Parcours d’apprentissage 9 - Labo 1 - Exercice 2 - Créer un guide opérationnel dans Microsoft Sentinel

Scénario de labo

Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Vous devez apprendre à détecter et à atténuer les menaces à l’aide de Microsoft Sentinel. À présent, vous souhaitez répondre et corriger des actions qui peuvent être exécutées à partir de Microsoft Sentinel en tant que routine.

Un playbook peut vous aider à automatiser et orchestrer votre réponse aux menaces. Il peut s’intégrer à d’autres systèmes, aussi bien internes qu’externes, et être configuré pour s’exécuter automatiquement en réponse à des alertes ou des incidents spécifiques, lorsqu’il est déclenché par une règle analytique ou une règle d’automatisation, respectivement.

Important : les exercices de laboratoire du parcours d’apprentissage #9 se trouvent dans un environnement autonome. Si vous quittez le labo sans enregistrer, vous devrez réexécuter certaines configurations.

Tâche 1 : créer un guide opérationnel dans Microsoft Sentinel

Dans cette tâche, vous allez créer une application logique utilisée comme playbook dans Microsoft Sentinel.

Remarque : Microsoft Sentinel a été prédéployé dans votre abonnement Azure avec le nom defenderWorkspace et les solutions Content Hub requises ont été installées.

  1. Connectez-vous à la machine virtuelle WIN1 en tant qu’Administrateur ou Administratrice avec le mot de passe : Pa55w.rd.

  2. Dans la boîte de dialogue Connexion, copiez et collez le compte de messagerie du locataire fourni par l’hébergeur du labo, puis sélectionnez Suivant.

  3. Dans la boîte de dialogue Entrer un mot de passe, copiez et collez le mot de passe du locataire fourni par l’hébergeur du labo, puis sélectionnez Connexion.

  4. Dans la barre de recherche du portail Azure, tapez Sentinel, puis sélectionnez Microsoft Sentinel.

  5. Sélectionnez le defenderWorkspace Microsoft Sentinel.

  6. Dans Microsoft Sentinel, accédez au Hub de contenu.

  7. Dans la barre de recherche, recherchez Sentinel SOAR Essentials.

  8. Sélectionnez la solution qui apparaît dans les résultats.

  9. Dans les détails de la solution, sélectionnez Gérer.

  10. Recherchez le guide opérationnel Defender_XDR_Ransomware_Playbook_for_SecOps-Tasks et sélectionnez-le.

  11. Sélectionnez le modèle Incident tasks - Microsoft Defender XDR Ransomware Playbook for SecOps.

  12. Sélectionnez Créer un guide opérationnel dans le volet Détails.

  13. Pour le groupe de ressources, sélectionnez Créer, saisissez RG-Playbooks et sélectionnez OK.

  14. Supprimez for du nom (la limite de 64 caractères est dépassée).

  15. Sélectionnez Connexions.

  16. Sélectionnez Suivant : Réviser et créer.

  17. À présent, sélectionnez Créer un guide opérationnel.

    Remarque : attendez que le déploiement se termine avant de passer à la tâche suivante.

Tâche 2 : mettre à jour un guide opérationnel dans Microsoft Sentinel

Dans cette tâche, vous allez mettre à jour le nouveau guide opérationnel que vous avez créé avec les informations de connexion appropriées.

  1. Une fois la tâche précédente terminée, vous devez vous trouver sur la page *Defender_XDR_Ransomware_Playbook_SecOps-Tasks   Concepteur d’applications logiques*. Si ce n’est pas le cas, effectuez les étapes 1 à 5 ci-dessous.

  2. Dans la barre de recherche du portail Azure, tapez Sentinel, puis sélectionnez Microsoft Sentinel.

  3. Sélectionnez votre espace de travail Microsoft Sentinel.

  4. Sélectionnez Automatisation sous la zone Configuration, puis sélectionnez l’onglet Playbooks actifs.

  5. Sélectionnez Actualiser dans la barre de commandes si vous ne voyez aucun guide opérationnel. Vous devez voir le playbook créé à l’étape précédente.

  6. Sélectionnez le lien du nom du guide opérationnel Defender_XDR_Ransomware_Playbook_SecOps_Tasks.

  7. Dans le menu de commandes de la page Concepteur d’applications logiques de Defender_XDR_Ransomware_Playbook_SecOps_Tasks, sélectionnez Modifier.

    Remarque : il peut être nécessaire d’actualiser la page.

  8. Sélectionnez le premier bloc, incident Microsoft Sentinel.

  9. Sélectionnez le lien Modifier la connexion.

  10. Sélectionnez Ajouter et sélectionnez Se connecter. Dans la nouvelle fenêtre, sélectionnez les informations d’identification d’administrateur de votre abonnement Azure lorsque vous y êtes invité. La dernière ligne du bloc doit maintenant indiquer « Connecté à votre-identifiant-d’administrateur ».
  1. Sélectionnez Enregistrer sur la barre de commandes. L’application logique sera utilisée dans un prochain labo.

Tâche 3 : créer une règle d’automatisation

  1. Dans Microsoft Sentinel, développez Configuration dans le menu de navigation, puis sélectionnez Automatisation.

  2. Sélectionnez Créer, puis choisissez Règle d’automatisation.

  3. Nommez la règle.

  4. Laissez le fournisseur d’incidents sur Tous.

  5. Laissez le nom de la règle analytique sur Tous.

  6. Sélectionnez + Ajouter et choisissez Condition (Et).

  7. Sélectionnez Tactiques dans la liste déroulante.

  8. Sélectionnez l’opérateur Contient dans la liste déroulante.

  9. Sélectionnez les tactiques suivantes :
    • Reconnaissance
    • Exécution
    • Persistance
    • Commande et contrôle
    • Exfiltration
    • PreAttack

  10. Dans Actions, sélectionnez Exécuter le guide opérationnel.

  11. Sélectionnez le lien Gérer les autorisations du guide opérationnel.

  12. Sur la page Gérer les autorisations , sélectionnez le groupe de ressources RG Playbooks que vous avez créé dans le labo précédent, puis sélectionnez Appliquer.

  13. Dans la liste déroulante, sélectionnez le guide opérationnel Defender_XDR_Ransomware_Playbook_SecOps_Tasks.

  14. Sélectionnez Appliquer en bas.

Vous avez maintenant créé un guide opérationnel et une règle d’automatisation dans Microsoft Sentinel.

Passez à l’exercice 3