Skip to content

Commit

Permalink
Copy Files From Source Repo (2024-04-15 19:40)
Browse files Browse the repository at this point in the history
  • Loading branch information
@chenpeng17
chenpeng17 committed Apr 16, 2024
1 parent 02438b3 commit 8fe168f
Show file tree
Hide file tree
Showing 17 changed files with 532 additions and 2 deletions.
21 changes: 21 additions & 0 deletions .github/CONTRIBUTING.md
View file
Original file line number Diff line number Diff line change
@@ -0,0 +1,21 @@
# Contributing to Microsoft Learning Repositories

MCT contributions are a key part of keeping the lab and demo content current as the Azure platform changes. We want to make it as easy as possible for you to contribute changes to the lab files. Here are a few guidelines to keep in mind as you contribute changes.

## GitHub Use & Purpose

Microsoft Learning is using GitHub to publish the lab steps and lab scripts for courses that cover cloud services like Azure. Using GitHub allows the course’s authors and MCTs to keep the lab content current with Azure platform changes. Using GitHub allows the MCTs to provide feedback and suggestions for lab changes, and then the course authors can update lab steps and scripts quickly and relatively easily.

> When you prepare to teach these courses, you should ensure that you are using the latest lab steps and scripts by downloading the appropriate files from GitHub. GitHub should not be used to discuss technical content in the course, or how to prep. It should only be used to address changes in the labs.
It is strongly recommended that MCTs and Partners access these materials and in turn, provide them separately to students. Pointing students directly to GitHub to access Lab steps as part of an ongoing class will require them to access yet another UI as part of the course, contributing to a confusing experience for the student. An explanation to the student regarding why they are receiving separate Lab instructions can highlight the nature of an always-changing cloud-based interface and platform. Microsoft Learning support for accessing files on GitHub and support for navigation of the GitHub site is limited to MCTs teaching this course only.

> As an alternative to pointing students directly to the GitHub repository, you can point students to the GitHub Pages website to view the lab instructions. The URL for the GitHub Pages website can be found at the top of the repository.
To address general comments about the course and demos, or how to prepare for a course delivery, please use the existing MCT forums.

## Additional Resources

A user guide has been provided for MCTs who are new to GitHub. It provides steps for connecting to GitHub, downloading and printing course materials, updating the scripts that students use in labs, and explaining how you can help ensure that this course’s content remains current.

<https://microsoftlearning.github.io/MCT-User-Guide/>
12 changes: 12 additions & 0 deletions .github/ISSUE_TEMPLATE.md
View file
Original file line number Diff line number Diff line change
@@ -0,0 +1,12 @@
# Module: 00
## Lab/Demo: 00
### Task: 00
#### Step: 00

Description of issue

Repro steps:

1.
1.
1.
10 changes: 10 additions & 0 deletions .github/PULL_REQUEST_TEMPLATE.md
View file
Original file line number Diff line number Diff line change
@@ -0,0 +1,10 @@
# Module: 00
## Lab/Demo: 00

Fixes # .

Changes proposed in this pull request:

-
-
-
38 changes: 38 additions & 0 deletions Instructions/Demos/DEMO_00_course_introduction.md
View file
Original file line number Diff line number Diff line change
@@ -0,0 +1,38 @@
---
demo:
title: 'Demostración 00: Materiales para alumnos y entorno de laboratorio (ajustar)'
module: Guided Project - Configure SIEM Security Operations with Microsoft Sentinel
---
## Demostración: Materiales para alumnos y entorno de laboratorio (opcional)

Use esta demostración para mostrar a los alumnos cómo acceder al entorno de laboratorio y a los materiales de los alumnos. Puede hacerlo al principio de la clase o antes de la siguiente demostración.

## Muestre a los alumnos el entorno de laboratorio (ajustar para el host de laboratorio)

- Hable de cómo pueden acceder los alumnos al entorno de laboratorio.

- Explique cómo iniciar sesión en el host de la máquina virtual.

- Explique cómo acceder a [Azure Portal](https://portal.azure.com). Abra Azure Portal en el entorno de laboratorio en lugar de en una ventana independiente. Pregunte a mano alzada cuántos alumnos han usado el portal.

- Explique qué recursos, si los hay, ya se han configurado para los laboratorios.

- Revise cómo usar las instrucciones del laboratorio.

- Agregue otros temas específicos de su entorno de hospedaje del laboratorio.

## Muestre a los alumnos sus materiales para el curso.

- Acceda a la página [Microsoft Learn](https://learn.microsoft.com).

