实验室:探索 Microsoft Sentinel

此实验室与下列 Learn 内容保持一致:

  • 学习路径:描述 Microsoft 安全解决方案的功能
  • 模块:描述 Microsoft Sentinel 的安全功能
  • 单元:描述 Microsoft Sentinel 中的威胁检测和缓解功能

实验室方案

在此实验室中,你将演练创建 Microsoft Sentinel 实例的过程。 你还将设置权限,以确保可访问将为支持 Microsoft Sentinel 而部署的资源。 完成此基本设置后,你将逐步完成将 Microsoft Sentinel 连接到数据源的步骤,设置工作簿,并简要演练 Microsoft Sentinel 中提供的一些关键功能。

估计时间:60 分钟

任务 1

创建 Microsoft Sentinel 实例

  1. 你应位于 Azure 服务的主页。 如果之前关闭了浏览器,请打开 Microsoft Edge。 在地址栏中输入“portal.azure.com”,然后使用管理员凭据登录。 如果之前已记录,系统可能会提示你输入辅助形式的身份验证,作为 MFA 的一部分。 如果以前未登录,系统可能会提示设置 MFA。 按照屏幕上的提示设置 MFA。

  2. 在页面顶部的蓝色搜索框中,输入“Microsoft Sentinel”,然后在搜索结果中选择“Microsoft Sentinel”。****

  3. 在“Microsoft Sentinel”页中,选择“创建 Microsoft Sentinel”。

  4. 在“将 Microsoft Sentinel 添加到工作区”页中,选择“创建新工作区”。

  5. 在“创建 Log Analytics 工作区”的“基本信息”选项卡中,输入以下内容:
    1. 订阅:保留默认值,这是授权实验室主机托管服务提供商 (ALH) 提供的 Azure 订阅。
    2. 资源组:选择“SC900-Sentinel-RG”。 如果未列出此资源组,请选择“新建”,输入“SC900-Sentinel-RG”,然后选择“确定”。
    3. 名称:SC900-LogAnalytics-workspace
    4. 区域:美国东部(可能会根据你的位置选择不同的默认区域)。
    5. 选择“查看 + 创建”(不会配置任何标记)**
    6. 验证输入的信息,然后选择创建
    7. 可能需要一两分钟才能列出 ne 工作区,如果仍未看到,请选择刷新,然后选择添加
  6. 添加新工作区后,将显示“Microsoft Sentinel 资讯与指南”页面,表示已激活 Microsoft Sentinel 免费试用版。 选择“确定”**。 注意“开始”页面上列出的三个步骤。
  7. 请将此页面保持打开状态,因为在下一个任务中将用到它。

任务 2

创建 Microsoft Sentinel 实例后,请务必要让负责支持 Microsoft Sentinel 的用户拥有必要的权限。 这可以通过为指定用户分配所需的角色权限来实现。 在此任务中,你将查看可用的内置 Microsoft Sentinel 角色。

  1. 在蓝色搜索框中,输入“资源组”,然后从搜索结果中选择“资源组”****。

  2. 从“资源组”页中选择使用 Microsoft Sentinel 创建的资源组“SC900-Sentinel-RG”。** 在资源组级别进行操作,可确保所选的任何角色应用于在上一个任务中创建的 Microsoft Sentinel 实例中的所有资源。

  3. 在 SC900-Sentinel-RG 页面,从左侧导航面板选择访问控制 (IAM)

  4. 从访问控制页面,选择查看我的访问。 对于授权实验室主机托管服务提供商提供给你的 Azure 订阅,已定义一个角色,该角色将为你提供管理所有必要的资源的访问权限,如说明中所示。 但请务必了解可用的 Sentinel 特定角色。 选择分配窗口右上角的“X”关闭窗口**

  5. 在“访问控制”页中,选择页面顶部的“角色”选项卡/**
    1. 在搜索框中,输入“Microsoft Sentinel”以查看与 Microsoft Sentinel 相关的内置角色**
    2. 从列出的任一角色中,选择“视图”** 以查看该角色的详细信息。 最佳做法是为角色分配所需的最低权限。
    3. 选择窗口右上角的“X”关闭窗口**

  6. 在访问控制页面中,选择窗口右上角的“X”关闭此窗口**

  7. 在窗口左上角显示“Microsoft Azure”的蓝色条下方,选择“主页”以返回到 Azure 服务主页。

  8. 在浏览器中将 Azure 选项卡保持在打开状态。

任务 3

此任务的目的是引导你完成连接到数据源所涉及的步骤。 许多数据连接器连同相关的内容(如分析规则、工作簿和 playbook)部署为 Microsoft Sentinel 解决方案的一部分。 Microsoft Sentinel 内容中心是用于发现和管理现成(内置)内容的集中位置。 在此步骤中,你将使用内容中心为 Microsoft Sentinel 部署 Microsoft Defender for Cloud 解决方案。 此解决方案允许引入 Microsoft Defender for Cloud 中报告的安全警报。

  1. 在 Azure 服务主页中,选择“Microsoft Sentinel”,然后选择创建的实例“SC900-LogAnalytics-workspace”。

  2. 从左侧导航面板中,选择“内容中心”。

  3. 请花点时间向下滚动,查看可用解决方案的长列表以及筛选列表的选项。 在本任务中,你要寻找 Microsoft Defender for Cloud。 从列表中选择该服务。 在打开的侧窗口中,阅读说明,然后选择“安装”。 安装完成后,主窗口中的状态列将显示为已安装。

