学习路径 9 - 实验室 1 - 练习 3 - 根据模板创建计划查询

实验室方案

你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你需要了解如何使用 Microsoft Sentinel 检测和缓解威胁。 将数据源连接到 Microsoft Sentinel 后,可以创建自定义分析规则来帮助发现环境中的威胁和异常行为。

分析规则将在你的整个环境中搜索特定事件或事件集,在达到特定事件阈值或条件时发出警报,生成故障事件以供 SOC 进行会审和调查,并通过自动化跟踪和修正流程来响应威胁。

重要说明: 学习路径 #9 的实验室练习是在独立环境中进行的。 如果在完成实验室前退出,则需要重新运行配置。

完成本实验室的预计时间:45 分钟

备注: Microsoft Sentinel 已在 Azure 订阅中预先部署了名称 defenderWorkspace,并且已安装所需的“内容中心”解决方案。

若要成功完成此任务,需要完成以下先决条件任务。

先决条件任务:连接 Azure 活动数据连接器

在此任务中,你将连接“Azure 活动”数据连接器。

  1. 在 Microsoft Sentinel 导航菜单中,向下滚动到“内容管理”部分,然后选择“内容中心”。

  2. 在“内容中心”,搜索“Azure 活动”解决方案并从列表中选择它。

  3. 在“Azure 活动”解决方案页上,选择“管理”。

  4. 选择“Azure 活动”数据连接器,然后选择“打开连接器页面”。

  5. 在“说明”选项卡下的“配置”区域中,向下滚动到“2. 连接订阅…”,并选择“启动 Azure Policy 分配向导>”。

  6. 在“基本信息”选项卡中,选择“范围”下的省略号按钮 (…),从下拉列表中选择“MOC Subscription-lodxxxxxxxx”订阅,然后单击“选择”。

    备注:请勿选择可选资源组。

  7. 选择“参数”选项卡,从“主要 Log Analytics 工作区”下拉列表中选择“uniquenameDefender”工作区。 此操作将应用订阅配置,以将信息发送到 Log Analytics 工作区。

  8. 选择“修正”选项卡,然后选择“创建修正任务”复选框 。 此操作会将策略分配应用于现有的 Azure 资源。

  9. 选择“查看 + 创建”按钮,检查配置。

  10. 选择创建以完成操作。

  11. 请在继续作之前,等待“Azure 活动”数据连接器显示“已连接”状态。

任务 1:创建计划查询规则

在此任务中,将创建 Microsoft Sentinel 分析计划查询规则

备注: 以下任务目前在 Azure 预览门户中效果最佳 - https://preview.portal.azure.com/

  1. 使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd

  2. 在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。

  3. 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。

  4. 在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。

  5. 选择 Microsoft Sentinel defenderWorkspace

  6. 从“配置”区域选择“分析”。

  7. 确保你位于命令栏中的“规则模板”选项卡中,并搜索“新建 CloudShell 用户”规则。

  8. 在规则摘要边栏选项卡中,查看“数据源: Azure 活动”下的绿色图标,确保接收数据。

    备注: 如果看不到它处于连接状态,并且运行了上述“先决条件任务”,则可能需要等待更长时间才能完成该流程。

  9. 选择“创建规则”以继续。

  10. 在 Analytics 规则向导的“常规”选项卡上,将“严重性”更改为“中” 。

  11. 选择“下一页:设置规则逻辑 >”按钮:

  12. 对于规则查询,请选择“查看查询结果”。 不应收到任何结果或任何错误。

  13. 通过选择右上方的 X 关闭“日志”窗口,然后选择“确定”以放弃保存更改,并返回到向导 。

  14. 向下滚动并在“查询计划”下设置以下项:

    设置
    运行查询的时间间隔 5 分钟
    查找上次的数据 1 天

    注意: 我们特意针对同一数据生成了多个事件。 这样,实验室就可使用这些警报。

  15. 在“警报阈值”区域下,保留值不变,因为我们希望警报注册每个事件。

  16. 在“事件分组”区域下,将“将所有事件分组到一个警报中”保留为所选选项,因为我们希望在每次运行时生成单个警报,只要查询返回的结果多于上述指定的警报阈值。

  17. 选择底部的“下一步: 事件设置 >”按钮。

  18. 在“事件设置”选项卡上,查看默认选项。

  19. 选择底部的“下一步: 自动响应 >”按钮。

  20. 选择“下一步: 查看并创建 >”按钮。

  21. 选择“保存”。

任务 2:编辑新规则

  1. 在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。

  2. 选择 Microsoft Sentinel 工作区。

  3. 从“配置”区域选择“分析”。

  4. 确保你位于命令栏中的“可用规则”选项卡中,并选择“新建 CloudShell 用户”规则。

  5. 右键单击该规则,然后从弹出菜单中选择“编辑”。

  6. 选择“下一步: 设置规则逻辑 >”按钮。

  7. 选择底部的“下一步: 事件设置 >”按钮。

  8. 选择底部的“下一步: 自动响应 >”按钮。

  9. 在“自动化规则”** 下的“自动响应”** 选项卡上,选择“+新增”**

  10. 对于“自动化规则名称”,请输入“第 2 层”。

  11. 对于“操作”,请选择“分配所有者”。

  12. 然后,选择“分配给我”。

  13. 选择“应用”

  14. 选择“下一步: 查看并创建 >”按钮。

  15. 选择“保存”。

任务 3:测试新规则

在此任务中,你将测试新的计划查询规则。

  1. 在 Azure 门户的顶部栏中,选择与 Cloud Shell 对应的图标 >_。 如果显示分辨率太低,可能需要先选择省略号图标 (…)。

  2. 在“欢迎使用 Azure Cloud Shell”窗口中,选择“Powershell”**

  3. 在“入门”页上,选择“装载存储帐户”,然后从“存储帐户订阅”下拉菜单项中选择“MOC subscription-lodxxxxxxxx”并选择“应用”按钮。

    重要提示: 请勿选择“不需要存储帐户”单选按钮选项。** 它会导致事件创建失败。

  4. 在“装载存储帐户”页上,选择“我们将为你创建一个存储帐户”,然后选择“下一步”。****

  5. 等待 Cloud Shell 预配完成,然后关闭 Azure Cloud Shell 窗口。

  6. 在 Azure 门户的“搜索”栏中,键入“活动”,然后选择“活动日志”。

  7. 确保显示以下操作名称项:“列出存储帐户密钥”和“更新存储帐户创建” 。 前面查看的 KQL 查询将匹配这些操作以生成警报。 提示:可能需要选择“刷新”来更新列表 。

  8. 在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。

  9. 选择 Microsoft Sentinel 工作区。

  10. 选择“威胁管理”下的“事件”菜单选项。

  11. 选择“自动刷新事件”切换按钮。

  12. 应该会看到新创建的事件。

    注意:触发事件的事件可能至少需要 5 分钟才能处理。 继续下一个练习,稍后你将返回到此视图。

  13. 选择“事件”并查看右侧边栏选项卡中的信息。

继续完成练习 4