Parcours d’apprentissage 6 - Labo 1 - Exercice 3 - Connecter des hôtes Linux à Microsoft Sentinel avec des connecteurs de données

Scénario du labo

Vue d’ensemble du labo

Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Vous devez apprendre à connecter des données de journal provenant de nombreuses sources de données dans votre organisation. La source de données suivante est constituée par des machines virtuelles Linux qui utilisent le CEF (Common Event Format) via les connecteurs Ancien agent et Syslog.

Remarque : Une simulation de labo interactive est disponible et vous permet de progresser à votre propre rythme. Il peut exister de légères différences entre la simulation interactive et le labo hébergé. Toutefois, les concepts et idées de base présentés sont identiques.

Important : il existe des étapes dans les tâches suivantes effectuées dans différentes machines virtuelles. Recherchez les références de nom de machine virtuelle.

Tâche 1 : Accéder à l’espace de travail Microsoft Sentinel

Dans cette tâche, vous allez accéder à votre espace de travail Microsoft Sentinel.

  1. Connectez-vous à la machine virtuelle WIN1 en tant qu’Admin avec le mot de passe suivant : Pa55w.rd.

  2. Ouvrez le navigateur Microsoft Edge.

  3. Dans le navigateur Edge, accédez au portail Azure à l’adresse https://portal.azure.com.

  4. Dans la boîte de dialogue Connexion, copiez et collez le compte de messagerie du locataire fourni par l’hébergeur du labo, puis sélectionnez Suivant.

  5. Dans la boîte de dialogue Entrer le mot de passe, copiez et collez le mot de passe du locataire fourni par l’hébergeur du labo, puis sélectionnez Connexion.

  6. Dans la barre de recherche du portail Azure, tapez Sentinel, puis sélectionnez Microsoft Sentinel.

  7. Sélectionnez l’espace de travail Microsoft Sentinel que vous avez créé dans le labo précédent.

Tâche 2 : connecter un hôte Linux à l’aide du connecteur Common Event Format

Dans cette tâche, vous allez connecter un hôte Linux à Microsoft Sentinel avec le CEF (Common Event Format) via le connecteur Ancien agent.

  1. Dans les menus de gauche de Microsoft Sentinel, faites défiler jusqu’à la section Gestion de contenu, puis sélectionnez Hub de contenu.

  2. Dans le Hub de contenu, recherchez la solution Common Event Format et sélectionnez-la dans la liste.

  3. Dans la page de solution Common Event Format, sélectionnez Installer.

  4. Une fois l’installation terminée, sélectionnez Gérer.

    Remarque : la solution Common Event Format installe les connecteurs CEF (Common Events Format) via AMA et CEF (Common Events Format).

  5. Sélectionnez le connecteur de données CEF (Common Events Format), puis Ouvrir la page du connecteur dans le panneau d’informations du connecteur.

  6. Dans la section Configuration, sous l’onglet Instructions, copiez dans le presse-papiers la commande indiquée dans 1.2 Installer le collecteur CEF sur la machine Linux.

  7. Lancez votre machine virtuelle LIN1. Connectez-vous avec le nom d’utilisateur et le mot de passe fournis par l’hébergeur de labo. Conseil : vous devrez peut-être appuyer sur la touche Entrée pour afficher l’invite de connexion.

  8. Notez l’adresse IP de votre serveur LIN1. Voir la capture d’écran ci-dessous comme exemple :

    connexion Linux

  9. Accédez à la machine virtuelle WIN1. Lancez Windows PowerShell en tant qu’administrateur en cliquant avec le bouton droit sur l’icône du menu Démarrer et en sélectionnant Windows PowerShell (Admin). Sélectionnez Oui pour autoriser l’application à s’exécuter dans la fenêtre Contrôle de compte d’utilisateur qui s’affiche. Conseil : vous pouvez avoir une fenêtre Windows PowerShell déjà ouverte lors d’exercices précédents.

  10. Entrez la commande PowerShell suivante, en l’adaptant aux informations spécifiques de votre serveur Linux, puis appuyez sur Entrée :

     ssh insert-your-linux-IP-address-here -l insert-linux-user-name-here

  11. Entrez oui pour confirmer la connexion, puis tapez le mot de passe de l’utilisateur et appuyez sur Entrée. Votre écran doit ressembler à ceci :

    Connexion Linux

  12. Vous pouvez maintenant coller la commande 1.2 Installer le collecteur CEF sur la machine Linux de l’étape précédente. Assurez-vous que le script d’Azure se trouve dans le presse-papiers. Dans PowerShell, cliquez avec le bouton droit sur la barre supérieure, et sélectionnez Modifier, puis Coller.