- Hable de que Microsoft Learn es una fuente excelente para toda la documentación, formación, certificaciones y evaluaciones de Azure.

- Seleccione **Rutas de aprendizaje** y, a continuación, busque la ruta de aprendizaje **Configurar operaciones de seguridad de SIEM mediante Microsoft Sentinel**.

- Hable de que el contenido de la ruta de aprendizaje es específico de este curso. Hay más contenido de almacenamiento que pueden revisar.

- Explique que el contenido es material de referencia y que no hay una asignación de 1:1 con las presentaciones de clase.

- Hable de que cada uno de estos módulos puede tener actividades prácticas adicionales. Identificará estas actividades a medida que avance el curso.

- Pida a los alumnos que busquen y guarden como marcador la ruta de aprendizaje.
79 changes: 79 additions & 0 deletions Instructions/Labs/LAB_01_create_microsoft_sentinel_workspace.md
View file
Original file line number Diff line number Diff line change
@@ -0,0 +1,79 @@
---
lab:
title: "Ejercicio\_01: Implementar Microsoft\_Sentinel"
module: Guided Project - Create and configure a Microsoft Sentinel workspace
---

>**Nota**: Para completar este laboratorio, necesitará una [suscripción de Azure](https://azure.microsoft.com/en-us/free/?azure-portal=true) en la que tenga acceso administrativo.
## Directrices generales

- Al crear objetos, use la configuración predeterminada a menos que haya requisitos que requieran configuraciones diferentes.
- Solo cree, elimine o modifique objetos para cumplir los requisitos indicados. Los cambios innecesarios en el entorno pueden afectar negativamente a la puntuación final.
- Si hay varios enfoques para lograr un objetivo, elija siempre el enfoque que requiere la menor cantidad de esfuerzo administrativo.

Actualmente estamos evaluando la posición de seguridad existente de nuestro entorno corporativo. Necesitamos su ayuda para configurar una solución de Administración de eventos e información de seguridad (SIEM) que ayude a identificar ataques cibernéticos actuales y futuros.

## Diagrama de la arquitectura

![Diagrama con el área de trabajo de Log Analytics.](../Media/apl-5001-lab-diagrams-01.png)

## Tareas de aptitudes

Debe implementar un área de trabajo de Microsoft Sentinel. El plan debe cumplir los requisitos siguientes:

- Asegúrese de que los datos de Sentinel se almacenan en la región de Azure del Oeste de EE. UU.
- Asegúrese de que todos los registros de análisis de Sentinel se conservan durante 180 días.
- Asigne roles a Operator1 para asegurarse de que Operator1 pueda administrar incidentes y ejecutar cuadernos de estrategias de Sentinel. La solución debe cumplir el principio de privilegios mínimos.

## Instrucciones del ejercicio

### Tarea 1: Crear un área de trabajo de Log Analytics

Cree un área de trabajo de Log Analytics, incluida la opción de región. Obtenga más información sobre [incorporar Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/quickstart-onboard).

1. En Azure Portal, busque y seleccione `Microsoft Sentinel`.
1. Seleccione **+ Create (+ Crear)**.
1. Seleccione **Crear área de trabajo**.
1. Seleccione `RG2` como Grupo de recursos
1. Escriba un nombre válido para el área de trabajo de Log Analytics.
1. Seleccione `West US` como la región para el área de trabajo.
1. Seleccione **Revisar y crear** para validar el nuevo área de trabajo.
1. Seleccione **Crear** para implementar el área de trabajo.

### Tarea 2: Implementar Microsoft Sentinel en un área de trabajo

Implemente Microsoft Sentinel en el área de trabajo.

1. Cuando se complete la implementación `workspace`, seleccione **Actualizar** para mostrar el nuevo `workspace`.
1. Seleccione el `workspace` al que desea agregar Sentinel (creado en la Tarea 1).
1. Seleccione **Agregar**.

### Tarea 3: Asignar un rol de Microsoft Sentinel a un usuario.

Asigne un rol de Microsoft Sentinel a un usuario. Consiga más información sobre [Roles y permisos para trabajar en Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/roles)

1. Vaya al Grupo de recursos RG2
1. Seleccione **Control de acceso (IAM)**.
1. Seleccione **Agregar ** y `Add role assignment`.
1. En la barra de búsqueda, busque y seleccione el rol `Microsoft Sentinel Contributor`.
1. Seleccione **Siguiente**.
1. Seleccione la opción `User, group, or service principal`.
1. Seleccione **+ Seleccionar integrantes**.
1. Busque los `Operator1` asignados en las instrucciones del laboratorio `([email protected])`.
1. Seleccione `user icon`.
1. Elija **Seleccionar**.
1. Seleccione “Revisar y asignar”.
1. Seleccione “Revisar y asignar”.

