-
Notifications
You must be signed in to change notification settings - Fork 0
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Copy Files From Source Repo (2024-04-15 19:40)
- Loading branch information
1 parent
1264f7d
commit 83abda4
Showing
17 changed files
with
532 additions
and
2 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,21 @@ | ||
| # Contributing to Microsoft Learning Repositories | ||
|
|
||
| MCT contributions are a key part of keeping the lab and demo content current as the Azure platform changes. We want to make it as easy as possible for you to contribute changes to the lab files. Here are a few guidelines to keep in mind as you contribute changes. | ||
|
|
||
| ## GitHub Use & Purpose | ||
|
|
||
| Microsoft Learning is using GitHub to publish the lab steps and lab scripts for courses that cover cloud services like Azure. Using GitHub allows the course’s authors and MCTs to keep the lab content current with Azure platform changes. Using GitHub allows the MCTs to provide feedback and suggestions for lab changes, and then the course authors can update lab steps and scripts quickly and relatively easily. | ||
|
|
||
| > When you prepare to teach these courses, you should ensure that you are using the latest lab steps and scripts by downloading the appropriate files from GitHub. GitHub should not be used to discuss technical content in the course, or how to prep. It should only be used to address changes in the labs. | ||
| It is strongly recommended that MCTs and Partners access these materials and in turn, provide them separately to students. Pointing students directly to GitHub to access Lab steps as part of an ongoing class will require them to access yet another UI as part of the course, contributing to a confusing experience for the student. An explanation to the student regarding why they are receiving separate Lab instructions can highlight the nature of an always-changing cloud-based interface and platform. Microsoft Learning support for accessing files on GitHub and support for navigation of the GitHub site is limited to MCTs teaching this course only. | ||
|
|
||
| > As an alternative to pointing students directly to the GitHub repository, you can point students to the GitHub Pages website to view the lab instructions. The URL for the GitHub Pages website can be found at the top of the repository. | ||
| To address general comments about the course and demos, or how to prepare for a course delivery, please use the existing MCT forums. | ||
|
|
||
| ## Additional Resources | ||
|
|
||
| A user guide has been provided for MCTs who are new to GitHub. It provides steps for connecting to GitHub, downloading and printing course materials, updating the scripts that students use in labs, and explaining how you can help ensure that this course’s content remains current. | ||
|
|
||
| <https://microsoftlearning.github.io/MCT-User-Guide/> |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,12 @@ | ||
| # Module: 00 | ||
| ## Lab/Demo: 00 | ||
| ### Task: 00 | ||
| #### Step: 00 | ||
|
|
||
| Description of issue | ||
|
|
||
| Repro steps: | ||
|
|
||
| 1. | ||
| 1. | ||
| 1. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,10 @@ | ||
| # Module: 00 | ||
| ## Lab/Demo: 00 | ||
|
|
||
| Fixes # . | ||
|
|
||
| Changes proposed in this pull request: | ||
|
|
||
| - | ||
| - | ||
| - |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,38 @@ | ||
| --- | ||
| demo: | ||
| title: "Démonstration\_00\_: Matériel pour les participants et environnement de labo (ajuster)" | ||
| module: Guided Project - Configure SIEM Security Operations with Microsoft Sentinel | ||
| --- | ||
| ## Démonstration : Matériel pour les participants et environnement de labo (facultatif) | ||
|
|
||
| Utilisez cette démonstration pour montrer aux participants comment accéder à l'environnement du labo et au matériel pédagogique. Vous pouvez le faire au début de la classe ou avant la prochaine démonstration. | ||
|
|
||
| ## Présenter aux élèves l’environnement de labo (à adapter en fonction de l’hôte de votre labo) | ||
