学习路径 8 - 实验室 1 - 练习 2 - 使用数据连接器将 Windows 设备连接到 Microsoft Sentinel

实验室方案

实验室概述。

你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你需要了解如何连接来自组织中多个数据源的日志数据。 下一个数据源是 Azure 内部和外部的 Windows 虚拟机,例如本地环境或其他公共云。

重要说明: 学习路径 #8 的实验室练习是在独立环境中进行的。 如果在完成实验室前退出,则需要重新运行配置。

完成本实验室的估计时间:30 分钟

任务 1:在 Azure 中创建 Windows 虚拟机

在本任务中,你将在 Azure 中创建 Windows 虚拟机。

  1. 使用密码 Pa55w.rd 以管理员身份登录到 WIN1 虚拟机 。

  2. 在 Microsoft Edge 浏览器中,导航到 Azure 门户 (https://portal.azure.com )。

  3. 在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。

  4. 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。

  5. 选择“+ 创建资源”。 提示: 如果已在 Azure 门户中,则可能需要从顶部栏中选择 Microsoft Azure 以返回主页。

  6. 在“搜索服务和市场”框中,输入 Windows 11 并从下拉列表中选择 Window 11

  7. 选中 Window 11 的框。

  8. 打开“计划”下拉列表,然后选择“Windows 11 企业版,版本 22H2”。

  9. 选择“开始使用预设置配置”以继续。

  10. 选择“开发/测试”,然后选择“继续创建 VM” 。

  11. 为“资源组”** 选择“新建”**,输入 RG-AZWIN01 作为名称,然后选择“确定”**。

    注意: 该资源组将是用于跟踪的新资源组。

  12. 在“虚拟机名称”处输入 AZWIN01。

  13. 将“区域”的默认值保留为“(US) 美国东部”。

  14. 向下滚动,查看虚拟机的“映像”。 如果显示为空,请选择“Windows 11 企业版,版本 22H2”。

  15. 查看虚拟机的“大小”。 如果显示为空,请选择“查看所有尺寸”,选择列出的第一个(D 系列)虚拟机尺寸,然后选择“选择”。

    注意:如果看到消息“Azure Automanage 不支持此映像。若要禁用此功能,请导航到“管理”选项卡。否则,请选择受支持的映像**。” 转到“管理”选项卡并禁用“Automanage”。 之后创建过程便会成功。

  16. 向下滚动,输入你选择的用户名。 提示:避免使用保留字,如 admin 或 root。

  17. 输入你选择的密码。 提示: 重新使用 LabUser 密码可能更简单。 可以在“资源”选项卡中找到它。可能需要输入两次。

  18. 向下滚动到页面底部,选中“许可”下面的复选框,以确认你具有符合条件的许可证。

  19. 选择“查看 + 创建”,然后等待验证通过。

    注意:如果网络验证失败,请选择该选项卡,查看其内容,然后再次选择“查看 + 创建”。

  20. 选择“创建”。 等待创建资源,这可能需要几分钟的时间。

任务 2:将本地服务器连接到 Azure

在此任务中,你将把本地服务器连接到 Azure 订阅。 Azure Arc 已在此服务器上预安装。 服务器将在接下来的练习中用于运行模拟攻击,随后将在 Microsoft Sentinel 中检测和调查这些攻击。

重要提示: 接下来的步骤将在另一台计算机上完成,而不是你之前使用的计算机。

  1. 使用以下密码以管理员身份登录到 WINServer 虚拟机:Passw0rd! 如有必要。

    备注: 如上所述,已在 WINServer 计算机上预先安装 Azure Arc。 现在,将把此计算机连接到 Azure 订阅。

  2. WINServer 计算机上,选择“搜索”图标并键入 cmd

  3. 在搜索结果中,右键单击“命令提示符”,然后选择“以管理员身份运行”。

  4. 在命令提示符窗口中,键入以下命令。 请勿按 Enter

     azcmagent connect -g "defender-RG" -l "EastUS" -s "Subscription ID string"

