Chemin d’apprentissage 7 - Labo 1 - Exercice 9 - Déployer des analyseurs ASIM

Scénario du labo

Vue d’ensemble du labo

Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Vous devez modéliser les analyseurs ASIM pour un événement de Registre Windows spécifique. Ces analyseurs seront finalisés ultérieurement à la suite de la référence de schéma de normalisation des événements de Registre ASIM (Advanced Security Information Model).

Remarque : Une simulation de labo interactive est disponible et vous permet de progresser à votre propre rythme. Il peut exister de légères différences entre la simulation interactive et le labo hébergé. Toutefois, les concepts et idées de base présentés sont identiques.

Tâche 1 : Déployer les analyseurs ASIM du schéma de Registre

Dans cette tâche, vous passez en revue les analyseurs de schéma de Registre inclus dans le déploiement de Microsoft Sentinel.

  1. Connectez-vous à la machine virtuelle WIN1 en tant qu’Administrateur ou Administratrice avec le mot de passe : Pa55w.rd.

  2. Dans le navigateur Microsoft Edge, accédez au portail Azure à l’adresse https://portal.azure.com.

  3. Dans la boîte de dialogue Connexion, copiez et collez le compte de messagerie du locataire fourni par l’hébergeur du labo, puis sélectionnez Suivant.

  4. Dans la boîte de dialogue Entrer le mot de passe, copiez et collez le mot de passe du locataire fourni par l’hébergeur du labo, puis sélectionnez Connexion.

  5. Dans la barre de recherche du portail Azure, tapez Sentinel, puis sélectionnez Microsoft Sentinel.

  6. Sélectionnez l’espace de travail Microsoft Sentinel que vous avez créé précédemment.

  1. Dans le menu de gauche Général, sélectionnez Journaux.

  2. Ouvrez le volet Schéma et filtre en sélectionnant » si nécessaire.

  3. Sélectionnez l’onglet Fonctions (en regard des onglets Tables et Requêtes). Conseil : vous devrez peut-être sélectionner l’icône de points de suspension (…) pour sélectionner l’onglet.

  4. Dans la barre de Recherche, tapez Registre, faites défiler les fonctions d’analyseur ASIM jusqu’à ce que vous voyiez _Im_RegistryEvent_MicrosoftWindowsEventxxx pour Microsoft Windows sous le titre Microsoft Sentinel.

    Remarque : Nous utilisons xxx dans le nom de la fonction d’analyseur ASIM pour tenir compte des modifications de version. Au moment où ce labo a été mis à jour, la fonction était _Im_RegistryEvent_MicrosoftWindowsEventV02.

  5. Pointez sur la fonction ASIM _Im_RegistryEvent_MicrosoftWindowsEventxxx, puis sélectionnez Charger le code de la fonction dans la fenêtre contextuelle.

  6. Passez en revue l’instruction KQL qui analyse l’ID d’événement 4657 pour simplifier votre analyse des données dans l’espace de travail Microsoft Sentinel.

    Conseil : Tapez Ctrl+f dans la fenêtre de code pour afficher Rechercher et simplifier la recherche de EventID : 4657.

  7. Dans Journaux d’activité, ouvrez un nouvel onglet Requête.

  8. Revenez au panneau Schéma et Filtre, puis pointez sur _Im_RegistryEvent_MicrosoftWindowsEventxxx, analyseur de filtrage ASIM de l’événement de Registre pour les événements Microsoft Windows et les événements de sécurité, puis sélectionnez Utiliser dans l’éditeur.

  9. Exécutez la requête de fonction ASIM. Si vous avez effectué les exercices de labo précédents, vous devez voir les résultats et les messages sans erreur.

Passez à l’exercice 10