  13. Une fois collé et avant d’appuyer sur Entrée, ajoutez le caractère 3 au mot python, comme indiqué ci-dessous :

    ConnectorScript

  14. Une fois le script modifié, appuyez sur Entrée. Le script s’exécute sur votre serveur Linux à distance. Lorsque le script traite correctement, il doit ressembler à cet écran :

    ConnectorScript

  15. Tapez exit pour fermer la connexion shell à distance sur LIN1.

Tâche 3 : connecter un hôte Linux à l’aide du connecteur Syslog

Dans cette tâche, vous allez connecter un hôte Linux à Microsoft Sentinel avec le connecteur Syslog.

  1. Revenez au navigateur Microsoft Edge contenant votre portail Microsoft Sentinel et fermez la page du connecteur de données « Common Event Format (CEF) via l’ancien agent » en sélectionnant le bouton « x » dans le coin supérieur droit.

  2. Dans les menus de gauche de Microsoft Sentinel, faites défiler jusqu’à la section Gestion de contenu, puis sélectionnez Hub de contenu.

  3. Dans le Hub de contenu, recherchez la solution Syslog et sélectionnez-la dans la liste.

  4. Dans la page de la solution Syslog, sélectionnez Installer.

  5. Une fois l’installation terminée, sélectionnez Gérer.

    Remarque : la solution Syslog installe le connecteur de données Syslog, 5 règles analytiques, 9 requêtes de repérage et 1 classeur.

  6. Sélectionnez le connecteur de données Syslog, puis Ouvrir la page du connecteur dans le panneau d’informations du connecteur.

  7. Dans la section Configuration, développez Installer l’agent sur une machine Linux non Azure.

  8. Sélectionnez le lien Télécharger et installer l’agent pour les machines Linux non Azure.

    Remarque : votre espace de travail Log Analytics doit afficher 2 ordinateurs Windows connectés. Il s’agit des machines virtuelles WINServer et AZWIN01 connectées précédemment.

  9. Sélectionnez ensuite l’onglet Serveurs Linux.

    Remarque : votre espace de travail Log Analytics doit afficher 1 ordinateur Linux connecté. Il s’agit de la machine virtuelle LIN1 (ubuntu1) connectée précédemment au connecteur CEF.

  10. Sélectionnez Instructions de l’agent Log Analytics.

  11. Copiez la commande de la zone Télécharger et intégrer l’agent pour Linux dans le Presse-papiers.

  12. Lancez votre machine virtuelle LIN2. Connectez-vous avec le nom d’utilisateur et le mot de passe fournis par votre hôte de labo. Conseil : vous devrez peut-être appuyer sur la touche Entrée pour afficher l’invite de connexion.

  13. Notez l’adresse IP de votre serveur LIN2. Voir la capture d’écran ci-dessous comme exemple :

    connexion Linux

  14. Revenez à la machine virtuelle WIN1. Sélectionnez la console Windows PowerShell utilisée dans la tâche précédente.

  15. Entrez la commande PowerShell suivante en spécifiant les informations relatives à votre serveur Linux, puis appuyez sur Entrée :

     ssh insert-your-linux-IP-address-here -l insert-linux-user-name-here

  16. Entrez oui pour confirmer la connexion, puis tapez le mot de passe de l’utilisateur et appuyez sur Entrée. Votre écran doit ressembler à ceci :

    Connexion Linux

  17. Vous êtes maintenant prêt à coller la commande Télécharger et intégrer l’agent pour Linux à partir de l’étape précédente. Assurez-vous que le script se trouve dans le Presse-papiers. Dans PowerShell, cliquez avec le bouton droit sur la barre supérieure et sélectionnez Modifier, puis Coller.

  18. Une fois le script collé, appuyez sur Entrée. Le script s’exécute à distance sur votre serveur Linux. Wait

  19. Une fois l’opération terminée, tapez exit pour fermer la connexion shell à distance sur LIN2.

Tâche 4 : configurer les fonctionnalités à collecter et leurs gravités pour le connecteur Syslog

Dans cette tâche, vous allez configurer les fonctionnalités de la collecte Syslog.

  1. Revenez au navigateur Edge contenant votre portail Microsoft Sentinel et fermez les pages « Espace de travail Log Analytics » et Connecteur de données « Syslog » en sélectionnant le bouton « x » dans le coin supérieur droit deux fois.

  2. Dans le portail Microsoft Sentinel, sous Configuration, sélectionnez Paramètres, puis l’onglet Paramètres de l’espace de travail.

  3. Dans la zone Classique, sélectionnez Gestion des agents hérités.

  4. Sélectionnez l’onglet Syslog.

  5. Sélectionnez le bouton + Ajouter une fonctionnalité.

  6. Dans le menu déroulant pour Nom de la fonctionnalité, sélectionnez auth.

  7. Sélectionnez à nouveau le bouton + Ajouter une fonctionnalité.

  8. Dans le menu déroulant pour Nom de l’installation, sélectionnez syslog.

  9. Cliquez sur Appliquer pour enregistrer vos modifications.

Passer à l’Exercice 4