐户密钥”和“更新存储帐户创建” 。 前面查看的 KQL 查询将匹配这些操作以生成警报。 提示:可能需要选择“刷新”来更新列表 。
-
在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。
-
选择 Microsoft Sentinel 工作区。
-
选择“威胁管理”下的“事件”菜单选项。
-
选择“自动刷新事件”切换按钮。
-
应该会看到新创建的事件。
注意:触发事件的事件可能至少需要 5 分钟才能处理。 继续下一个练习,稍后你将返回到此视图。
-
选择“事件”并查看右侧边栏选项卡中的信息。