Практическое занятие. Обзор Microsoft Sentinel

Это практическое занятие выполняется на основе следующего содержимого Learn:

  • Схема обучения. Описание возможностей решений Майкрософт по обеспечению безопасности
  • Модуль. Описание возможностей обеспечения безопасности Microsoft Sentinel
  • Урок. Описание принципов обнаружения угроз и минимизации их последствий в Microsoft Sentinel

Сценарий практической работы

В этом практическом занятии вы познакомитесь с процессом создания экземпляра Microsoft Sentinel. Вы также настроите разрешения, чтобы обеспечить доступ к ресурсам, которые будут развернуты для поддержки Microsoft Sentinel. После выполнения этой базовой настройки вы выполните действия по подключению Microsoft Sentinel к источникам данных и настройке книги, а также кратко изучите некоторые ключевые возможности Microsoft Sentinel.

Предполагаемое время: 60 минут

Задача 1

Создание экземпляра Microsoft Sentinel

  1. Вам необходимо открыть домашнюю страницу служб Azure. Если вы закрыли браузер, откройте Microsoft Edge. В адресной строке введите portal.azure.com и выполните вход, используя свои учетные данные администратора.

  2. В синем поле поиска в верхней части страницы введите Microsoft Sentinel, а затем выберите Microsoft Sentinel в результатах поиска.

  3. На странице Microsoft Sentinel выберите Создать Microsoft Sentinel.

  4. На странице “Добавить Microsoft Sentinel в рабочую область” выберите элемент Создать рабочую область.

  5. На вкладке основных сведений рабочей области «Создать аналитику журналов» введите следующее:
    1. Подписка: оставьте значение по умолчанию; это подписка Azure, предоставляемая авторизованным поставщиком услуг размещения практических занятий (ALH).
    2. Группа ресурсов: выберите SC900-Sentinel-RG. Если эта группа ресурсов не указана, нажмите кнопку Создать, введите SC900-Sentinel-RG, а затем нажмите ОК.
    3. Имя: SC900-LogAnalytics-workspace.
    4. Регион: Восточная часть США (другой регион по умолчанию можно выбрать в зависимости от вашего расположения)
    5. Выберите Проверка и создание (теги не будут настроены).
    6. Убедитесь, что введены правильные сведения, а затем выберите Создать.
    7. Новая рабочая область отобразится через 1-2 минуты. Если вы по-прежнему не видите ее, нажмите Обновить, а затем Добавить.
  6. После добавления новой рабочей области отобразится страница “Microsoft Sentinel  Новости и руководства”, на которой указано, что активирована бесплатная пробная версия Microsoft Sentinel. Нажмите ОК.
  7. Оставьте эту страницу открытой, так как она будет использоваться в следующей задаче.

Задача 2

После создания экземпляра Microsoft Sentinel важно, чтобы пользователи, которые будут отвечать за поддержку Microsoft Sentinel, имели необходимые разрешения. Для этого соответствующим пользователям назначаются необходимые разрешения роли. В этой задаче вы ознакомитесь с доступными встроенными ролями Microsoft Sentinel.

  1. В синем поле поиска введите группы ресурсов, а затем в результатах поиска выберите Группы ресурсов.

  2. На странице групп ресурсов выберите группу ресурсов, созданную с помощью Microsoft Sentinel, с именем SC900-Sentinel-RG. Работа на уровне группы ресурсов гарантирует, что выбранная роль будет применяться ко всем ресурсам, которые входят в экземпляр Microsoft Sentinel, созданный в предыдущей задаче.

  3. На странице SC900-Sentinel-RG на панели навигации слева выберите Управление доступом (IAM).

  4. На странице управления доступом выберите Просмотреть мой доступ. Для подписки Azure, предоставленной авторизованным поставщиком услуг размещения практических занятий, определена роль, которая дает вам доступ к управлению всеми необходимыми ресурсами, как показано в описании. Однако важно разбираться в имеющихся в Sentinel ролях. Закройте окно назначений, щелкнув значок X в его правом верхнем углу.

  5. На странице “Управление доступом” выберите вкладку Роли в верхней части страницы.
    1. В поле поиска введите Microsoft Sentinel для просмотра встроенных ролей, связанных с Microsoft Sentinel.
    2. Для любой из указанных ролей выберите Просмотреть, чтобы просмотреть сведения о ней. Рекомендуется назначать минимальный объем привилегий, необходимых для роли.
    3. Закройте это окно, щелкнув значок X в правом верхнем углу экрана.

  6. На странице управления доступом закройте это окно, щелкнув значок X в правом верхнем углу окна.

  7. В левом верхнем углу окна под синей панелью, где написано Microsoft Azure, выберите Главная, чтобы вернуться на домашнюю страницу служб Azure.

  8. Не закрывайте вкладку Azure в браузере.

Задача 3

Целью этого задания является пошаговое руководство по подключению к источнику данных. Многие соединители данных разворачиваются как часть решения Microsoft Sentinel вместе со связанным содержимым, таким как правила аналитики, книги и сборники схем. Центр содержимого Microsoft Sentinel — это централизованное расположение для обнаружения и установки готового (встроенного) содержимого. На этом шаге вы будете использовать центр содержимого для развертывания решения Microsoft Defender для облака в Microsoft Sentinel. Это решение позволяет получать оповещения системы безопасности, передаваемые в Microsoft Defender для облака.

  1. На домашней странице служб Azure выберите Microsoft Sentinel, а затем выберите созданный экземпляр SC900-LogAnalytics-workspace.

