学习路径 7 - 实验室 1 - 练习 9 - 部署 ASIM 分析程序
实验室方案
你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 需要为特定 Windows 注册表事件建模 ASIM 分析程序。 这些分析程序将在稍后按照高级安全信息模型 (ASIM) 注册表事件规范化架构参考来完成。
注意: 我们提供 交互式实验室模拟 ,让你能以自己的节奏点击浏览实验室。 你可能会发现交互式模拟与托管实验室之间存在细微差异,但演示的核心概念和思想是相同的。
任务 1:部署注册表架构 ASIM 分析程序
在此任务中,你将查看 Microsoft Sentinel 部署随附的注册表架构分析程序。
-
使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd。
-
在 Microsoft Edge 浏览器中,导航到 Azure 门户 (https://portal.azure.com )。
-
在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。
-
在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。
-
在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。
-
选择之前创建的 Microsoft Sentinel 工作区。
-
在“常规”左侧菜单下选择“日志”。
-
根据需要选择 »,打开“架构和筛选器”边栏选项卡。
-
选择“函数”选项卡(在“表”和“查询”选项卡旁边)。 提示:可能需要选择省略号图标 (…) 才能选择该选项卡 。
-
在“搜索”栏中键入“注册表”,向下滚动查看 ASIM 分析程序函数,直到在“Microsoft Sentinel”标题下看到 Microsoft Windows 对应以下 _Im_RegistryEvent_MicrosoftWindowsEventxxx。****
注意: 我们在 ASIM 分析程序函数名称中使用 xxx 来解释版本更改。 在此实验室更新时,函数为 _Im_RegistryEvent_MicrosoftWindowsEventV02。**
-
将鼠标悬停在 _Im_RegistryEvent_MicrosoftWindowsEventxxx ASIM 函数上,然后在弹出窗口中选择“加载函数代码”。****
-
查看正在分析事件 ID 4657 的 KQL,以简化对 Microsoft Sentinel 工作区中的数据的分析。
提示**:在代码窗口中键入 ctrl+f 会显示“查找”并让搜索“EventID:** 4657”变得更容易。
-
在“日志”** 中打开“新建查询”选项卡。
-
返回到“架构和筛选器”边栏选项卡,现在将鼠标悬停在 Microsoft Windows 事件和安全事件的 _Im_RegistryEvent_MicrosoftWindowsEventxxx 注册表事件 ASIM 筛选分析程序,然后选择“在编辑器中使用”。****
-
运行 ASIM 函数查询。** 如果已完成上一个实验室练习,应会看到结果和无错误消息。