  4. 再次从列表中选择 Microsoft Defender for Cloud。** 在右侧的窗口中,选择“管理”。**

  5. Microsoft Defender for Cloud 页面右侧是与内容中心的解决方案相关的说明和注释,以及此解决方案中包含的内容。 主窗口中是解决方案的组件。 在本例中,有两个数据连接器和一个数据规则。 橙色三角形指示需要某些配置。 选中“基于订阅的 Microsoft Defender for Cloud (旧版)”旁边的框。** 一个窗口在页面的右侧打开。 选择“打开连接器页面**”。

  6. 请注意配置说明。 选择订阅名称旁边的框,然后选择“连接”。 可能会显示一个弹出窗口,指示只有你拥有安全读者权限的订阅才会开始流式处理 Microsoft Defender for Cloud 警报。 选择“确定”。 状态将变为“已连接”。 连接器现已启用,但它可能需要一些时间才能显示在数据连接器页中。

  7. 现在查看有关分析规则的信息。 从页面顶部(在痕迹导航中)选择“Microsoft Defender for Cloud”。 取消选中“Microsoft Defender for Cloud”旁边的框,因为你已配置连接器(警告图标可能需要一些时间才能消失)。 选中“检测来自相关安全警报的 CoreBackUp 删除活动”旁边的框。 此时会显示“分析规则”页。 再次选择规则“检测来自相关安全警报的 CoreBackUp 删除活动”。** 右侧将打开一个窗口,其中提供有关规则及其用途的信息。 选择“创建规则”。
    1. 尽管规则逻辑的详细信息超出了基础知识的范围,但请浏览规则创建中的每个选项卡,以查看可配置的信息类型
    2. 进入“审阅 + 创建”选项卡后,选择“保存”。**
  8. 通过在页面顶部的痕迹导航(Analytics 规则的上方)中选择“**Microsoft Sentinel 内容中心**”返回到 Sentinel 页面。
  9. 请将此页面保持打开状态,因为在下一个任务中将用到它。

任务 4

在此任务中,你将演练 Sentinel 中可用的一些选项。

  1. 从左侧导航面板中,选择“搜寻”。 在页面顶部,选择“查询”选项卡。阅读关于什么是搜寻查询的说明。 可以通过内容中心添加搜寻查询。 以前安装的任何查询都将在此处列出。 选择“转到内容中心”。 内容中心列出了包含属于某个解决方案或独立的查询的内容。 向下滚动查看可用选项。 选择窗口右上角的“X”关闭内容中心。

  2. 从左侧导航面板中,选择“MITRE ATT&CK”**。 MITRE ATT&CK 是攻击者常用的策略和技术的公开访问知识库。 通过 Microsoft Sentinel,可以根据 MITRE ATT&CK® 框架中的策略和技术,来查看工作区中已经处于活动状态的检测,以及可供配置的检测,从而了解组织的安全覆盖范围。 从矩阵中选择任何单元格,并记下屏幕右侧可用的信息。 **注意:可能需要选择窗口最右侧的“«”才能查看信息面板。

  3. 从左侧导航面板中,选择“社区”。 社区页面包括来自 Microsoft Research 的网络安全见解和更新、Microsoft Sentinel 博客列表的链接、Microsoft Sentinel 论坛的链接、Microsoft Sentinel Hub 的最新版本链接等。 可以随时浏览此页面。

  4. 从左侧导航面板中,选择分析。 应该有两个活动规则,一个默认可用,一个是在上一个任务中创建的规则。 选择默认规则“高级多阶段攻击检测”。 请注意详细信息。 Microsoft Sentinel 使用 Fusion(基于可缩放的机器学习算法的关联引擎)通过识别在不同杀伤链阶段观测到的异常行为与可疑活动的组合来自动检测多阶段攻击(也称为高级持久威胁)。 Microsoft Sentinel 根据这些发现结果生成事件,否则很难捕获这些事件。 注意:可能需要选择窗口最右侧的“«”才能查看信息面板。

  5. 在左侧导航面板中,选择自动化。 在这里,可以创建简单的自动化规则、与现有 playbook 集成或创建新的 playbook。 选择“+ 创建”**,然后选择“自动化规则”。 请注意在屏幕右侧打开的窗口以及可用于创建条件和操作的选项。 选择屏幕底部的“取消”**。

  6. 在左侧导航面板中,选择工作簿。 阅读 Microsoft Sentinel 工作簿的说明。 可以通过内容中心添加工作簿。 之前安装的任何工作簿都将在此处列出。 选择“转到内容中心”。 内容中心列出了包含属于某个解决方案或独立的工作簿的内容。 向下滚动查看可用选项。

  7. 选择窗口右上角的“X”关闭窗口**

  8. 从窗口左上角的蓝色条下方,选择“主页”** 以返回到 Azure 门户的主页。

  9. 退出登录并关闭所有打开的浏览器选项卡。

审阅

在此 lV 中,你逐步完成了将 Microsoft Sentinel 连接到数据源的步骤,设置了工作簿,并演练了 Microsoft Sentinel 中提供的多个选项。