### Tarea 4: Configurar la retención de datos

Configure la retención de datos [Más información sobre la retención de datos](https://learn.microsoft.com/azure/azure-monitor/logs/data-retention-archive).

1. Vaya al `Log Analytics workspace` creado en la Tarea 1, paso 5.
1. Seleccione **Uso y costos estimados**.
1. Seleccione **Retención de datos**.
1. Cambie el período de retención de datos a **180 días**.
1. Seleccione **Aceptar**.

>**Nota**: Para más información, complete el módulo [Crear y administrar áreas de trabajo de Microsoft Sentinel](https://learn.microsoft.com/training/modules/create-manage-azure-sentinel-workspaces/).
109 changes: 109 additions & 0 deletions Instructions/Labs/LAB_02_deploy_microsoft_sentinel_content_hub_solution.md
View file
Original file line number Diff line number Diff line change
@@ -0,0 +1,109 @@
---
lab:
title: 'Ejercicio 02: Ingesta de datos de eventos de Seguridad de Windows'
module: Guided Project - Deploy Microsoft Sentinel Content Hub solutions and data connectors
---

>**Nota**: Este laboratorio se basa en el Laboratorio 01. Para completar este laboratorio, necesitará una [suscripción de Azure](https://azure.microsoft.com/free/?azure-portal=true). en la que tenga acceso administrativo.
## Directrices generales

- Al crear objetos, use la configuración predeterminada a menos que haya requisitos que requieran configuraciones diferentes.
- Solo cree, elimine o modifique objetos para cumplir los requisitos indicados. Los cambios innecesarios en el entorno pueden afectar negativamente a la puntuación final.
- Si hay varios enfoques para lograr un objetivo, elija siempre el enfoque que requiere la menor cantidad de esfuerzo administrativo.

Necesitamos configurar Microsoft Sentinel para ingerir datos mediante soluciones de Microsoft Sentinel.

## Diagrama de la arquitectura

![Diagrama de conectores de datos del Centro de contenido](../Media/apl-5001-lab-diagrams-lab02.png)

## Tareas de aptitudes

Debe implementar soluciones del Centro de contenido en el área de trabajo de Microsoft Sentinel y cumplir los siguientes requisitos:

- Instale las siguientes soluciones:
- Eventos de seguridad de Windows.
- Conector de actividad de Azure.
- Microsoft Defender for Cloud.
- Configure el conector de datos para la actividad de Azure para aplicar todos los recursos nuevos y existentes en la suscripción.
- Configure el conector de datos de Microsoft Defender for Cloud para conectarse a la suscripción de Azure y asegúrese de que solo está habilitada la sincronización bidireccional.
- Habilite una regla de análisis basada en la plantilla Número sospechoso de creación de recursos o actividades de implementación. La regla debe ejecutarse cada hora y solo buscar datos para esa última hora.
- Asegúrese de que el libro actividad de Azure esté disponible en Mis libros.

## Instrucciones del ejercicio

>**Nota**: En las siguientes tareas, para acceder a `Microsoft Sentinel`, seleccione el `workspace` que creó en el Laboratorio 01.
### Tarea 1: Implementar una solución del Centro de contenido de Microsoft Sentinel

Implemente una solución del Centro de contenido y configure conectores de datos. Obtenga más información sobre las [soluciones del Centro de contenido](https://learn.microsoft.com/azure/sentinel/sentinel-solutions).

1. En `Microsoft Sentinel`, vaya a la sección del menú `Content management` y seleccione **Centro de contenido**
1. Busque y seleccione **Eventos de Seguridad de Windows**
1. Seleccione el vínculo para **Ver detalles**
1. Seleccione plan de eventos de Seguridad de Windows y seleccione **Crear**
1. Seleccione el grupo de recursos `RG2` que incluye el área de trabajo de Microsoft Sentinel y seleccione el `Workspace`.
1. Seleccione **Siguiente** hacia la pestaña Conectores de datos (la solución implementará dos conectores de datos).
1. Seleccione **Siguiente** hacia la pestaña Libros (la solución instala libros)
1. Seleccione **Siguiente** hacia la pestaña Análisis (la solución instala reglas de análisis)
1. Seleccione **Siguiente** hacia la pestaña Búsqueda de consultas (la solución instala la búsqueda de consultas)
1. Seleccione **Revisar y crear**.
1. Seleccione **Crear**

1. Repita estos pasos para las soluciones `Azure Activity` y `Microsoft Defender for Cloud`.

### Tarea 2: Configurar el conector de datos para la actividad de Azure

Configure el conector de datos para la actividad de Azure para aplicar todos los recursos nuevos y existentes en la suscripción. Obtenga más información sobre los [conectores de datos de Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/connect-data-sources).

