学习路径 7 - 实验室 1 - 练习 1 - 配置 Microsoft Sentinel 环境
实验室方案
你是一位安全运营分析师,你所在公司正在实现 Microsoft Sentinel。 你负责设置满足公司要求的 Microsoft Sentinel 环境,并最大程度降低成本、符合法规要求,同时为安全团队提供最易于管理的环境,以便其履行日常工作职责。
重要说明: 学习路径 #7 的实验室练习是在独立环境中进行的。 如果在完成实验室前退出,则需要重新运行配置。
完成本实验室的估计时间:30 分钟
任务 1:创建 Log Analytics 工作区
创建日志分析工作区,包括区域选项。 详细了解 Microsoft Sentinel 中的角色。
-
使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd 。
-
在 Microsoft Edge 浏览器中,导航到 Azure 门户 (https://portal.azure.com )。
-
在“登录”对话框中,复制并粘贴实验室托管提供者为管理员用户名提供的租户电子邮件帐户,然后选择“下一步” 。
-
在“输入密码”对话框中,复制粘贴实验室托管提供者提供的管理员的租户密码,然后选择“登录” 。
-
在 Azure 门户的“搜索”栏中,键入“Microsoft Sentinel”,然后选择
-
选择“+ 新建”。
-
选择新建工作区。
-
为资源组选择“新建”。
-
输入 Defender-RG,然后选择“确定”。
-
对于名称,请输入 defenderWorkspace。
-
可以保留工作区的默认区域。
-
选择查看 + 创建以创建工作区。
-
选择创建以创建工作区。
任务 2:部署 Microsoft Sentinel 到工作区
向工作区部署 Microsoft Sentinel
-
工作区部署完成后,从 Microsoft Azure“痕迹导航”菜单中选择“主页”。
-
门户的“Azure 服务”部分中应显示 Microsoft Sentinel。 选择它。
-
从菜单项中选择“+ 创建”。
-
选择要添加 Sentinel 的工作区(在任务 1 中创建)。
-
选择 添加 。
任务 3:配置数据保留
-
在 Microsoft Azure“痕迹导航”菜单中,选择“主页”。
-
在 Azure 门户的搜索栏中输入“Log Analytics”,然后选择在任务 1 中创建的工作区。
-
展开导航菜单中的“设置”部分,然后选择“使用情况和估计成本”。
-
从菜单项中选择“数据保留”。
-
将数据保留期更改为 180 天。
-
选择“确定”**。
任务 4:创建播放列表
在此任务中,你将在 Microsoft Sentinel 中创建监视列表。
-
在 Windows 10 屏幕底部的搜索框中,输入“记事本”。 从结果中选择“记事本”。
-
键入“主机名”,然后输入新行。
-
从记事本的第 2 行复制以下主机名,每个主机名位于不同的行中:
Host1 Host2 Host3 Host4 Host5
-
从菜单中选择“文件”-“另存为”,将文件命名为“HighValue.csv”,将文件类型更改为“所有文件”(.),然后选择“保存”。 提示:文件可保存在 Documents 文件夹中。
-
关闭记事本。
-
从 Microsoft Azure“痕迹导航”菜单中,选择“主页”。
-
门户的“Azure 服务”部分中应显示 Microsoft Sentinel。 选择它。
-
在 Microsoft Sentinel 中的“配置”区域下,选择“监视列表”选项。
-
从命令栏中选择“+ 新建”。
-
在 Watchlist 向导中,输入以下内容:
常规设置 值 名称 HighValueHosts 说明 高价值主机 监视列表别名 HighValueHosts -
选择“下一步:源 >”。
-
选择“上传文件”下的“浏览文件”,然后浏览刚创建的 HighValue.csv 文件 。
-
在“SearchKey”字段中,选择“主机名”。
-
选择“下一页:查看和创建 >”。
-
检查输入的设置,然后选择“创建”。
-
屏幕返回到“监视列表”页。
-
从菜单中选择“刷新”以查看新的关注列表。
-
选择“HighValueHosts”监视列表,然后在右窗格上,选择“在日志中查看”。
重要提示:监视列表可能需要长达十分钟才能显示。 请继续执行以下任务,并在下一个实验室上运行此命令。
注意: 现在,可以在自己的 KQL 语句中使用 _GetWatchlist(‘HighValueHosts’) 来访问列表。 要引用的列将是主机名。
-
通过选择右上方的“x”关闭“日志”窗口,然后选择“确定”以放弃未保存的编辑。
任务 5:创建威胁指标
在此任务中,你将在 Microsoft Sentinel 中创建指标。
-
在 Microsoft Sentinel 中,在“威胁管理”区域中选择“威胁智能”选项。
-
从命令栏中选择“+ 新增”。
-
选择“TI 对象”。
-
从“对象类型”下拉列表中,选择“指示器”。
-
选择“+ 新建可观察对象”下拉列表,然后选择“域名”。
-
对于“域”,请输入域名,例如键入 contoso.com。
-
在“名称”字段中输入用于域的同一值。
-
在“指示器类型”中,选择“恶意活动”。
-
将“有效期开始时间”字段设置为当天日期。
-
向下滚动到“说明”,并输入“此域已知为恶意”。
-
选择 添加 。
-
在“Sentinel”导航菜单的“常规”区域下选择“日志”选项。 你可能希望禁用“始终显示查询”选项,并关闭“查询”窗口以运行 KQL 语句。
备注: 在默认的“新建查询 1”选项卡中,_GetWatchList(‘HighValueHosts’) 查询仍应存在,现在如果运行,将生成结果。
-
选择“+”符号新建查询选项卡。
-
运行以下 KQL 语句。
ThreatIntelligenceIndicator
注意:指标可能需要长达五分钟的时间才能显示。
-
向右滚动结果以查看“DomainName”列。 还可以运行以下 KQL 语句,这样就可以仅查看“DomainName”列。
ThreatIntelligenceIndicator | project DomainName
任务 6:配置日志保留期
在此任务中,将更改 SecurityEvent 表的保持期。
-
在 Microsoft Sentinel 的“配置”区域下,选择“设置”选项。
-
选择“工作区设置”。
-
在 Log Analytics 工作区的“设置”区域下,选择“表”选项。
-
搜索并选择“SecurityEvent”表,然后选择省略号链接 (…)。
备注: 可能需要滚动到右侧才能看到省略号链接。
-
选择“管理表”。
-
将“交互式保留期”更改为“90 天”。
-
将“总保留期”重置为“180 天”(如果需要)。 请注意,存档期现在设置为 90 天,因为 Azure Monitor 会自动将 90 天剩余总保留期视为低成本的长期保留期。
-
选择“保存”应用所做的更改。**