练习概述

你是一位安全运营架构师,所在公司实现了 Microsoft Sentinel。 你需要了解如何使用 Microsoft Sentinel 检测和缓解威胁。 现在,你想要响应和修正可以从 Microsoft Sentinel 作为例程运行的操作。

使用 playbook,可以帮助自动执行和协调威胁响应,与其他内部系统和外部系统集成,并可以设置为自动运行以响应特定警报或事件(分别由分析规则或自动化规则触发时)。 利用自动化规则,可以在一个或多个事件/警报中将自动化应用于极小的任务到大型任务,以便高效、优化地应对威胁和任务。

练习说明

任务 1:在 Microsoft Sentinel 创建 Playbook

在此任务中,你将创建在 Microsoft Sentinel 用作 Playbook 的逻辑应用。

  1. Microsoft Sentinel 中,导航到“内容中心”。

  2. 在搜索栏中,查找 Sentinel SOAR Essentials

  3. 选择结果中显示的解决方案。

  4. 在解决方案详细信息中,选择“安装”。

  5. 安装后,选择“管理”。

  6. 找到 Defender_XDR_Ransomware_Playbook_for_SecOps_Tasks playbook 并选择它。

  7. 选择事件任务 - Microsoft Defender XDR 勒索软件 Playbook for SecOps 模板。

  8. 在“详细信息”窗格中选择“创建 playbook”。

  9. 对于资源组,选择“新建”并输入 RG-Playbooks,然后选择“确定”。

  10. 从名称中移除 for(超出 64 个限制)。

  11. 选择连接

  12. 选择“下一步: 查看并创建”。

  13. 现在,选择“创建 Playbook”。

    注意: 请等待部署完成后再继续下一个任务。

任务 2:在 Microsoft Sentinel 中更新 Playbook

在此任务中,你将使用适当的连接信息更新创建的新 playbook。

  1. 在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。

  2. 选择 Microsoft Sentinel 工作区。

  3. 在“配置”区域下选择“自动化”,然后选择“可用的 Playbook”选项卡。

  4. 如果看不到任何 playbook,请在命令栏中选择“刷新”。 应会显示在上一步中创建的 Playbook。

  5. 选择 Defender_XDR_Ransomware_Playbook_SecOps_Tasks playbook 名称。

  6. Defender_XDR_Ransomware_Playbook_for_SecOps_Tasks 的逻辑应用页上的命令菜单中,选择“编辑”。

    注意: 可能需要刷新页面。

  7. 选择第一个块“Microsoft Sentinel 事件”。

  8. 选择“更改连接”链接。

  9. 选择“添加新项”,然后选择“登录” 。 当系统提示时,在新窗口中,选择 Azure 订阅管理员凭据。 现在,块的最后一行应显示“已连接到 your-admin-username”。

  10. 在逻辑拆分下方,选择“将任务添加到事件”。

  11. 在命令栏上选择“保存”。 将来的实验室中将使用逻辑应用。

任务 3:创建自动化规则

  1. 在 Microsoft Sentinel 中,转到“配置”下的“自动化”。

  2. 选择“创建”,然后选择自动化规则。

  3. 为规则命名

  4. 将事件提供程序保留为“全部”。

  5. 将分析规则名称保留为“全部”。

  6. 单击“添加”并选择“And”。

  7. 从下拉列表中选择“策略”。

  8. 选择以下项:
    • 侦测
    • 执行
    • 持久性
    • 命令和控制
    • 外泄
    • 预攻击

  9. 在“操作”下,选择“运行 Playbook”。

  10. 选择“管理 playbook 权限”。

  11. 找到资源组并选择它,然后选择应用。

  12. 从下拉列表中选择 Defender_XDR_Ransomware_Playbook_SecOps_Tasks playbook。

  13. 选择底部的“应用”。 在这里,根据你的角色,你将继续执行更多的架构师练习,或者转向分析师练习。

你已完成本实验室