實驗室:探索 Microsoft Sentinel

此實驗室對應至下列 Learn 內容:

  • 學習路徑:描述 Microsoft 安全性解決方案的功能
  • 課程模組:描述 Microsoft Sentinel 的安全性功能
  • 單元:描述 Microsoft Sentinel 中的威脅偵測和風險降低功能

實驗案例

在本實驗中,會逐步引導您完成建立 Microsoft Sentinel 執行個體的流程。 您也將會設定權限,確保可存取將會部署的資源,以支援 Microsoft Sentinel。 完成此基本設定之後,會逐步引導您進行將 Microsoft Sentinel 連線至資料來源、設定活頁簿的步驟,並會對 Microsoft Sentinel 中所提供的部分主要功能逐一解說。

估計時間:60 分鐘

工作 1

建立 Microsoft Sentinel 執行個體

  1. 您應該在 Azure 服務的首頁。 如果您先前已關閉瀏覽器,請開啟 Microsoft Edge。 在網址列輸入 portal.azure.com 並使用管理員認證登入。

  2. 在頁面頂端藍色搜尋方塊中,輸入 Microsoft Sentinel,然後從搜尋結果中選取 Microsoft Sentinel

  3. 從 Microsoft Sentinel 頁面,選取 [建立 Microsoft Sentinel]**

  4. 從 [將 Microsoft Sentinel 新增到工作區] 頁面,選取 [建立新的工作區]**

  5. 從 [建立 Log Analytics] 工作區的 [基本] 索引標籤中,輸入下列項目:
    1. 訂用帳戶:保留預設值,這是授權實驗室託管服務提供者 (ALH) 所提供的 Azure 訂用帳戶。
    2. 資源群組:選取 [SC900-Sentinel-RG]**。 如果未列出此資源群組,請選取 [新建],輸入 **SC900-Sentinel-RG,然後選取 [確定]**
    3. 名稱:** SC900-LogAnalytics-workspace **。
    4. 美國東部 (可能會根據您所在的位置選取不同預設區域)
    5. 選取 [檢閱 + 建立]** (不會設定標籤)。
    6. 確認您輸入的資訊,然後選取 [建立]。**
    7. 列出 ne 工作區可能需要一兩分鐘的時間,如果您仍然看不到,請選取 [重新整理]**,然後選取 [新增]**。
  6. 新增工作區之後,[Microsoft Sentinel 新聞與指南] 頁面隨即顯示,指出已啟用 Microsoft Sentinel 免費試用。 選取 [確定]。
  7. 請保持此頁面開啟,您將在下一個工作中使用它。

工作 2

建立 Microsoft Sentinel 執行個體後,負責支援 sentinel Microsoft Sentinel 的使用者務必具有必要權限。 將必要的角色權限指派給指定的使用者,完成此作業。 在這項工作中,您將檢視可用的內建 Microsoft Sentinel 角色。

  1. 在藍色搜尋方塊,輸入資源群組,然後從搜尋結果中選取 [資源群組]**

  2. 從資源群組頁面中,選取以 Microsoft Sentinel 所建立的資源群組 SC900-Sentinel-RG。 在資源群組層級工作,可確保所選的任何角色都會套用至屬於上一個工作中所建立 Microsoft Sentinel 執行個體的所有資源。

  3. 從 SC900-Sentinel-RG 頁面,在左側導覽面板中選取 [存取控制 (IAM)]**

  4. 從 [存取控制] 頁面中,選取 [檢視我的存取權]**。 針對授權實驗室託管服務提供者提供給您的 Azure 訂用帳戶,已定義角色,讓您能夠管理所有必要的資源,如描述所示。 不過,務必瞭解可用的 Sentinel 特定角色。 選取視窗右上角的 **X 以關閉指派視窗。

  5. 從 [存取控制] 頁面,選取頁面頂端的 [角色]** 索引標籤。
    1. 在搜尋方塊中,輸入 Microsoft Sentinel 以檢視與 Microsoft Sentinel 建立相關聯的內建角色。
    2. 從列出的任何角色中,選取 [檢視]** 以檢視該角色的詳細資料。 最佳做法是指派角色所需的最低權限。
    3. 選取視窗右上角的 X 以關閉視窗。

  6. 從存取控制頁面,選取視窗右上角的 X 以關閉視窗。

  7. 選取視窗左上角顯示 Microsoft Azure 藍色列下方的 [首頁]**,即可返回 Azure 服務首頁。

  8. 保持在瀏覽器中開啟 Azure 索引標籤。

工作 3

此工作的目的,是要逐步引導您完成連線至資料來源涉及的步驟。 許多資料連線器會部署為 Microsoft Sentinel 解決方案的一部分,以及分析規則、活頁簿和劇本等相關內容。 Microsoft Sentinel 內容中樞是集中式位置,可探索及管理現成 (內建) 的內容。 在此步驟中,您將使用內容中樞來部署 Microsoft Sentinel 的適用於雲端的 Microsoft Defender 解決方案。 此解決方案可讓您擷取適用於雲端的 Microsoft Defender 中報告的安全性警示。

  1. 從 Azure 服務首頁選取 [Microsoft Sentinel],然後選取您建立 的執行個體 **SC900-LogAnalytics-workspace **。