1. En `Microsoft Sentinel`, vaya a la sección del menú `Content management` y seleccione **Centro de contenido**.
1. En el `Content hub`, filtre `Status` por Soluciones instaladas.
1. Seleccione la solución `Azure Activity` y seleccione **Administrar**.
1. Seleccione el conector de datos `Azure Activity`y seleccione la página **Abrir conector**.
1. En el área `Configuration`, bajo la pestaña `Instructions`, desplácese hacia abajo `2. Connect your subscriptions...` y seleccione **Iniciar el asistente de asignación de Azure Policy>**.
1. En la pestaña **Datos básicos**, seleccione el botón de puntos suspensivos (...) en **Ámbito** y seleccione la suscripción de en la lista desplegable y haga clic en **Seleccionar**.
1. Seleccione la pestaña **Parámetros** y elija el área de trabajo de la lista desplegable **Área de trabajo principal de Log Analytics**.
1. Seleccione la pestaña **Corrección** y active la casilla **Crear una tarea de corrección**.
1. Seleccione el botón **Revisar y crear** para revisar la configuración.
1. Seleccione **Crear** para finalizar.

### Tarea 3: Configurar el conector de datos de Defender for Cloud

Configure el conector de datos de Microsoft Defender for Cloud y asegúrese de que solo esté configurada la administración de incidentes.

1. En `Microsoft Sentinel`, vaya a la sección del menú `Content management` y seleccione **Centro de contenido**.
1. En el `Content hub`, filtre `Status` por Soluciones instaladas.
1. Seleccione la solución `Microsoft Defender for Cloud` y seleccione **Administrar**.
1. Seleccione el conector de datos `Subscription-based Microsoft Defender for Cloud (Legacy)`y seleccione **Abrir la página del conector**
1. En el `Configuration` área de la pestaña `Instructions`, desplácese hacia abajo hasta la suscripción y mueva el control deslizante de la columna `Status` a **Conectado**.
1. Asegúrese de que `Bi-directional sync` esté **habilitado**.

### Tarea 4: Crear una regla de análisis

Cree una regla de análisis basada en la plantilla Número sospechoso de creación de recursos o actividades de implementación. La regla debe ejecutarse cada hora y solo buscar datos para esa última hora. Obtenga más información sobre [Usar plantillas de reglas de análisis de Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/detect-threats-built-in).

1. En `Microsoft Sentinel`, vaya a la sección del menú `Configuration` y seleccione **Análisis**.
1. En la pestaña `Rule templates`, busque **Número sospechoso de actividades de creación o implementación de recursos**.
1. Seleccione el **número sospechoso de actividades de creación o implementación de recursos** y seleccione **Crear regla**.
1. Deje los valores predeterminados en la pestaña `General` y seleccione **Siguiente: Establecer lógica de la regla >**.
1. Deje el valor predeterminado `Rule query` y configure `Query scheduling` mediante la tabla:

|Configuración |Valor|
|---|---|
|Ejecutar consulta cada|1 hora|
|Buscar datos del último|1 hora|

1. Seleccione **Siguiente: Configuración de incidentes >**.
1. Deje los valores predeterminados y seleccione **Siguiente: Respuesta automatizada >**.
1. Deje los valores predeterminados y seleccione **Siguiente: Revisar y crear >**.
1. Seleccione **Guardar**.

### Tarea 5: Asegúrese de que el libro actividad de Azure esté disponible en Mis libros

1. En `Microsoft Sentinel`, vaya a la sección del menú `Content management` y seleccione **Centro de contenido**.
1. En el `Content hub`, filtre `Status` por Soluciones instaladas.
1. Seleccione la solución `Azure Activity` y seleccione **Administrar**.
1. Seleccione el libro `Azure Activity` `checkbox` y luego seleccione **Configuración**.
1. Seleccione el libro `Azure Activity` y seleccione **Guardar**.
1. Elija el `Azure Region` para el área de trabajo `Microsoft Sentinel`.
Loading

0 comments on commit 8fe168f

Please sign in to comment.