Parcours d’apprentissage 8 - Labo 1 - Exercice 3 - Connecter des hôtes Linux à Microsoft Sentinel avec des connecteurs de données

Scénario du labo

Vue d’ensemble du labo

Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Vous devez apprendre à connecter des données de journal provenant de nombreuses sources de données dans votre organisation. La source de données suivante est constituée par des machines virtuelles Linux qui utilisent le CEF (Common Event Format) via les connecteurs Ancien agent et Syslog.

Important : les exercices de laboratoire du parcours d’apprentissage #8 se trouvent dans un environnement autonome. Si vous quittez le labo sans enregistrer, vous devrez réexécuter certaines configurations.

Temps estimé pour terminer ce labo : 30 minutes

Important : il existe des étapes dans les tâches suivantes effectuées dans différentes machines virtuelles. Recherchez les références de nom de machine virtuelle.

Tâche 1 : Accéder à l’espace de travail Microsoft Sentinel

Dans cette tâche, vous allez accéder à votre espace de travail Microsoft Sentinel.

Remarque : Microsoft Sentinel a été prédéployé dans votre abonnement Azure avec le nom defenderWorkspace et les solutions Content Hub requises ont été installées.

  1. Connectez-vous à la machine virtuelle WIN1 en tant qu’Admin avec le mot de passe suivant : Pa55w.rd.

  2. Ouvrez le navigateur Microsoft Edge.

  3. Dans le navigateur Edge, accédez au portail Azure à l’adresse https://portal.azure.com.

  4. Dans la boîte de dialogue Connexion, copiez et collez le compte de messagerie du locataire fourni par l’hébergeur du labo, puis sélectionnez Suivant.

  5. Dans la boîte de dialogue Entrer le mot de passe, copiez et collez le mot de passe du locataire fourni par l’hébergeur du labo, puis sélectionnez Connexion.

  6. Dans la barre de recherche du portail Azure, tapez Sentinel, puis sélectionnez Microsoft Sentinel.

  7. Sélectionnez le defenderWorkspace Microsoft Sentinel.

Tâche 2 : connecter un hôte Linux à l’aide du connecteur Common Event Format

Dans cette tâche, vous allez connecter un hôte Linux à Microsoft Sentinel avec le CEF (Common Event Format) via le connecteur Ancien agent.

  1. Dans les menus de gauche de Microsoft Sentinel, faites défiler jusqu’à la section Gestion de contenu, puis sélectionnez Hub de contenu.

  2. Dans le Hub de contenu, recherchez la solution Common Event Format et sélectionnez-la dans la liste.

  3. Dans la page de solution Common Event Format, sélectionnez Gérer.

    Remarque : la solution Common Event Format installe les connecteurs CEF (Common Events Format) via AMA et CEF (Common Events Format).

  4. Sélectionnez le connecteur de données CEF (Common Events Format) via AMA, puis Ouvrir la page du connecteur dans le panneau d’informations du connecteur.

  5. Dans la section Configuration, copiez dans le Presse-papiers la commande affichée dans Exécutez la commande suivante pour installer et appliquer le collecteur CEF :.

  6. Lancez votre machine virtuelle LIN1. Connectez-vous avec le nom d’utilisateur et le mot de passe fournis par l’hébergeur de labo. Conseil : vous devrez peut-être appuyer sur la touche Entrée pour afficher l’invite de connexion. Il est toujours utile de noter le nom d’utilisateur et le mot de passe.

  7. Notez l’adresse IP de votre serveur LIN1. Voir la capture d’écran ci-dessous comme exemple :

    connexion Linux

  8. Revenez à la machine virtuelle WIN1. Lancez Windows PowerShell en tapant Windows PowerShell dans le formulaire de recherche dans la barre des tâches, puis sélectionnez Windows PowerShell.

  9. Entrez la commande PowerShell suivante en spécifiant les informations relatives à votre serveur Linux, puis appuyez sur Entrée :

     ssh insert-your-linux-IP-address-here -l insert-linux-user-name-here

  10. Entrez oui pour confirmer la connexion, puis tapez le mot de passe de l’utilisateur et appuyez sur Entrée. Votre écran doit ressembler à ceci :

    Connexion Linux

  11. Vous pouvez maintenant coller la commande Exécutez la commande suivante pour installer et appliquer le collecteur CEF : de l’étape précédente. Assurez-vous que le script d’Azure se trouve dans le presse-papiers. Dans la session SSH PowerShell, cliquez avec le bouton droit pour coller la commande dans l’invite de commandes.

  12. Une fois collé et avant d’appuyer sur Entrée, ajoutez le caractère 3 au mot python, comme indiqué ci-dessous :

    ConnectorScript

  13. Une fois le script modifié, appuyez sur Entrée. Le script s’exécute sur votre serveur Linux à distance. Lorsque le script traite correctement, il doit ressembler à cet écran :

    ConnectorScript

    Remarque : votre écran peut ne pas être exactement comme indiqué, mais vous devez voir que l’installation a réussi.