  2. 從左側導覽面板中,展開 [內容管理 ],然後選取 [ 內容中樞]。

  3. 請花點時間向下捲動,檢視可用解決方案的完整清單,以及篩選清單的選項。 在此工作中,您要找的是適用於雲端的 Microsoft Defende 。 從清單中選取。 在開啟的側邊視窗中,閱讀描述,然後選取 [安裝]**。 安裝完成後,主視窗中的狀態資料行會顯示為已安裝。

  4. 再次從清單中選取 [適用於雲端的 Microsoft Defender]。 從右側的視窗中,選取 [管理]

  5. 適用於雲端的 Microsoft Defender 頁面的右側是與內容中樞的解決方案相關的描述和附註,以及該解決方案中包括的內容。 主視窗上是解決方案的元件。 在此案例中,有兩個資料連接器和一個資料規則。 橙色三角形表示需要某些設定。 選取顯示訂用帳戶型適用於雲端的 Microsoft Defender (舊版) 旁的方塊。 視窗會在頁面右側開啟。 選取 [開啟連接器頁面]**

  6. 請注意設定指示。 選取訂用帳戶名稱旁的方塊,然後選取 [連線]**。 快顯視窗可能會顯示,表示只有您擁有安全性讀取者權限的訂用帳戶,才會開始串流適用於雲端的 Microsoft Defender警示。 選取 [確定]**。 狀態會移至已連線。 連接器現在已啟用,但可能需要一些時間才會顯示在資料連線器頁面中。

  7. 現在,檢視分析規則的相關資訊。 從頁面頂端 (在階層連結中) 選取 [適用於雲端的 Microsoft Defender]**。 取消選取適用於雲端的 Microsoft Defender 的方塊,因為您已設定連接器 (可能需要一些時間,警告圖示才會消失)。 選取 **偵測相關安全性警示中的 CoreBackUp 刪除活動旁的方塊。 這會開啟 [分析規則] 頁面。 再次選取 [偵測相關安全性警示中的 CoreBackUp 刪除活動] 規則。 右側開啟的視窗會提供規則的相關資訊及其用途。 請選取建立規則
    1. 儘管規則邏輯的詳細資料超出基本概念的範圍,但請瀏覽規則建立中的每個索引標籤,以檢視可設定的資訊類型
    2. 當您瀏覽到 [檢閱 + 建立] 索引標籤時,請選取 [儲存]
  8. 從選取頁面頂端的階層連結,在顯示 Analytics 規則地上方,選擇 ** Microsoft Sentinel  內容中樞**以返回 Sentinel 頁面。
  9. 請保持此頁面開啟,您將在下一個工作中使用它。

工作 4

在這項工作中,會逐步解說 Microsoft Sentinel 中部分可用的選項。

  1. 從左側導覽面板中,展開 [威脅管理 ],並探索威脅管理中列出的選項。
    1. 選取 [事件]**。 雖然找不到任何事件,但請檢閱 **什麼是? 區段。
    2. 選取 [搜捕],然後檢閱 [搜捕] 索引卷標中提供的資訊。
    3. 選取 [筆記本] ,並檢閱 [什麼是?] 區段。
    4. 選取 [威脅情報 ],然後檢閱頁面上的資訊。
    5. 選取 [MITRE ATT&CK]。 MITRE ATT&CK 是一種可公開存取的知識庫,提供攻擊者常用策略與技術的相關資訊。 使用 Microsoft Sentinel,您可以依據 MITRE ATT&CK® 架構中的策略與技術,檢視已在工作區中啟用且可供您設定的偵測,以了解組織安全性的涵蓋範圍。 選取矩陣中的任一儲存格,並記下畫面右側中的可用資訊。 請注意:您可能需要選取視窗最右邊的「«」,才能查看資訊面板。

  2. 從左側導覽面板中,展開 [內容管理],然後選取 [ 社群]。 社群頁面包括來自 Microsoft Research 的網路安全性見解和更新、Microsoft Sentinel 部落格清單的連結、Microsoft Sentinel 論壇的連結、Microsoft Sentinel 中樞最新版本的連結等等。 隨意探索這個。

  3. 從左側導覽面板中,展開 [ 組態 ] 並探索列出的選項:
    1. 選取 [分析]。 應該有兩個使用中規則,一個為預設可用,以及另一個是在上一個工作中建立的規則。 選取預設規則 [進階多階段攻擊偵測]**。 檢閱詳細資訊。 **請注意:您可能需要選取視窗最右邊的「«」,才能查看資訊面板。
    2. 在左側導覽面板中,選取 [自動化]**。 您可以在這裡建立簡單的自動化規則,與現有的劇本整合,或建立新的劇本。 選取 [+ 建立],然後選取 [自動化規則]。 請留意畫面右側中開啟的視窗,以及可用來建立條件及動作的選項。 選取畫面底部的 [取消]**。

  4. 選取視窗右上角的 X 以關閉視窗。

  5. 從視窗左上角的藍色橫幅中,選取 [Microsoft Azure],以返回 Azure 入口網站 的首頁。

  6. 登出並關閉所有開啟的瀏覽器索引標籤。

檢閱

在本 lV 中,您已完成將 Microsoft Sentinel 連線至資料來源的各個步驟、設定活頁簿,並已使用 Microsoft Sentinel 中幾個可用的選項。