学习路径 9 - 实验室 1 - 练习 3 - 根据模板创建计划查询
实验室方案
你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你需要了解如何使用 Microsoft Sentinel 检测和缓解威胁。 将数据源连接到 Microsoft Sentinel 后,可以创建自定义分析规则来帮助发现环境中的威胁和异常行为。
分析规则将在你的整个环境中搜索特定事件或事件集,在达到特定事件阈值或条件时发出警报,生成故障事件以供 SOC 进行会审和调查,并通过自动化跟踪和修正流程来响应威胁。
重要说明: 学习路径 #9 的实验室练习是在独立环境中进行的。 如果在完成实验室前退出,则需要重新运行配置。
完成本实验室的预计时间:45 分钟
备注: Microsoft Sentinel 已在 Azure 订阅中预先部署了名称 defenderWorkspace,并且已安装所需的“内容中心”解决方案。
若要成功完成此任务,需要完成以下先决条件任务。
先决条件任务:连接 Azure 活动数据连接器
在此任务中,你将连接“Azure 活动”数据连接器。
-
在 Microsoft Sentinel 导航菜单中,向下滚动到“内容管理”部分,然后选择“内容中心”。
-
在“内容中心”,搜索“Azure 活动”解决方案并从列表中选择它。
-
在“Azure 活动”解决方案页上,选择“管理”。
-
选择“Azure 活动”数据连接器,然后选择“打开连接器页面”。
-
在“说明”选项卡下的“配置”区域中,向下滚动到“2. 连接订阅…”,并选择“启动 Azure Policy 分配向导>”。
-
在“基本信息”选项卡中,选择“范围”下的省略号按钮 (…),从下拉列表中选择“MOC Subscription-lodxxxxxxxx”订阅,然后单击“选择”。
备注:请勿选择可选资源组。
-
选择“参数”选项卡,从“主要 Log Analytics 工作区”下拉列表中选择“uniquenameDefender”工作区。 此操作将应用订阅配置,以将信息发送到 Log Analytics 工作区。
-
选择“修正”选项卡,然后选择“创建修正任务”复选框 。 此操作会将策略分配应用于现有的 Azure 资源。
-
选择“查看 + 创建”按钮,检查配置。
-
选择创建以完成操作。
-
请在继续作之前,等待“Azure 活动”数据连接器显示“已连接”状态。
任务 1:创建计划查询规则
在此任务中,将创建 Microsoft Sentinel 分析计划查询规则。
备注: 以下任务目前在 Azure 预览门户中效果最佳 - https://preview.portal.azure.com/。
-
使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd。
-
在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。
-
在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。
-
在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。
-
选择 Microsoft Sentinel defenderWorkspace。
-
从“配置”区域选择“分析”。
-
确保你位于命令栏中的“规则模板”选项卡中,并搜索“新建 CloudShell 用户”规则。
-
在规则摘要边栏选项卡中,查看“数据源: Azure 活动”下的绿色图标,确保接收数据。
备注: 如果看不到它处于连接状态,并且运行了上述“先决条件任务”,则可能需要等待更长时间才能完成该流程。
-
选择“创建规则”以继续。
-
在 Analytics 规则向导的“常规”选项卡上,将“严重性”更改为“中” 。
-
选择“下一页:设置规则逻辑 >”按钮:
-
对于规则查询,请选择“查看查询结果”。 不应收到任何结果或任何错误。
-
通过选择右上方的 X 关闭“日志”窗口,然后选择“确定”以放弃保存更改,并返回到向导 。
-
向下滚动并在“查询计划”下设置以下项:
设置 值 运行查询的时间间隔 5 分钟 查找上次的数据 1 天 注意: 我们特意针对同一数据生成了多个事件。 这样,实验室就可使用这些警报。
-
在“警报阈值”区域下,保留值不变,因为我们希望警报注册每个事件。
-
在“事件分组”区域下,将“将所有事件分组到一个警报中”保留为所选选项,因为我们希望在每次运行时生成单个警报,只要查询返回的结果多于上述指定的警报阈值。
-
选择底部的“下一步: 事件设置 >”按钮。
-
在“事件设置”选项卡上,查看默认选项。
-
选择底部的“下一步: 自动响应 >”按钮。
-
选择“下一步: 查看并创建 >”按钮。
-
选择“保存”。
任务 2:编辑新规则
-
在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。
-
选择 Microsoft Sentinel 工作区。
-
从“配置”区域选择“分析”。
-
确保你位于命令栏中的“可用规则”选项卡中,并选择“新建 CloudShell 用户”规则。
-
右键单击该规则,然后从弹出菜单中选择“编辑”。
-
选择“下一步: 设置规则逻辑 >”按钮。
-
选择底部的“下一步: 事件设置 >”按钮。
-
选择底部的“下一步: 自动响应 >”按钮。
-
在“自动化规则”** 下的“自动响应”** 选项卡上,选择“+新增”**。
-
对于“自动化规则名称”,请输入“第 2 层”。
-
对于“操作”,请选择“分配所有者”。
-
然后,选择“分配给我”。
-
选择“应用”
-
选择“下一步: 查看并创建 >”按钮。
-
选择“保存”。
任务 3:测试新规则
在此任务中,你将测试新的计划查询规则。
-
在 Azure 门户的顶部栏中,选择与 Cloud Shell 对应的图标 >_。 如果显示分辨率太低,可能需要先选择省略号图标 (…)。
-
在“欢迎使用 Azure Cloud Shell”窗口中,选择“Powershell”**。
-
在“入门”页上,选择“装载存储帐户”,然后从“存储帐户订阅”下拉菜单项中选择“MOC subscription-lodxxxxxxxx”并选择“应用”按钮。
重要提示: 请勿选择“不需要存储帐户”单选按钮选项。** 它会导致事件创建失败。
-
在“装载存储帐户”页上,选择“我们将为你创建一个存储帐户”,然后选择“下一步”。****
-
等待 Cloud Shell 预配完成,然后关闭 Azure Cloud Shell 窗口。
-
在 Azure 门户的“搜索”栏中,键入“活动”,然后选择“活动日志”。
-
确保显示以下操作名称项:“列出存储帐户密钥”和“更新存储帐户创建” 。 前面查看的 KQL 查询将匹配这些操作以生成警报。 提示:可能需要选择“刷新”来更新列表 。
-
在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。
-
选择 Microsoft Sentinel 工作区。
-
选择“威胁管理”下的“事件”菜单选项。
-
选择“自动刷新事件”切换按钮。
-
应该会看到新创建的事件。
注意:触发事件的事件可能至少需要 5 分钟才能处理。 继续下一个练习,稍后你将返回到此视图。
-
选择“事件”并查看右侧边栏选项卡中的信息。