练习 - 创建 Microsoft Sentinel playbook

  • 15 分钟

本模块中的“创建 Microsoft Sentinel playbook”练习是可选单元。 不过,如果要进行此练习,需要访问 Azure 订阅,可以在其中创建 Azure 资源。 如果没有 Azure 订阅,请在开始之前创建一个免费帐户

若要部署练习的先决条件,请执行以下任务。

注释

如果选择执行本模块中的练习,请注意,可能会产生 Azure 订阅费用。 若要估算成本,请参阅 Microsoft Sentinel 定价

任务 1:部署Microsoft Sentinel

  1. 选择以下链接:

    部署到 Azure。

    系统将提示你登录到 Azure。

  2. “自定义部署 ”页上,提供以下信息:

    标签 DESCRIPTION
    订阅 选择 Azure 订阅。
    资源组 选择“新建”并为资源组提供名称,例如 azure-sentinel-rg
    区域 从下拉菜单中,选择要在其中部署 Microsoft Sentinel 的区域。
    工作区名称 为 Microsoft Sentinel 工作区提供唯一名称,其中<yourName>-Sentinel<,yourName> 表示在上一个任务中选择的工作区名称。
    位置 接受默认值 [resourceGroup().location]
    Simplevm 名称 接受默认值 simple-vm
    Simplevm Windows 操作系统版本 接受 默认值 2022-Datacenter

    Microsoft模板的自定义部署输入的屏幕截图。

  3. 选择 “查看 + 创建”,然后在验证数据后选择“ 创建”。

    注释

    等待部署完成。 部署时间应不超过五分钟。

    成功的自定义部署的屏幕截图。

任务 2:检查创建的资源

  1. 在“部署概述”页上,选择“ 转到资源组”。 将显示自定义部署的资源。

  2. 选择 “主页 ”,然后在 Azure 服务中搜索并选择 “资源组”。

  3. 选择“azure-sentinel-rg”

  4. 按“类型”对资源列表进行排序。

  5. 资源组应包含下表中显示的资源。

    名称 类型 DESCRIPTION
    <yourName>-Sentinel Log Analytics 工作区 Microsoft Sentinel 使用的 Log Analytics 工作区,其中 <yourName> 表示在上一任务中选择的工作区名称
    simple-vmNetworkInterface Linux VM 的网络接口。
    SecurityInsights(<yourName>-Sentinel) 解决方案 Microsoft Sentinel 的安全见解。
    st1<xxxxx> 存储帐户 虚拟机使用的存储帐户。
    simple-vm 虚拟机 演示中使用的虚拟机 (VM)。
    vnet1 虚拟网络 VM 的虚拟网络。

注释

在本练习中部署的资源和完成的配置步骤在下一练习中是必需的。 如果打算完成下一个练习,请不要从本练习中删除资源。

任务 3:配置 Microsoft Sentinel 连接器

  1. 在 Azure 门户中,搜索 Microsoft Sentinel,然后选择之前创建的Microsoft Sentinel 工作区。

  2. Microsoft Sentinel |“概述 ”窗格,在左侧菜单中,向下滚动到 内容管理 并选择 “内容中心”。

  3. “内容中心”页中,在“搜索”窗体中键入 Azure 活动,然后选择 Azure 活动解决方案。

  4. “Azure 活动 解决方案详细信息”窗格中,选择“ 安装”。

  5. 在中心 内容名称 列中,选择 Azure 活动 数据连接器。

    注释

    此解决方案安装这些内容类型:12 个分析规则、14 个搜寻查询、1 个工作簿和 Azure 活动数据连接器。

  6. 选择打开连接器页面

  7. 在“说明/配置”区域中向下滚动,在“2. 连接订阅...”下选择“启动 Azure Policy 分配向导”

  8. 在向导的“基本信息”选项卡中,选择“范围”下的省略号“...”。 在“范围”窗格中,选择订阅,然后选择“选择”。

  9. 选择“ 参数 ”选项卡,然后从 “主 Log Analytics 工作区 ”下拉列表中选择Microsoft Sentinel 工作区。

  10. 选择 “修正 ”选项卡,然后选择“ 创建修正任务 ”复选框。 此作将策略分配应用于现有的 Azure 资源。

  11. 选择“ 审阅 + 创建 ”按钮以查看配置,然后选择“ 创建”。

    注释

    Azure 活动连接器使用策略分配。 需要具有允许创建策略分配的角色权限。 而且,显示 “已连接”状态通常需要 15 分钟。 在连接器部署时,可以继续执行本单元中的其余步骤以及本模块的后续单元。

    显示Microsoft Sentinel Azure 活动内容中心解决方案的屏幕截图。

任务 4:创建分析规则

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Microsoft Sentinel 工作区

  2. “Microsoft Sentinel ”页上的菜单栏的 “配置 ”部分中,选择“ 分析”。

  3. Microsoft Sentinel |分析页,选择“创建”,然后选择“NRT 查询规则”(预览版)。

  4. 在“ 常规 ”页上,提供下表中的输入,然后选择“ 下一步:设置规则逻辑 >”。

    标签 DESCRIPTION
    名称 提供描述性名称(如 删除虚拟机)来解释警报检测到的可疑活动类型。
    DESCRIPTION 输入详细说明,以帮助其他安全分析人员了解规则的作用。
    策略和技术 “策略和技术 ”下拉菜单中,选择 “初始访问 ”类别以按照 MITRE 策略对规则进行分类。
    严重程度 选择 “严重性 ”下拉菜单,将警报的重要性级别分类为以下四个选项之一:高、中、低或信息。
    状态 指定规则的状态。 默认情况下,状态 为“已启用”。 如果规则生成大量误报,则可以选择“ 已禁用 ”以禁用规则。

  5. “设置规则逻辑 ”页上的 “规则查询 ”部分中,输入以下查询:

      AzureActivity
  | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE'
  | where ActivityStatusValue == 'Success'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

  6. 接受所有其他设置的默认值,然后选择“ 下一步:事件”设置

  7. “事件设置 ”选项卡上,确保已选中 “已启用” ,以便从此分析规则触发的警报创建事件。 然后选择“ 下一步:自动响应”。

  8. 在“自动响应”选项卡上,可以选择在生成警报时要自动运行的 playbook。 仅显示包含逻辑应用 Microsoft Sentinel 连接器的 playbook。

  9. 选择下一步: 审查

  10. 在“ 审阅和创建 ”页上,验证是否已通过验证,然后选择“ 创建”。

注释

可以在“使用 Microsoft Sentinel 分析的威胁检测”模块中详细了解 Microsoft Sentinel 分析规则。