学习路径 5 - 实验室 1 - 练习 2 - 使用 Microsoft Defender for Cloud 缓解威胁

实验室方案

实验室概述。

你是一位安全运营分析师,你所在公司已实现 Microsoft Defender for Cloud。 你负责应对由 Microsoft Defender for Cloud 生成的建议和安全警报。

重要说明: 学习路径 #5 的实验室练习是在独立环境中进行的。 如果在完成实验室前退出,则需要重新运行配置。

完成本实验室的预计时间:15 分钟

任务 1:探索法规符合性

在此任务中,你将在 Microsoft Defender for Cloud 中查看法规符合性配置。

重要提示: 接下来的步骤将在另一台计算机上完成,而不是你之前使用的计算机。 查找虚拟机名称引用。

  1. 使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd 。

  2. 在 Microsoft Edge 浏览器中,打开 Azure 门户 https://portal.azure.com

  3. 在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。

  4. 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。

  5. 在 Azure 门户的搜索栏中,键入 Defender,然后选择“Microsoft Defender for Cloud”。

  6. 在“云安全”** 下,选择左侧菜单项中的“法规符合性”**

    备注: 如果看不到“工具栏”选项卡,可能需要刷新此页面。

  7. 在工具栏上选择“管理合规性标准”**

  8. 选择订阅。

    提示**:如果你有管理组的层次结构,请选择“全部展开**”以查找订阅。

  9. 在“设置”** 下,选择门户菜单中的“安全策略”**

  10. 向下滚动并查看默认可用的“安全标准”。

  11. 使用搜索框查找“ISO 27001:2013”**。

  12. 选择“ISO 27001:2013”右侧的“状态”滑块并将其移至“开”。****

    注意: 某些标准要求分配 Azure Policy 计划。

  13. 选择页面菜单上的“刷新”以确认你的订阅的“ISO 27001:2013”已设置为“开”。****

  14. 选择“安全策略”页面右上角的“X”关闭该页面,以返回“环境设置”。**

    注意:你可能希望稍后返回到“监管合规性”,以查看新的标准控制和建议。

任务 2:浏览安全建议

在此任务中,你将查看云安全态势管理建议。

  1. 在“常规”部分中,从导航菜单中选择“建议”。

  2. 选择“添加筛选器”,然后选择“资源类型”****。

  3. 选中“计算机 - Azure Arc”复选框,然后选择“应用”按钮。****

    备注: 如果未看到列出的计算机 - Azure Arc,请刷新页面。

  4. 选择状态不是“已完成”的任何建议。 可能需要向右滚动才能看到状态列。

  5. 查看建议并在“执行操作”选项卡中向下滚动到“委托”,然后选择“分配所有者并设置截止日期”****

  6. 在“创建分配”窗口中,将“类型”设置为“Defender for Cloud”,然后展开“分配详细信息”****

  7. 在“电子邮件地址”框中,键入管理员电子邮件。 提示:可以根据“资源”选项卡中的说明复制它。

  8. 浏览“设置修正时间范围”和“设置电子邮件通知”选项,然后选择“创建”。

    注意:如果看到错误“无法创建请求的分配”,请稍后重试。

  9. 选择页面右上角的“X”,关闭建议页面。

任务 3:缓解安全警报

在此任务中,你将加载示例安全警报并查看警报详细信息。

  1. 在门户菜单的“常规”下选择“安全警报”。

  2. 从命令栏选择“示例警报”。 提示: 可能需要从命令栏中选择省略号 (…) 按钮。

  3. 在“创建示例警报(预览)”窗格中,确保已选择订阅,并在“Defender for Cloud 计划”区域中选择了所有示例警报。

  4. 选择“创建示例警报”。

    注意:此示例警报创建过程可能需要几分钟时间才能完成,请等待“已成功创建示例警报”通知。

  5. 完成后,选择“刷新”(如果需要),查看警报是否显示在“安全警报”区域下。

  6. 选择“严重性”为“”的有趣警报,然后执行以下操作:

    • 选择“警报”复选框,此时会显示“警报详细信息”窗格。 选择“查看完整的详细信息”。

    • 查看并阅读“警报详细信息”选项卡。

    • 选择“执行操作”选项卡或向下滚动并选择页面底部的下一步: 执行操作”按钮。

    • 查看“执行操作”信息。 请注意,可用于执行操作的部分取决于警报类型:检查资源上下文、缓解威胁、防止将来的攻击、触发自动响应、抑制类似警报。

你已完成本实验室