实验室:探索 Microsoft Sentinel

此实验室与下列 Learn 内容保持一致:

  • 学习路径:描述 Microsoft 安全解决方案的功能
  • 模块:描述 Microsoft Sentinel 的安全功能
  • 单元:描述 Microsoft Sentinel 中的威胁检测和缓解功能

实验室方案

在此实验室中,你将演练创建 Microsoft Sentinel 实例的过程。 你还将设置权限,以确保可访问将为支持 Microsoft Sentinel 而部署的资源。 完成此基本设置后,你将逐步完成将 Microsoft Sentinel 连接到数据源的步骤,设置工作簿,并简要演练 Microsoft Sentinel 中提供的一些关键功能。

估计时间:60 分钟

任务 1

若要创建 Microsoft Sentinel 的实例,首先必须创建 Log Analytics 工作区,用于存储来自 Microsoft Sentinel 的数据。 拥有 Log Analytics 工作区后,可以创建 Microsoft Sentinel 的实例,并向其添加该 Log Analytics 工作区。 在此任务中,将运行上述每个步骤。

  1. 你应位于 Azure 服务的主页。 否则,打开 Microsoft Edge 并在地址栏中输入“portal.azure.com”,然后使用 Azure 门户管理员凭据登录。**

  2. 在页面顶部的蓝色搜索框中,输入“Log Analytics”并从搜索结果中将其选中。**
  3. 选择“+ 新建”。
  4. 在“创建 Log Analytics 工作区”的“基本信息”选项卡中,输入以下内容:
    1. 订阅:保留默认值,这是授权实验室主机托管服务提供商 (ALH) 提供的 Azure 订阅。
    2. 资源组:选择“SC900-Sentinel-RG”。 如果未列出此资源组,请选择“新建”,输入“SC900-Sentinel-RG”,然后选择“确定”。
    3. 名称:SC900-Sentinel-workspace**
    4. 区域:美国东部(可能会根据你的位置选择不同的默认区域)。
    5. 选择“查看 + 创建”(不会配置任何标记)**
    6. 验证输入的信息,然后选择创建
    7. 创建新工作区可能需要一两分钟的时间。
    8. 创建后,选择“转到资源”以查看该工作区的相关信息。**
  5. 此时,尚未创建 Microsoft Sentinel 的实例。 若要创建 Sentinel 的实例,需要转到 Microsoft Sentinel 页面。 使用页面顶部的蓝色搜索栏搜索“Microsoft Sentinel”,并从搜索结果中将其选中。**
  6. 若要将工作区添加到 Microsoft Sentinel,需要转到 Microsoft Sentinel 页面。 使用页面顶部的蓝色搜索栏搜索“Microsoft Sentinel”**
    1. 在 Microsoft Sentinel 页面中,选择“+ 创建”。**
    2. 现在可以添加刚刚创建的工作区。 选择“SC900-Sentinel-workspace”,然后选择“添加”。**** 由于 Microsoft Sentinel 的免费试用版正在激活,这可能需要几分钟时间。 激活后,选择“确定”。**
  7. 请将此页面保持打开状态,因为在下一个任务中将用到它。

任务 2

创建 Microsoft Sentinel 实例并向其分配 Log Analytics 工作区后,用户必须负责支持 Microsoft Sentinel 具有必要的权限。 这可以通过为指定用户分配所需的角色权限来实现。 在此任务中,你将查看可用的内置 Microsoft Sentinel 角色。

  1. 在蓝色搜索框中,输入“资源组”,然后从搜索结果中选择“资源组”****。

  2. 从“资源组”页中选择使用 Microsoft Sentinel 创建的资源组“SC900-Sentinel-RG”。** 在资源组级别进行操作,可确保所选的任何角色应用于在上一个任务中创建的 Microsoft Sentinel 实例中的所有资源。

  3. 在 SC900-Sentinel-RG 页面,从左侧导航面板选择访问控制 (IAM)

  4. 从访问控制页面,选择查看我的访问。 对于授权实验室主机托管服务提供商提供给你的 Azure 订阅,已定义一个角色,该角色将为你提供管理所有必要的资源的访问权限,如说明中所示。 但请务必了解可用的 Sentinel 特定角色。 选择分配窗口右上角的“X”关闭窗口**

  5. 在“访问控制”页中,选择页面顶部的“角色”选项卡/**
    1. 在搜索框中,输入“Microsoft Sentinel”以查看与 Microsoft Sentinel 相关的内置角色**
    2. 从列出的任一角色中,选择“视图”** 以查看该角色的详细信息。 最佳做法是为角色分配所需的最低权限。
    3. 选择窗口右上角的“X”关闭窗口**

  6. 在访问控制页面中,选择窗口右上角的“X”关闭此窗口**

  7. 在窗口左上角显示“Microsoft Azure”的蓝色条下方,选择“主页”以返回到 Azure 服务主页。

  8. 在浏览器中将 Azure 选项卡保持在打开状态。

任务 3

此任务的目的是引导你完成连接到数据源所涉及的步骤。 许多数据连接器连同相关的内容(如分析规则、工作簿和 playbook)部署为 Microsoft Sentinel 解决方案的一部分。 Microsoft Sentinel 内容中心是用于发现和管理现成(内置)内容的集中位置。 在此步骤中,你将使用内容中心为 Microsoft Sentinel 部署 Microsoft Defender for Cloud 解决方案。 此解决方案允许引入 Microsoft Defender for Cloud 中报告的安全警报。

