学习路径 9 - 实验室 1 - 练习 11 - 在 Microsoft Sentinel 中使用存储库

实验室方案

你是一位安全运营分析师，你所在公司已实现 Microsoft Sentinel。你已创建“计划”规则和“Microsoft 安全分析”规则。需要在 Azure DevOps 存储库中集中分析规则。然后将 Sentinel 连接到 Azure DevOps 存储库并导入内容。

重要说明： 学习路径 #9 的实验室练习是在独立环境中进行的。如果在完成实验室前退出，则需要重新运行配置。

完成本实验室的估计时间：30 分钟

任务 1：创建并导出分析规则

在此任务中，将在 Microsoft Sentinel 中启用实体行为分析。

备注： Microsoft Sentinel 已在 Azure 订阅中预先部署了名称 defenderWorkspace，并且已安装所需的“内容中心”解决方案。

使用以下密码以管理员身份登录到 WIN1 虚拟机：Pa55w.rd。
在“登录”对话框中，复制粘贴实验室托管提供者提供的租户电子邮件帐户，然后选择“下一步” 。
在“输入密码”对话框中，复制粘贴实验室托管提供者提供的租户密码，然后选择“登录” 。
在 Azure 门户的搜索栏中，键入“Sentinel”，然后选择“Microsoft Sentinel”。
选择 Microsoft Sentinel defenderWorkspace。
在左侧边栏选项卡的“配置”区域下，选择 Analytics。
选择之前创建的 Startup RegKey 规则。
在工具栏中选择“导出”。提示：可能需要选择省略号图标 (…) 才能看到它。
规则将导出到名为 Azure_Sentinel_analytic_rule.json 的文本文件。
在下载的文件的名称下方选择“打开文件”，然后选择“更多应用” 。
选择“记事本”，然后选择“确定” 。
查看 Azure 资源管理器模板并在完成后将其关闭。

任务 2：创建 Azure DevOps 环境

在此任务中，你将创建 Azure DevOps 存储库。

在浏览器中打开另一个标签页，然后导航到 https://aexprodcus1.vsaex.visualstudio.com/me?mkt=en-US 。
在“我们需要更多详细信息”页上，选择“继续” 。
在“Azure DevOps 入门”页面上，选择“创建新组织”，然后选择“继续” 。

备注： 如果此操作在一分钟或更长时间之后未完成，请“刷新 (Ctrl-R)”浏览器页面。
在“即将完成…”页面上，为 DevOps 组织输入一个将来不想使用的名称，例如你的租户前缀。

提示：可以在实验室的“资源”选项卡中找到它。
输入看到的字符，然后继续。
在“创建项目以开始”页上，输入“我的 Sentinel 内容”，然后选择“创建项目” 。
导航到左窗格中的“存储库”。
在该区域的页面底部“使用 README 或 gitignore 初始化主分支”，选择“初始化”。
页面应显示存储库的文件。唯一的文件是 README.me。
在“文件”（页面右侧）边栏选项卡上，工具栏包含“设置生成”、“克隆”等选项，选择冒号图标 (:) 可显示更多选项。
选择“上传文件”。
选择“浏览”并从“下载”目录中选择文件 Azure_Sentinel_analytic_rule.json，然后选择“打开”。
选择“提交”。
选择页面左上角的“Azure DevOps”。这将显示你的组织和项目。
选择左下角的“组织设置”。
在左侧边栏选项卡的“安全”区域下选择“策略”。
在“应用程序连接策略”区域下，启用“通过 OAuth 进行第三方应用程序访问” 。

任务 3：将 Sentinel 连接到 Azure DevOps。