  2. На панели навигации слева разверните узел “Управление содержимым” , а затем выберите центр контента.

  3. Прокрутите страницу вниз, чтобы просмотреть список доступных решений и параметры его фильтрации. Для выполнения этого задания вам нужно найти Microsoft Defender для облака. и выберите ее в списке. В открывшемся сбоку окне прочитайте описание и нажмите кнопку Установить. После завершения установки столбец состояния в главном окне будет отображаться как установленный.

  4. Еще раз выберите Microsoft Defender для облака из списка. В окне справа нажмите кнопку Управление.

  5. В правой части страницы Microsoft Defender для облака находятся описание и примечания, связанные с решением из Content Hub, а также с тем, что входит в состав этого решения. В главном окне находятся компоненты решения. В этом случае существуют два соединителя данных и одно правило данных. Оранжевый треугольник указывает, что необходима некоторая настройка. Установите флажок рядом с надписью Microsoft Defender для облака на основе подписки (устаревшая версия). В правой части страницы откроется окно. Выберите Открыть страницу соединителя.

  6. Обратите внимание на инструкции по конфигурации. Выберите ячейку рядом с названием подписки, а затем выберите Подключиться. Появление всплывающего окна указывает на то, что только подписки, для которых у вас есть разрешения Читателя сведений о безопасности, будут запускать потоковую передачу оповещений Microsoft Defender для облака. Нажмите ОК. Состояние измениться на «Подключено». Теперь соединитель включен, хотя для его отображения на странице соединителей данных может потребоваться некоторое время.

  7. Теперь просмотрите сведения о правиле аналитики. В верхней части страницы (в навигационной цепочке) выберите Microsoft Defender для облака. Снимите выбор с ячейки рядом с пунктом Microsoft Defender для облака, так как вы уже настроили соединитель (может потребоваться некоторое время, чтобы значок предупреждения исчез). Выберите ячейку рядом с пунктом «Обнаружение действия удаления CoreBackUp из связанных оповещений системы безопасности». Откроется страница правил аналитики. Снова выберите правило Обнаруживать удаление CoreBackUp из связанных оповещений системы безопасности. Справа откроется окно, содержащее информацию о правиле и его функциях. Выберите Создать правило.
    1. Хотя подробности логики правил выходят за рамки основ, пройдитесь по каждой вкладке при создании правила, чтобы просмотреть тип информации, которую можно настроить
    2. На вкладке “Проверить и создать“ выберите Создать.
  8. Вернитесь на страницу Sentinel, выбрав **Microsoft Sentinel Центр содержимого** из навигационной цепочки в верхней части страницы над надписью «Правила аналитики».
  9. Оставьте эту страницу открытой, так как она будет использоваться в следующей задаче.

Задача 4

В этой задаче описаны некоторые параметры, доступные в Sentinel.

  1. На панели навигации слева разверните узел управления угрозами и изучите параметры, перечисленные в управлении угрозами.
    1. Выберите Инциденты. Хотя инциденты не найдены, ознакомьтесь с разделом “Что это такое?” .
    2. Выберите “Охота”, а затем просмотрите сведения, предоставленные на вкладке “Охота( предварительная версия).
    3. Выберите записные книжки и просмотрите раздел “Что это такое?” .
    4. Выберите аналитику угроз и просмотрите сведения на странице.
    5. Выберите MITRE ATT&CK. MITRE ATT&CK — это общедоступная база знаний тактик и методов, которые часто используются злоумышленниками. С помощью Microsoft Sentinel вы можете просматривать обнаружения, которые уже активны в рабочей области и доступны для настройки, чтобы лучше понимать обеспечение безопасности в вашей организации на основе тактик и методов платформы MITRE ATT&CK®. Выделите любую ячейку таблицы и запишите сведения, доступные в правой части экрана. Примечание. Чтобы просмотреть информационную панель, нужно выбрать ««» в правой части окна.

  2. На панели навигации слева разверните узел “Управление содержимым”, а затем выберите “Сообщество”. Страница сообщества содержит аналитику и обновления по кибербезопасности из Microsoft Research, ссылку на список блогов Microsoft Sentinel, ссылку на форумы Microsoft Sentinel, ссылки на последние выпуски с Microsoft Sentinel Hub и многое другое. Исследуйте ее по своему усмотрению.

  3. На панели навигации слева разверните узел “Конфигурация” и изучите перечисленные параметры:
    1. выберите “Аналитика”. У вас должно быть два активных правила: одно правило, доступное по умолчанию, и второе — созданное в предыдущей задаче. Выберите правило по умолчанию Расширенное многоэтапное обнаружение атаки. Просмотрите подробные сведения. Примечание. Чтобы просмотреть информационную панель, нужно выбрать ««» в правой части окна.
    2. На панели навигации слева выберите Автоматизация. Здесь можно создавать простые правила автоматизации, осуществлять интеграцию с существующими сборниками схем или создавать новые. Выберите + Создать и Правило автоматизации. Обратите внимание на окно, которое открылось в правой части экрана, и доступные варианты для создания условий и действий. Выберите Отмена в нижней части экрана.

  4. Закройте это окно, щелкнув значок X в правом верхнем углу экрана.

  5. В левом верхнем углу окна в синем баннере выберите Microsoft Azure, чтобы вернуться на домашнюю страницу портал Azure.

  6. Выйдите из учетной записи и закройте все открытые вкладки браузера.

Отзыв

В этом разделе lV вы выполнили инструкции по подключению Microsoft Sentinel к источникам данных и настроили книгу, а также изучили несколько параметров, доступных в Microsoft Sentinel.