  5. 将“订阅 ID 字符串”替换为实验室主机托管服务提供商提供的“订阅 ID”(*资源选项卡)。 请确保保留引号。

  6. 键入 Enter 以运行命令(这可能需要几分钟时间)。

    备注:如果看到“如何打开此内容?”浏览器选择窗口,请选择 Microsoft Edge

  7. 在“登录”对话框中,输入实验室托管提供商提供的“租户电子邮件”和“租户密码”,然后选择“登录”。 等待“身份验证完成”消息,关闭浏览器选项卡并返回到“命令提示符”窗口。

  8. 命令运行完成后,将“命令提示符”窗口保持打开状态,并键入以下命令以确认连接是否成功:

     azcmagent show

  9. 在命令输出中,验证“代理状态”是否为“已连接”。

任务 3:连接 Azure Windows 虚拟机

在此任务中,需要将 Azure Windows 虚拟机连接到 Microsoft Sentinel。

备注: Microsoft Sentinel 已在 Azure 订阅中预先部署了名称 defenderWorkspace,并且已安装所需的“内容中心”解决方案。

  1. 使用密码 Pa55w.rd 以管理员身份登录到 WIN1 虚拟机 。

  2. 如有必要,打开 Microsoft Edge 浏览器,导航到 Azure 门户(网址为:https://portal.azure.com),然后使用提供的凭据登录。

  3. 在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。

  4. 选择 Microsoft Sentinel defenderWorkspace

  5. 在 Microsoft Sentinel 左侧导航菜单中,向下滚动到“内容管理”部分,然后选择“内容中心”。

  6. 在“内容中心”,搜索“Windows 安全事件”解决方案,并从列表中选择它。

  7. 在“Windows 安全事件”解决方案页上,选择“管理”。

    备注:Windows 安全事件”解决方案同时安装“通过 AMA 收集的 Windows 安全事件”和“通过旧版代理程序的安全事件”数据连接器。 外加 2 个工作簿、20 个分析规则和 43 个搜寻查询。

  8. 选择“通过 AMA 收集的 Windows 安全事件”数据连接器,然后在连接器信息窗格上选择“打开连接器页面”。

  9. 在“配置”部分,选择“+ 创建数据收集规则”按钮。

  10. 为“规则名称”输入“AZWINDCR”,然后选择“下一步: 资源”。

  11. 在“资源”选项卡的“范围”下,展开“MOC 订阅”。

    提示:可选择“范围”列前面的“>”来展开整个“范围”层次结构。

  12. 展开“RG-AZWIN01”,然后选择“AZWIN01”。

  13. 选择“下一步: 收集”。

  14. 查看不同的安全事件收集选项。 保留所有安全事件,然后选择“下一步: 查看 + 创建”。

  15. 选择“创建”,保存数据收集规则。

  16. 等待几分钟,然后选择“刷新”以查看列出的新数据收集规则。

任务 4:连接非 Azure Windows 计算机

在此任务中,需要将连接到 Azure Arc 的非 Azure Windows 虚拟机添加到 Microsoft Sentinel。

注意:“通过 AMA 的 Windows 安全中心事件”需要针对非 Azure 设备的 Azure Arc。

  1. 确保你位于 Microsoft Sentinel 工作区中的“通过 AMA 数据连接器收集的 Windows 安全事件”配置中。

  2. 在“配置”部分中,选择“铅笔”图标编辑 AZWINDCR数据收集规则

  3. 选择“下一步: 资源”,并在“资源”选项卡的“范围”下展开“MOC 订阅”。

    提示:可选择“范围”列前面的“>”来展开整个“范围”层次结构。

  4. 展开“defender-RG”(或你创建的资源组),然后选择“WINServer”。

    重要说明:如果未看到 WINServer,请参阅在此服务器中安装 Azure Arc 的学习路径 3 练习 1 任务 4。

  5. 依次选择“下一步: 收集”、“下一步: 查看 + 创建” 。

  6. 显示“验证通过”后,选择“创建”。

继续完成练习 3