  14. Tapez exit pour fermer la connexion shell à distance sur LIN1.

Tâche 3 : connecter un hôte Linux à l’aide du connecteur Syslog

Dans cette tâche, vous allez connecter un hôte Linux à Microsoft Sentinel avec le connecteur Syslog.

  1. Revenez au navigateur Microsoft Edge contenant votre portail Microsoft Sentinel et fermez la page du connecteur de données « Common Event Format (CEF) via l’ancien agent » en sélectionnant le bouton « x » dans le coin supérieur droit.

  2. Dans les menus de gauche de Microsoft Sentinel, faites défiler jusqu’à la section Gestion de contenu, puis sélectionnez Hub de contenu.

  3. Dans le Hub de contenu, recherchez la solution Syslog et sélectionnez-la dans la liste.

  4. Dans la page de la solution Syslog, sélectionnez Gérer.

    Remarque : la solution Syslog installe deux connecteurs de données Syslog, 7 règles analytiques, 9 requêtes de repérage, 2 analyseurs et 21 classeurs.

  5. Sélectionnez le connecteur de données Syslog via l’agent hérité, puis Ouvrir la page du connecteur dans le panneau d’informations du connecteur.

  6. Dans la section Configuration, développez Installer l’agent sur une machine Linux non Azure.

  7. Sélectionnez le lien Télécharger et installer l’agent pour les machines Linux non Azure.

    Remarque : votre espace de travail Log Analytics doit afficher 2 ordinateurs Windows connectés. Il s’agit des machines virtuelles WINServer et AZWIN01 connectées précédemment.

  8. Sélectionnez ensuite l’onglet Serveurs Linux.

    Remarque : votre espace de travail Log Analytics doit afficher 1 ordinateur Linux connecté. Il s’agit de la machine virtuelle LIN1 (ubuntu1) connectée précédemment au connecteur CEF.

  9. Sélectionnez Instructions de l’agent Log Analytics.

  10. Copiez la commande de la zone Télécharger et intégrer l’agent pour Linux dans le Presse-papiers.

  11. Lancez votre machine virtuelle LIN2. Connectez-vous avec le nom d’utilisateur et le mot de passe fournis par votre hôte de labo. Conseil : vous devrez peut-être appuyer sur la touche Entrée pour afficher l’invite de connexion.

  12. Notez l’adresse IP de votre serveur LIN2. Voir la capture d’écran ci-dessous comme exemple :

    connexion Linux

  13. Revenez à la machine virtuelle WIN1. Sélectionnez la console Windows PowerShell utilisée dans la tâche précédente.

  14. Entrez la commande PowerShell suivante en spécifiant les informations relatives à votre serveur Linux, puis appuyez sur Entrée :

     ssh insert-your-linux-IP-address-here -l insert-linux-user-name-here

  15. Entrez oui pour confirmer la connexion, puis tapez le mot de passe de l’utilisateur et appuyez sur Entrée. Votre écran doit ressembler à ceci :

    Connexion Linux

  16. Vous êtes maintenant prêt à coller la commande Télécharger et intégrer l’agent pour Linux à partir de l’étape précédente. Assurez-vous que le script se trouve dans le Presse-papiers. Dans PowerShell, cliquez avec le bouton droit sur la barre supérieure et sélectionnez Modifier, puis Coller.

  17. Une fois le script collé, appuyez sur Entrée. Le script s’exécute à distance sur votre serveur Linux. Wait

  18. Une fois l’opération terminée, tapez exit pour fermer la connexion shell à distance sur LIN2.

Tâche 4 : configurer les fonctionnalités à collecter et leurs gravités pour le connecteur Syslog

Dans cette tâche, vous allez configurer les fonctionnalités de la collecte Syslog.

  1. Revenez au navigateur Edge contenant votre portail Microsoft Sentinel et fermez les pages « Espace de travail Log Analytics » et Connecteur de données « Syslog » en sélectionnant le bouton « x » dans le coin supérieur droit deux fois.

  2. Dans le portail Microsoft Sentinel, sous Configuration, sélectionnez Paramètres, puis l’onglet Paramètres de l’espace de travail.

  3. Dans la zone Classique, sélectionnez Gestion des agents hérités.

  4. Sélectionnez l’onglet Syslog.

  5. Sélectionnez le bouton + Ajouter une fonctionnalité.

  6. Dans le menu déroulant pour Nom de la fonctionnalité, sélectionnez auth.

  7. Sélectionnez à nouveau le bouton + Ajouter une fonctionnalité.

  8. Dans le menu déroulant pour Nom de l’installation, sélectionnez syslog.

  9. Cliquez sur Appliquer pour enregistrer vos modifications.

Passer à l’Exercice 4