|
|
||
| - Expliquez comment les élèves accèdent à l’environnement de labo. | ||
|
|
||
| - Expliquez comment se connecter à l’hôte de la machine virtuelle. | ||
|
|
||
| - Expliquez comment accéder au [portail Azure](https://portal.azure.com). Il est préférable d’ouvrir le Portail Azure dans l’environnement de labo plutôt que dans une fenêtre séparée. Demandez aux participants de lever la main pour savoir combien d'entre eux ont utilisé le portail. | ||
|
|
||
| - Expliquez quelles ressources, le cas échéant, ont déjà été configurées pour les labos. | ||
|
|
||
| - Passez en revue l'utilisation des instructions du labo. | ||
|
|
||
| - Ajoutez d'autres sujets spécifiques à l'environnement d'hébergement de votre labo. | ||
|
|
||
| ## Montrez aux participants leur matériel de cours. | ||
|
|
||
| - Accédez à la page [Microsoft Learn](https://learn.microsoft.com). | ||
|
|
||
| - Expliquez que Microsoft Learn est une excellente ressource où ils peuvent trouver toute la documentation, les formations, les certifications et les évaluations Azure. | ||
|
|
||
| - Sélectionnez **Parcours d’apprentissage**, puis recherchez le parcours d’apprentissage **Configurer les opérations de sécurité SIEM à l’aide de Microsoft Sentinel**. | ||
|
|
||
| - Expliquez que le contenu du parcours d'apprentissage est spécifique à ce cours. Ils peuvent consulter d'autres contenus sur le stockage. | ||
|
|
||
| - Expliquez que le contenu est du matériel de référence et il n’y a pas de mappage individuel avec les présentations en classe. | ||
|
|
||
| - Indiquez que chacun de ces modules peut comporter des activités pratiques supplémentaires. Vous identifierez ces activités tout au long du cours. | ||
|
|
||
| - Demandez aux participants de localiser le parcours d’apprentissage et de l’ajouter à leurs signets. |
79 changes: 79 additions & 0 deletions
79
Instructions/Labs/LAB_01_create_microsoft_sentinel_workspace.md
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,79 @@ | ||
| --- | ||
| lab: | ||
| title: "Exercice\_01\_: Déployer Microsoft Sentinel" | ||
| module: Guided Project - Create and configure a Microsoft Sentinel workspace | ||
| --- | ||
|
|
||
| >**Remarque** : pour suivre ce labo, vous devez disposer d’un [abonnement Azure](https://azure.microsoft.com/en-us/free/?azure-portal=true) pour lequel vous disposez d’un accès administratif. | ||
| ## Recommandations générales | ||
|
|
||
| - Lors de la création d’objets, utilisez les paramètres par défaut, à moins que des exigences ne requièrent des configurations différentes. | ||
| - Ne créez, ne supprimez ou ne modifiez des objets que pour répondre aux exigences énoncées. Des modifications inutiles de l’environnement peuvent avoir un effet négatif sur votre score final. | ||
| - S’il existe plusieurs approches pour atteindre un objectif, choisissez toujours celle qui nécessite le moins d’efforts administratifs. | ||
|
|
||
| Nous évaluons actuellement le niveau de sécurité existant de notre environnement d’entreprise. Nous avons besoin de votre aide pour configurer une solution SIEM (Gestion des informations et des événements de sécurité) pour identifier les cyber-attaques futures et en cours. | ||
|
|
||
| ## Diagramme de l'architecture | ||
|
|
||
|  | ||
|
|
||
| ## Tâches d'apprentissage | ||
|
|
||
| Vous devez déployer un espace de travail Microsoft Sentinel. La solution doit remplir les conditions suivantes : | ||
|
|
||
| - Veillez à ce que les données Sentinel soient stockées dans la région Azure USA Ouest. | ||
| - Assurez-vous que tous les journaux d’activité Sentinel sont conservés pendant 180 jours. | ||
| - Attribuez des rôles à Operator1 pour qu’il puisse gérer les incidents et exécuter les playbooks Sentinel. La solution doit respecter le principe du privilège minimum. | ||
|
|
||
| ## Instructions de l’exercice | ||
|
|
||
| ### Tâche 1 : Créer un espace de travail Log Analytics | ||
|
|
||
| Créez un espace de travail Log Analytics, y compris l’option de région. En savoir plus sur l’[intégration Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/quickstart-onboard). | ||
