学习路径 7 - 实验室 1 - 练习 4 - 探索实体行为分析
实验室方案
你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你已创建“计划”规则和“Microsoft 安全分析”规则。
需要将 Microsoft Sentinel 配置为执行实体行为分析来发现异常并提供实体分析页面。
注意: 我们提供 交互式实验室模拟 ,让你能以自己的节奏点击浏览实验室。 你可能会发现交互式模拟与托管实验室之间存在细微差异,但演示的核心概念和思想是相同的。
任务 1:探索实体行为
在此任务中,你将在 Microsoft Sentinel 中探索实体行为分析。
-
使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd。
-
在 Microsoft Edge 浏览器中,导航到 Azure 门户 (https://portal.azure.com )。
-
在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。
-
在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。
-
在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。
-
选择之前创建的 Microsoft Sentinel 工作区。
-
选择“实体行为”页。
-
在“实体行为设置”的弹出窗口中,选择“设置 UEBA”。
-
在“实体行为分析”** 下的“设置”** 选项卡上,选择“设置 UEBA”**。
-
查看启用实体行为分析的三个前提步骤。
-
选择页面右上角的 x,关闭“实体行为配置”页面。
-
向下滚动“设置”** 选项卡到“异常”** 部分,然后通读该段。
-
选择“转到分析以配置异常”。
任务 2:确认并查看异常规则
在此任务中,你将确认是否已启用异常分析规则。
-
你现在应该位于“Analytics”页面的“异常”选项卡上 。
-
确认规则的状态列为“已启用”。
-
选择任意规则,然后在规则边栏选项卡上选择“编辑”。
-
查看“常规”选项卡信息。 注意“模式”为“生产”,然后选择“下一步: 配置” 。
-
查看“配置”选项卡信息。 注意,无法更改“异常分数阈值”。
-
然后选择右上角的“X”以退出“分析规则”向导。
-
向右滚动到所选的分析规则,直到看到并选择省略号 (…) 图标。
-
选择“复制”并向左滚动,查看名称开头为 FLGT 制表符的新规则 。
-
选择 FLGT 规则,然后在规则边栏选项卡上选择“编辑” 。
-
查看“常规”选项卡信息。 注意“模式”为“外部测试”,然后选择“下一步: 配置” 。
-
查看“配置”选项卡信息。 注意,现在可以更改“异常分数阈值”。
-
将值设置为 1,然后选择“下一步: 提交反馈” 。
-
选择“下一步: 查看并创建”**,然后选择“保存”** 以更新规则。
注意:可以通过更改此规则上的设置将“外部测试”规则升级为“生产”规则,并保存更改 。 “生产”规则随后将成为“外部测试”规则 。