本文介绍如何在 Azure Log Analytics 上配置 Microsoft Sentinel,以查看 Azure Log Analytics 从已部署虚拟机收集的日志中的威胁。这个项目是由云计算团队 1 在 Sidehustle 训练营的第二周完成的。
Microsoft Sentinel 是一种云原生解决方案,提供安全信息和事件管理 (SIEM) 以及安全编排、自动化和响应 (SOAR)。
Microsoft Sentinel 本身包含 Azure Log Analytics Workspace,这是一个独特的环境,其中存储了 Azure 监视器生成的所有日志数据和安全事件。Azure 日志分析可以更轻松地管理从各种数据源(如虚拟机)收集的日志数据。
要求
- 两个 Azure 虚拟机 (Windows Server 2019) 部署在同一资源组的不同位置。
- Azure Log Analytics 部署在其中一个位置。
- Microsoft Sentinel 部署在 Azure 日志分析上。
要遵循的步骤
创建和部署两个虚拟机
在配置过程中,请确保虚拟机部署在同一个资源组但不同的位置。
成功验证和部署后,远程进入虚拟机以确保它们启动并运行。
创建 Log Analytics 工作区
Log Analytics 工作区应与虚拟机部署在同一资源组中,并与其中一台虚拟机部署在同一位置。它应该有一个唯一的工作区 ID 和一个资源 ID。
在 Azure 日志分析上部署 Microsoft Sentinel
在 Azure 门户中,搜索 Microsoft Sentinel。点击“创建”。在部署期间,选择您在步骤 3 中创建的 Log Analytics 工作区并将该工作区添加到 Microsoft sentinel。
在 Microsoft Sentinel 中配置安全事件
要将 Microsoft Sentinel 配置为从虚拟机“事件视图”中的安全日志中收集安全事件,请通过“配置”下的左侧边栏选项卡,选择“数据连接器”。
在搜索栏中,搜索“通过 AMA 的 Windows 安全事件”。单击它,然后单击“创建”以创建数据收集规则。
给它一个名字,然后单击下一步添加“资源”。选择您创建的两个虚拟机,然后单击“应用”、“查看和创建”,然后单击“创建”。
查看虚拟机上的安全威胁
在第二个虚拟机(或您选择的任何虚拟机)中,转到事件查看器并单击左上角的安全性。这显示了虚拟机的所有安全日志。如果存在“审核失败”,则表示定义的操作未能成功完成,需要进行调查。单击审核失败并向下滚动以获取 EventID。
在 Azure 门户上的 Microsoft Sentinel 中,复制选项卡以便能够同时使用不同的资源。
在第三个选项卡上,在门户中搜索“监控服务”。单击它并转到“活动日志”。导出活动日志,然后添加诊断设置。选中“管理”、“安全”和“发送到日志分析工作区”复选框。为设置命名,然后单击“保存”。
在第二个选项卡上,转到资源组,然后转到“日志分析”,单击左侧的“日志”,然后单击“Microsoft Sentinel”的下拉菜单,然后单击“安全事件”。
键入查询“SecurityEvent”,将时间范围更改为 1 小时并运行它。刷新页面。在结果部分,此处显示从虚拟机记录的安全事件。因此,无需进入多个虚拟机查看安全事件,所有事件都由 Log Analytics 收集并显示在 Microsoft Sentinel 上。
为事件配置 Microsoft Sentinel
在 Microsoft sentinel 选项卡中,创建“计划查询规则”。给它一个名字。对于策略,选择“初始访问”并勾选提权复选框。
选择下一步:设置规则逻辑。键入查询。然后在实体映射下,对于条目类型,选择“添加新条目”。对于标识符,选择“地址”,然后选择“来电者地址”作为值。然后添加新条目。条目类型,选择“帐户”。对于标识符,“对象 Guid”,对于值,选择“调用者”。对于事件分组,为每个事件触发警报。然后查看并创建。
返回日志分析选项卡,在日志管理中,选择 Azure 活动。
键入查询:AzureActivity 并运行它。当结果出现时,单击管理任务的下拉菜单以确认调用方 IP 地址与虚拟机的不同。
然后进入虚拟机并从已记录的审核失败中获取事件 ID。
在日志分析选项卡中 Microsoft sentinel 的下拉列表中,选择“安全事件”。然后运行查询以使用事件 ID 获取未知设备的 IP 地址。
接下来,返回 Microsoft sentinel 选项卡。在概览页面中,选择“最近发生的事件”。然后选择 Azure 活动警报。然后点击“类似事件预览”。查看完整详细信息以获取有关安全威胁来自的 IP 地址和地理位置的详细说明。
单击 IP 地址,然后选择“调查”以获取事件的图形视图并查看类似事件。
总之,在使用 sentinel 检查威胁时,我们发现了来自未知来源的登录尝试,其 IP 地址为“102.91.5。* ' 和位置阿布贾,尼日利亚。Microsoft Sentinel 可用于识别安全事件,然后安全团队可以使用这些事件进行调查以采取进一步行动。
网友评论