学习路径 8 - 实验室 1 - 练习 2 - 使用数据连接器将 Windows 设备连接到 Microsoft Sentinel
实验室方案
你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你需要了解如何连接来自组织中多个数据源的日志数据。 下一个数据源是 Azure 内部和外部的 Windows 虚拟机,例如本地环境或其他公共云。
重要说明: 学习路径 #8 的实验室练习是在独立环境中进行的。 如果在完成实验室前退出,则需要重新运行配置。
完成本实验室的估计时间:30 分钟
任务 1:在 Azure 中创建 Windows 虚拟机
在本任务中,你将在 Azure 中创建 Windows 虚拟机。
-
使用密码 Pa55w.rd 以管理员身份登录到 WIN1 虚拟机 。
-
在 Microsoft Edge 浏览器中,导航到 Azure 门户 (https://portal.azure.com )。
-
在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。
-
在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。
-
选择“+ 创建资源”。 提示: 如果已在 Azure 门户中,则可能需要从顶部栏中选择 Microsoft Azure 以返回主页。
-
在“搜索服务和市场”框中,输入 Windows 11 并从下拉列表中选择 Window 11。
-
选中 Window 11 的框。
-
打开“计划”下拉列表,然后选择“Windows 11 企业版,版本 22H2”。
-
选择“开始使用预设置配置”以继续。
-
选择“开发/测试”,然后选择“继续创建 VM” 。
-
为“资源组”** 选择“新建”**,输入 RG-AZWIN01 作为名称,然后选择“确定”**。
注意: 该资源组将是用于跟踪的新资源组。
-
在“虚拟机名称”处输入 AZWIN01。
-
将“区域”的默认值保留为“(US) 美国东部”。
-
向下滚动,查看虚拟机的“映像”。 如果显示为空,请选择“Windows 11 企业版,版本 22H2”。
-
查看虚拟机的“大小”。 如果显示为空,请选择“查看所有尺寸”,选择列出的第一个(D 系列)虚拟机尺寸,然后选择“选择”。
注意:如果看到消息“Azure Automanage 不支持此映像。若要禁用此功能,请导航到“管理”选项卡。否则,请选择受支持的映像**。” 转到“管理”选项卡并禁用“Automanage”。 之后创建过程便会成功。
-
向下滚动,输入你选择的用户名。 提示:避免使用保留字,如 admin 或 root。
-
输入你选择的密码。 提示: 重新使用 LabUser 密码可能更简单。 可以在“资源”选项卡中找到它。可能需要输入两次。
-
向下滚动到页面底部,选中“许可”下面的复选框,以确认你具有符合条件的许可证。
-
选择“查看 + 创建”,然后等待验证通过。
注意:如果网络验证失败,请选择该选项卡,查看其内容,然后再次选择“查看 + 创建”。
-
选择“创建”。 等待创建资源,这可能需要几分钟的时间。
任务 2:将本地服务器连接到 Azure
在此任务中,你将把本地服务器连接到 Azure 订阅。 Azure Arc 已在此服务器上预安装。 服务器将在接下来的练习中用于运行模拟攻击,随后将在 Microsoft Sentinel 中检测和调查这些攻击。
重要提示: 接下来的步骤将在另一台计算机上完成,而不是你之前使用的计算机。
-
使用以下密码以管理员身份登录到 WINServer 虚拟机:Passw0rd! 如有必要。
备注: 如上所述,已在 WINServer 计算机上预先安装 Azure Arc。 现在,将把此计算机连接到 Azure 订阅。
-
在 WINServer 计算机上,选择“搜索”图标并键入 cmd。
-
在搜索结果中,右键单击“命令提示符”,然后选择“以管理员身份运行”。
-
在命令提示符窗口中,键入以下命令。 请勿按 Enter:
azcmagent connect -g "defender-RG" -l "EastUS" -s "Subscription ID string"
-
将“订阅 ID 字符串”替换为实验室主机托管服务提供商提供的“订阅 ID”(*资源选项卡)。 请确保保留引号。
-
键入 Enter 以运行命令(这可能需要几分钟时间)。
备注:如果看到“如何打开此内容?”浏览器选择窗口,请选择 Microsoft Edge。
-
在“登录”对话框中,输入实验室托管提供商提供的“租户电子邮件”和“租户密码”,然后选择“登录”。 等待“身份验证完成”消息,关闭浏览器选项卡并返回到“命令提示符”窗口。
-
命令运行完成后,将“命令提示符”窗口保持打开状态,并键入以下命令以确认连接是否成功:
azcmagent show
-
在命令输出中,验证“代理状态”是否为“已连接”。
任务 3:连接 Azure Windows 虚拟机
在此任务中,需要将 Azure Windows 虚拟机连接到 Microsoft Sentinel。
备注: Microsoft Sentinel 已在 Azure 订阅中预先部署了名称 defenderWorkspace,并且已安装所需的“内容中心”解决方案。
-
使用密码 Pa55w.rd 以管理员身份登录到 WIN1 虚拟机 。
-
如有必要,打开 Microsoft Edge 浏览器,导航到 Azure 门户(网址为:https://portal.azure.com),然后使用提供的凭据登录。
-
在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。
-
选择 Microsoft Sentinel defenderWorkspace。
-
在 Microsoft Sentinel 左侧导航菜单中,向下滚动到“内容管理”部分,然后选择“内容中心”。
-
在“内容中心”,搜索“Windows 安全事件”解决方案,并从列表中选择它。
-
在“Windows 安全事件”解决方案页上,选择“管理”。
备注:“Windows 安全事件”解决方案同时安装“通过 AMA 收集的 Windows 安全事件”和“通过旧版代理程序的安全事件”数据连接器。 外加 2 个工作簿、20 个分析规则和 43 个搜寻查询。
-
选择“通过 AMA 收集的 Windows 安全事件”数据连接器,然后在连接器信息窗格上选择“打开连接器页面”。
-
在“配置”部分,选择“+ 创建数据收集规则”按钮。
-
为“规则名称”输入“AZWINDCR”,然后选择“下一步: 资源”。
-
在“资源”选项卡的“范围”下,展开“MOC 订阅”。
提示:可选择“范围”列前面的“>”来展开整个“范围”层次结构。
-
展开“RG-AZWIN01”,然后选择“AZWIN01”。
-
选择“下一步: 收集”。
-
查看不同的安全事件收集选项。 保留所有安全事件,然后选择“下一步: 查看 + 创建”。
-
选择“创建”,保存数据收集规则。
-
等待几分钟,然后选择“刷新”以查看列出的新数据收集规则。
任务 4:连接非 Azure Windows 计算机
在此任务中,需要将连接到 Azure Arc 的非 Azure Windows 虚拟机添加到 Microsoft Sentinel。
注意:“通过 AMA 的 Windows 安全中心事件”需要针对非 Azure 设备的 Azure Arc。
-
确保你位于 Microsoft Sentinel 工作区中的“通过 AMA 数据连接器收集的 Windows 安全事件”配置中。
-
在“配置”部分中,选择“铅笔”图标编辑 AZWINDCR数据收集规则。
-
选择“下一步: 资源”,并在“资源”选项卡的“范围”下展开“MOC 订阅”。
提示:可选择“范围”列前面的“>”来展开整个“范围”层次结构。
-
展开“defender-RG”(或你创建的资源组),然后选择“WINServer”。
重要说明:如果未看到 WINServer,请参阅在此服务器中安装 Azure Arc 的学习路径 3 练习 1 任务 4。
-
依次选择“下一步: 收集”、“下一步: 查看 + 创建” 。
-
显示“验证通过”后,选择“创建”。