  1. 在 Azure 服务主页中,选择“Microsoft Sentinel”,然后选择创建的实例“SC900-Sentinel-workspace”。**

  2. 在左侧导航面板中,展开“内容管理”,然后选择“内容中心”。

  3. 请花点时间向下滚动,查看可用解决方案的长列表以及筛选列表的选项。 在本任务中,你要寻找 Microsoft Defender for Cloud。 从列表中选择该服务。 在打开的侧窗口中,阅读说明,然后选择“安装”。 安装完成后,主窗口中的状态列将显示为已安装。

  4. 再次从列表中选择 Microsoft Defender for Cloud。** 在右侧的窗口中,选择“管理”。**

  5. Microsoft Defender for Cloud 页面右侧是与内容中心的解决方案相关的说明和注释,以及此解决方案中包含的内容。 主窗口中是解决方案的组件。 在本例中,有两个数据连接器和一个数据规则。 橙色三角形指示需要某些配置。 选中“基于订阅的 Microsoft Defender for Cloud (旧版)”旁边的框。** 一个窗口在页面的右侧打开。 选择“打开连接器页面**”。

  6. 请注意配置说明。 选择订阅名称旁边的框,然后选择“连接”。 可能会显示一个弹出窗口,指示只有你拥有安全读者权限的订阅才会开始流式处理 Microsoft Defender for Cloud 警报。 选择“确定”。 状态将变为“已连接”。 连接器现已启用,但它可能需要一些时间才能显示在数据连接器页中。

  7. 现在查看有关分析规则的信息。 从页面顶部(在痕迹导航中)选择“Microsoft Defender for Cloud”。 取消选中“Microsoft Defender for Cloud”旁边的框,因为你已配置连接器(警告图标可能需要一些时间才能消失)。 选中“检测来自相关安全警报的 CoreBackUp 删除活动”旁边的框。 此时会显示“分析规则”页。 再次选择规则“检测来自相关安全警报的 CoreBackUp 删除活动”。** 右侧将打开一个窗口,其中提供有关规则及其用途的信息。 选择“创建规则”。
    1. 尽管规则逻辑的详细信息超出了基础知识的范围,但请浏览规则创建中的每个选项卡,以查看可配置的信息类型
    2. 进入“审阅 + 创建”选项卡后,选择“保存”。**
  8. 通过在页面顶部的痕迹导航(Analytics 规则的上方)中选择“**Microsoft Sentinel 内容中心**”返回到 Sentinel 页面。
  9. 请将此页面保持打开状态,因为在下一个任务中将用到它。

任务 4

在此任务中,你将演练 Sentinel 中可用的一些选项。

  1. 在左侧导航面板中,展开“威胁管理”,然后浏览“威胁管理”中列出的选项。
    1. 选择“事件”**。 虽然未发现任何事件,但请查看“这是什么?**”部分。
    2. 选择“搜寻”,然后查看“搜寻(预览版)”选项卡中提供的信息。
    3. 选择“Notebooks”,然后查看“它是什么?”部分。
    4. 选择“威胁情报”,然后查看该页上的信息。
    5. 选择“MITRE ATT&CK”。 MITRE ATT&CK 是攻击者常用的策略和技术的公开访问知识库。 通过 Microsoft Sentinel,可以根据 MITRE ATT&CK® 框架中的策略和技术,来查看工作区中已经处于活动状态的检测,以及可供配置的检测,从而了解组织的安全覆盖范围。 从矩阵中选择任何单元格,并记下屏幕右侧可用的信息。 注意:可能需要选择窗口最右侧的“«”才能查看信息面板。

  2. 在左侧导航面板中,展开“内容管理”,然后选择“社区”。 社区页面包括来自 Microsoft Research 的网络安全见解和更新、Microsoft Sentinel 博客列表的链接、Microsoft Sentinel 论坛的链接、Microsoft Sentinel Hub 的最新版本链接等。 可以随时浏览此页面。

  3. 在左侧导航面板中,展开“配置”,然后浏览列出的选项:
    1. 选择“分析”。 应该有两个活动规则,一个默认可用,一个是在上一个任务中创建的规则。 选择默认规则“高级多阶段攻击检测”。 查看详细信息。 注意:可能需要选择窗口最右侧的“«”才能查看信息面板。
    2. 在左侧导航面板中,选择自动化。 在这里,可以创建简单的自动化规则、与现有 playbook 集成或创建新的 playbook。 选择“+ 创建”**,然后选择“自动化规则”。 请注意在屏幕右侧打开的窗口以及可用于创建条件和操作的选项。 选择屏幕底部的“取消”**。

  4. 选择窗口右上角的“X”关闭窗口**

  5. 从窗口左上角的蓝色横幅中,选择“Microsoft Azure”以返回到 Azure 门户的主页。

  6. 退出登录并关闭所有打开的浏览器选项卡。

审阅

在此实验室中,你逐步完成了将 Microsoft Sentinel 连接到数据源的步骤,设置了工作簿,并演练了 Microsoft Sentinel 中提供的多个选项。