学习路径 5 - 实验室 1 - 练习 2 - 使用 Microsoft Defender for Cloud 缓解威胁
实验室方案
你是一位安全运营分析师,你所在公司已实现 Microsoft Defender for Cloud。 你负责应对由 Microsoft Defender for Cloud 生成的建议和安全警报。
重要说明: 学习路径 #5 的实验室练习是在独立环境中进行的。 如果在完成实验室前退出,则需要重新运行配置。
完成本实验室的预计时间:15 分钟
任务 1:探索法规符合性
在此任务中,你将在 Microsoft Defender for Cloud 中查看法规符合性配置。
重要提示: 接下来的步骤将在另一台计算机上完成,而不是你之前使用的计算机。 查找虚拟机名称引用。
-
使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd 。
-
在 Microsoft Edge 浏览器中,打开 Azure 门户 https://portal.azure.com。
-
在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。
-
在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。
-
在 Azure 门户的搜索栏中,键入 Defender,然后选择“Microsoft Defender for Cloud”。
-
在“云安全”** 下,选择左侧菜单项中的“法规符合性”**。
备注: 如果看不到“工具栏”选项卡,可能需要刷新此页面。
-
在工具栏上选择“管理合规性标准”**。
-
选择订阅。
提示**:如果你有管理组的层次结构,请选择“全部展开**”以查找订阅。
-
在“设置”** 下,选择门户菜单中的“安全策略”**。
-
向下滚动并查看默认可用的“安全标准”。
-
使用搜索框查找“ISO 27001:2013”**。
-
选择“ISO 27001:2013”右侧的“状态”滑块并将其移至“开”。****
注意: 某些标准要求分配 Azure Policy 计划。
-
选择页面菜单上的“刷新”以确认你的订阅的“ISO 27001:2013”已设置为“开”。****
-
选择“安全策略”页面右上角的“X”关闭该页面,以返回“环境设置”。**
注意:你可能希望稍后返回到“监管合规性”,以查看新的标准控制和建议。
任务 2:浏览安全建议
在此任务中,你将查看云安全态势管理建议。
-
在“常规”部分中,从导航菜单中选择“建议”。
-
选择“添加筛选器”,然后选择“资源类型”****。
-
选中“计算机 - Azure Arc”复选框,然后选择“应用”按钮。****
备注: 如果未看到列出的计算机 - Azure Arc,请刷新页面。
-
选择状态不是“已完成”的任何建议。 可能需要向右滚动才能看到状态列。
-
查看建议并在“执行操作”选项卡中向下滚动到“委托”,然后选择“分配所有者并设置截止日期”****。
-
在“创建分配”窗口中,将“类型”设置为“Defender for Cloud”,然后展开“分配详细信息”****。
-
在“电子邮件地址”框中,键入管理员电子邮件。 提示:可以根据“资源”选项卡中的说明复制它。
-
浏览“设置修正时间范围”和“设置电子邮件通知”选项,然后选择“创建”。
注意:如果看到错误“无法创建请求的分配”,请稍后重试。
-
选择页面右上角的“X”,关闭建议页面。
任务 3:缓解安全警报
在此任务中,你将加载示例安全警报并查看警报详细信息。
-
在门户菜单的“常规”下选择“安全警报”。
-
从命令栏选择“示例警报”。 提示: 可能需要从命令栏中选择省略号 (…) 按钮。
-
在“创建示例警报(预览)”窗格中,确保已选择订阅,并在“Defender for Cloud 计划”区域中选择了所有示例警报。
-
选择“创建示例警报”。
注意:此示例警报创建过程可能需要几分钟时间才能完成,请等待“已成功创建示例警报”通知。
-
完成后,选择“刷新”(如果需要),查看警报是否显示在“安全警报”区域下。
-
选择“严重性”为“高”的有趣警报,然后执行以下操作:
-
选择“警报”复选框,此时会显示“警报详细信息”窗格。 选择“查看完整的详细信息”。
-
查看并阅读“警报详细信息”选项卡。
-
选择“执行操作”选项卡或向下滚动并选择页面底部的下一步: 执行操作”按钮。
-
查看“执行操作”信息。 请注意,可用于执行操作的部分取决于警报类型:检查资源上下文、缓解威胁、防止将来的攻击、触发自动响应、抑制类似警报。
-