学习路径 7 - 实验室 1 - 练习 3 - 根据模板创建计划查询

实验室方案

实验室概述。

你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你需要了解如何使用 Microsoft Sentinel 检测和缓解威胁。 将数据源连接到 Microsoft Sentinel 后,可以创建自定义分析规则来帮助发现环境中的威胁和异常行为。

分析规则将在你的整个环境中搜索特定事件或事件集,在达到特定事件阈值或条件时发出警报,生成故障事件以供 SOC 进行会审和调查,并通过自动化跟踪和修正流程来响应威胁。

注意: 我们提供 交互式实验室模拟 ,让你能以自己的节奏点击浏览实验室。 你可能会发现交互式模拟与托管实验室之间存在细微差异,但演示的核心概念和思想是相同的。

任务 1:创建计划查询

在此任务中,你将创建一个计划查询,并将其连接到在上一个练习中创建的 Teams 频道。

  1. 使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd

  2. 在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。

  3. 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。

  4. 在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。

  5. 选择 Microsoft Sentinel 工作区。

  6. 从“配置”区域选择“分析”。

  7. 确保你位于命令栏中的“规则模板”选项卡中,并搜索“新建 CloudShell 用户”规则。

  8. 在规则摘要边栏选项卡中,查看“数据源: Azure 活动”下的绿色图标,确保接收数据。

    注意:如果未看到它处于连接状态,请确保已完成学习路径 6 实验室练习 1 的任务 3。

  9. 选择“创建规则”以继续。

  10. 在 Analytics 规则向导的“常规”选项卡上,将“严重性”更改为“中” 。

  11. 选择“下一页:设置规则逻辑 >”按钮:

  12. 对于规则查询,请选择“查看查询结果”。 不应收到任何结果或任何错误。

  13. 通过选择右上方的 X 关闭“日志”窗口,然后选择“确定”以放弃保存更改,并返回到向导 。

  14. 向下滚动并在“查询计划”下设置以下项:

    设置
    运行查询的时间间隔 5 分钟
    查找上次的数据 1 天

    注意: 我们特意针对同一数据生成了多个事件。 这样,实验室就可使用这些警报。

  15. 在“警报阈值”区域下,保留值不变,因为我们希望警报注册每个事件。

  16. 在“事件分组”区域下,将“将所有事件分组到一个警报中”保留为所选选项,因为我们希望在每次运行时生成单个警报,只要查询返回的结果多于上述指定的警报阈值。

  17. 选择底部的“下一步: 事件设置 >”按钮。

  18. 在“事件设置”选项卡上,查看默认选项。

  19. 选择底部的“下一步: 自动响应 >”按钮。

  20. 在“自动化规则”** 下的“自动响应”** 选项卡上,选择“+新增”**

  21. 对于“自动化规则名称”,请输入“第 2 层”。

  22. 对于“操作”,请选择“分配所有者”。

  23. 然后,选择“分配给我”。 然后选择“+ 添加操作”。

  24. 使用“然后”下拉菜单选择“运行 playbook”

  25. 此时会显示第二个下拉菜单,其中包含有关 playbook 权限的“信息 (i)”消息以及“管理 playbook 权限链接”

    注意:在配置权限之前,playbook 将在下拉列表中显示为灰色。

  26. 选择“管理 playbook 权限链接”

  27. 在“管理权限”页上,选择在上一个实验室中创建的“RG-Playbooks”资源组,然后选择“应用”。

  28. 在下拉菜单中,选择在上一练习中创建的 playbook PostMessageTeams-OnIncident。

  29. 选择“应用”

  30. 选择“下一步: 查看并创建 >”按钮。

  31. 选择“保存”。

任务 2:测试你的新规则

在此任务中,你将测试新的计划查询规则。

  1. 在 Azure 门户的顶部栏中,选择与 Cloud Shell 对应的图标 >_。 如果显示分辨率太低,可能需要先选择省略号图标 (…)。

  2. 在“欢迎使用 Azure Cloud Shell”窗口中,选择“Powershell”**

  3. 在“开始”页上,选择“装载存储帐户”,然后从“存储帐户订阅”下拉菜单项中选择你的“Azure Pass - 赞助”,然后选择“应用”按钮。******

    重要提示: 请勿选择“不需要存储帐户”单选按钮选项。** 它会导致事件创建失败。

  4. 在“装载存储帐户”页上,选择“我们将为你创建一个存储帐户”,然后选择“下一步”。****

  5. 等待 Cloud Shell 预配完成,然后关闭 Azure Cloud Shell 窗口。

  6. 在 Azure 门户的“搜索”栏中,键入“活动”,然后选择“活动日志”。

  7. 确保显示以下操作名称项:“列出存储帐户密钥”和“更新存储帐户创建” 。 前面查看的 KQL 查询将匹配这些操作以生成警报。 提示:可能需要选择“刷新”来更新列表 。

  8. 在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。

  9. 选择 Microsoft Sentinel 工作区。

  10. 选择“威胁管理”下的“事件”菜单选项。

  11. 选择“自动刷新事件”切换按钮。

  12. 应该会看到新创建的事件。

    注意:触发事件的事件可能至少需要 5 分钟才能处理。 继续下一个练习,稍后你将返回到此视图。

  13. 选择“事件”并查看右侧边栏选项卡中的信息。

  14. 通过在 Microsoft Edge 浏览器中选择选项卡来返回到 Microsoft Teams。 如果已关闭它,只需打开新选项卡并键入 https://teams.microsoft.com 。 转到 SOC Teams,选择“新建警报”频道,并查看有关事件的消息帖子 。

继续完成练习 4