Chemin d’apprentissage 7 - Labo 1 - Exercice 1 - Utiliser des référentiels dans Microsoft Sentinel

Scénario du labo

Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Vous avez déjà créé des règles planifiées et analytiques de sécurité Microsoft. Vous devez centraliser les règles analytiques dans un référentiel Azure DevOps. Connectez Ensuite Sentinel au référentiel Azure DevOps et importez le contenu.

Remarque : Une simulation de labo interactive est disponible et vous permet de progresser à votre propre rythme. Il peut exister de légères différences entre la simulation interactive et le labo hébergé. Toutefois, les concepts et idées de base présentés sont identiques.

Tâche 1 : créer et exporter une règle analytique

Dans cette tâche, vous allez activer l’analyse comportementale des entités dans Microsoft Sentinel.

  1. Connectez-vous à la machine virtuelle WIN1 en tant qu’Administrateur ou Administratrice avec le mot de passe : Pa55w.rd.

  2. Dans la boîte de dialogue Connexion, copiez et collez le compte de messagerie du locataire fourni par l’hébergeur du labo, puis sélectionnez Suivant.

  3. Dans la boîte de dialogue Entrer un mot de passe, copiez et collez le mot de passe du locataire fourni par l’hébergeur du labo, puis sélectionnez Connexion.

  4. Dans la barre de recherche du portail Azure, tapez Sentinel, puis sélectionnez Microsoft Sentinel.

  5. Sélectionnez votre espace de travail Microsoft Sentinel.

  6. Sélectionnez Analyses dans la zone Configuration du panneau gauche.

  7. Sélectionnez la règle Démarrage de RegKey que vous avez créée précédemment.

  8. Dans la barre d’outils, sélectionnez Exporter. Conseil : vous devrez peut-être sélectionner l’icône de points de suspension (…) pour voir l’option.

  9. La règle est exportée vers un fichier texte nommé Azure_Sentinel_analytic_rule.json.

  10. Sélectionnez Ouvrir le fichier sous le nom du fichier téléchargé, puis Pus d’applications.

  11. Sélectionnez le Bloc-notes, puis cliquez sur OK.

  12. Passez en revue le modèle Azure Resource Manager et fermez-le lorsque vous avez terminé.

Tâche 2 : créer l’environnement Azure DevOps

Dans cette tâche, vous allez créer un référentiel Azure DevOps.

  1. Ouvrez un autre onglet de navigateur et accédez à l’adresse https://aexprodcus1.vsaex.visualstudio.com/me?mkt=en-US.

  2. Dans la page Nous avons besoin de quelques détails supplémentaires, sélectionnez Continuer.

  3. Dans la page Prise en main d’Azure DevOps, sélectionnez Créer une organisation, puis Continuer.

  4. Dans la page Presque terminé…, entrez un nom pour votre organisation DevOps que vous ne souhaitez pas utiliser à l’avenir, par exemple, votre préfixe de locataire. Conseil : vous le trouverez sous l’onglet Ressources du labo (WWLx…).

  5. Entrez les caractères que vous voyez, puis sélectionnez Continuer.

  6. Sur la page Pour commencer, créez un projet, entrez Mon contenu Sentinel, puis sélectionnez Créer un projet.

  7. Accédez à Repos dans le volet gauche.

  8. En bas de la page, dans la zone Initialiser la branche principale avec un fichier README ou gitignore, sélectionnez Initialiser.

  9. La page doit afficher les fichiers du référentiel. le seul fichier présent est README.me.

  10. Dans le panneau Fichiers (côté droit de la page), la barre d’outils inclut les options Configurer la build, Cloner, etc. Sélectionnez l’icône de deux-points (:) pour afficher d’autres options.

  11. Sélectionnez Charger des fichiers.

  12. Sélectionnez Parcourir, puis le fichier Azure_Sentinel_analytic_rule.json dans votre répertoire Téléchargements.

  13. Sélectionner Valider.

  14. Sélectionnez ensuite Azure DevOps dans le coin supérieur gauche de la page. Votre organisation et vos projets s’affichent.

  15. Sélectionnez Paramètres de l’organisation dans le coin inférieur gauche de la page.

  16. Sélectionnez Stratégies dans la zone Sécurité du volet gauche.

  17. Activezl’accès aux applications tierces via OAuth dans la zone Stratégies de connexion des applications.

Tâche 3 : connecter Sentinel à Azure DevOps

  1. Sélectionnez l’onglet Portail Azure/Microsoft Sentinel dans votre navigateur.

  2. Dans Microsoft Sentinel, dans la section Gestion de contenu, sélectionnez Référentiels (préversion).

  3. Sélectionnez le bouton + Ajouter nouveau dans la barre d’outils.

  4. Entrez Mon contenu pour le nom.

  5. Pour Contrôle de code source, sélectionnez Azure DevOps.

  6. Sélectionnez Autoriser. Faites défiler la demande d’autorisations vers le bas, puis sélectionnez Accepter.

  7. Sélectionnez l’organisation que vous avez créée précédemment (par exemple, WWLx…).

  8. Sélectionnez le projet que vous avez créé précédemment, Mon contenu Sentinel.

  9. Sélectionnez le référentiel que vous avez créé précédemment, Mon contenu Sentinel. Conseil : vous devrez peut-être faire défiler la liste déroulante vers le bas pour afficher le référentiel.

  10. Pour la branche, sélectionnez Principal. Conseil : vous devrez peut-être faire défiler la liste déroulante vers le bas pour afficher la branche.

  11. Sélectionnez tous les types de contenu.

  12. Sélectionnez ensuite Créer.

  13. Revenez à l’espace de travail Microsoft Sentinel si nécessaire.

  14. Accédez à la page Référentiels (préversion), et sélectionnez Actualiser. Patientez jusqu’à ce que l’état du dernier déploiement soit Échec.

    Remarque : L’état Échec est dû à des limitations dans l’environnement de labo hébergé. Vous verrez normalement Réussi. Vous pouvez ensuite voir dans Analytics la règle importée Règle à partir d’AzureDevOps.

Vous avez terminé le labo.