学习路径 9 - 实验室 1 - 练习 11 - 在 Microsoft Sentinel 中使用存储库

实验室方案

你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你已创建“计划”规则和“Microsoft 安全分析”规则。 需要在 Azure DevOps 存储库中集中分析规则。 然后将 Sentinel 连接到 Azure DevOps 存储库并导入内容。

重要说明: 学习路径 #9 的实验室练习是在独立环境中进行的。 如果在完成实验室前退出,则需要重新运行配置。

完成本实验室的估计时间:30 分钟

任务 1:创建并导出分析规则

在此任务中,将在 Microsoft Sentinel 中启用实体行为分析。

备注: Microsoft Sentinel 已在 Azure 订阅中预先部署了名称 defenderWorkspace,并且已安装所需的“内容中心”解决方案。

  1. 使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd

  2. 在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。

  3. 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。

  4. 在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。

  5. 选择 Microsoft Sentinel defenderWorkspace

  6. 在左侧边栏选项卡的“配置”区域下,选择 Analytics。

  7. 选择之前创建的 Startup RegKey 规则。

  8. 在工具栏中选择“导出”。 提示:可能需要选择省略号图标 (…) 才能看到它 。

  9. 规则将导出到名为 Azure_Sentinel_analytic_rule.json 的文本文件。

  10. 在下载的文件的名称下方选择“打开文件”,然后选择“更多应用” 。

  11. 选择“记事本”,然后选择“确定” 。

  12. 查看 Azure 资源管理器模板并在完成后将其关闭。

任务 2:创建 Azure DevOps 环境

在此任务中,你将创建 Azure DevOps 存储库。

  1. 在浏览器中打开另一个标签页,然后导航到 https://aexprodcus1.vsaex.visualstudio.com/me?mkt=en-US

  2. 在“我们需要更多详细信息”页上,选择“继续” 。

  3. 在“Azure DevOps 入门”页面上,选择“创建新组织”,然后选择“继续” 。

    备注: 如果此操作在一分钟或更长时间之后未完成,请“刷新 (Ctrl-R)”浏览器页面。

  4. 在“即将完成…”页面上,为 DevOps 组织输入一个将来不想使用的名称,例如你的租户前缀。

    提示:可以在实验室的“资源”选项卡中找到它。

  5. 输入看到的字符,然后继续。

  6. 在“创建项目以开始”页上,输入“我的 Sentinel 内容”,然后选择“创建项目” 。

  7. 导航到左窗格中的“存储库”。

  8. 在该区域的页面底部“使用 README 或 gitignore 初始化主分支”,选择“初始化”。

  9. 页面应显示存储库的文件。 唯一的文件是 README.me。

  10. 在“文件”(页面右侧)边栏选项卡上,工具栏包含“设置生成”、“克隆”等选项,选择冒号图标 (:) 可显示更多选项 。

  11. 选择“上传文件”。

  12. 选择“浏览”并从“下载”目录中选择文件 Azure_Sentinel_analytic_rule.json,然后选择“打开”。

  13. 选择“提交”。

  14. 选择页面左上角的“Azure DevOps”。 这将显示你的组织和项目。

  15. 选择左下角的“组织设置”。

  16. 在左侧边栏选项卡的“安全”区域下选择“策略”。

  17. 在“应用程序连接策略”区域下,启用“通过 OAuth 进行第三方应用程序访问” 。

任务 3:将 Sentinel 连接到 Azure DevOps。

  1. 在浏览器中选择“Azure 门户”/“Microsoft Sentinel”选项卡。

  2. 在 Microsoft Sentinel 中,选择“内容管理”部分中的“存储库(预览版)”。

  3. 在工具栏中选择“+ 新增”按钮。

  4. 对于名称,请输入“我的内容”。

  5. 对于源代码管理,选择“Azure DevOps”。

  6. 选择“授权”。** 向下滚动权限请求,然后选择“接受”。

  7. 选择之前创建的组织(如 WWLx…)。

  8. 选择之前创建的项目“我的 Sentinel 内容”。

  9. 选择之前创建的存储库“我的 Sentinel 内容”。 提示:可能需要在下拉列表中向下滚动才能看到该存储库。

  10. 选择“主”分支。 提示:可能需要在下拉列表中向下滚动才能看到该分支。

  11. 选择所有内容类型。

  12. 然后选择“创建”。

  13. 如果需要,返回到 Microsoft Sentinel 工作区

  14. 转到“存储库(预览版)”页,选择“刷新”。 等到“上次部署状态”变为“失败”。

    注意:“失败”状态是由托管实验室环境中的限制造成的。 通常会看到“成功”。 然后,可以在“分析”中看到导入规则“来自 Azure DevOps 的规则”。

你已完成本实验室。