|
|
||
| 1. Dans le portail Azure, recherchez et sélectionnez `Microsoft Sentinel`. | ||
| 1. Sélectionnez **+ Créer**. | ||
| 1. Sélectionnez **Créer un espace de travail**. | ||
| 1. Sélectionnez `RG2` comme groupe de ressources. | ||
| 1. Saisissez un nom valide pour l’espace de travail Log Analytics. | ||
| 1. Sélectionnez `West US` comme la région de l’espace de travail. | ||
| 1. Sélectionnez **Vérifier + créer** pour valider le nouvel espace de travail. | ||
| 1. Sélectionnez **Créer** pour déployer l’espace de travail. | ||
|
|
||
| ### Tâche 2 : Déployer Microsoft Sentinel dans un espace de travail | ||
|
|
||
| Déployez Microsoft Sentinel dans l’espace de travail. | ||
|
|
||
| 1. Une fois le déploiement `workspace` terminé, sélectionnez **Actualiser** pour afficher le nouveau `workspace`. | ||
| 1. Sélectionnez l’élément `workspace` auquel vous souhaitez ajouter Sentinel (créé dans la tâche 1). | ||
| 1. Sélectionnez **Ajouter**. | ||
|
|
||
| ### Tâche 3 : Attribuer un rôle Microsoft Sentinel à un utilisateur | ||
|
|
||
| Attribuer un rôle Microsoft Sentinel à une utilisation. En savoir plus sur les [rôles et autorisations pour travailler dans Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/roles). | ||
|
|
||
| 1. Accédez au groupe de ressources RG2. | ||
| 1. Sélectionnez **Contrôle d’accès (IAM)** . | ||
| 1. Sélectionnez **Ajouter** et `Add role assignment`. | ||
| 1. Dans la barre de recherche, recherchez et sélectionnez le rôle `Microsoft Sentinel Contributor`. | ||
| 1. Cliquez sur **Suivant**. | ||
| 1. Sélectionnez l’option `User, group, or service principal`. | ||
| 1. Sélectionnez **+ Sélectionner des membres**. | ||
| 1. Recherchez le `Operator1` attribué dans vos instructions de labo `([email protected])`. | ||
| 1. Sélectionnez `user icon`. | ||
| 1. Cliquez sur **Sélectionner**. | ||
| 1. Sélectionnez « Vérifier + attribuer ». | ||
| 1. Sélectionnez « Vérifier + attribuer ». | ||
|
|
||
| ### Tâche 4 : Configurer la rétention des données | ||
|
|
||
| Configurez la rétention des données [En savoir plus sur la rétention des données](https://learn.microsoft.com/azure/azure-monitor/logs/data-retention-archive). | ||
|
|
||
| 1. Accédez à `Log Analytics workspace` créé à l’étape 5 de la tâche 1. | ||
| 1. Sélectionnez **Utilisation et estimation des coûts**. | ||
| 1. Sélectionnez **Rétention des données**. | ||
| 1. Modifiez la période de rétention en la portant à **180 jours**. | ||
| 1. Cliquez sur **OK**. | ||
|
|
||
| >**Remarque** : pour des exercices supplémentaires, suivez le module [Créer et gérer des espaces de travail Microsoft Sentinel](https://learn.microsoft.com/training/modules/create-manage-azure-sentinel-workspaces/). |
109 changes: 109 additions & 0 deletions
109
Instructions/Labs/LAB_02_deploy_microsoft_sentinel_content_hub_solution.md
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,109 @@ | ||
| --- | ||
| lab: | ||
| title: "Exercice\_02\_: Ingérer des données d’événement Sécurité Windows" | ||
| module: Guided Project - Deploy Microsoft Sentinel Content Hub solutions and data connectors | ||
| --- | ||
|
|
||
| >**Remarque** : ce labo s’appuie sur le Lab 01. Pour suivre ce labo, vous devez disposer d’un [abonnement Azure](https://azure.microsoft.com/free/?azure-portal=true). pour lequel vous disposez d’un accès administratif. | ||
| ## Recommandations générales | ||
|
|
||
| - Lors de la création d’objets, utilisez les paramètres par défaut, à moins que des exigences ne requièrent des configurations différentes. | ||
| - Ne créez, ne supprimez ou ne modifiez des objets que pour répondre aux exigences énoncées. Des modifications inutiles de l’environnement peuvent avoir un effet négatif sur votre score final. | ||
| - S’il existe plusieurs approches pour atteindre un objectif, choisissez toujours celle qui nécessite le moins d’efforts administratifs. | ||
|
|
||
| Nous devons configurer Microsoft Sentinel pour ingérer des données en utilisant les solutions Microsoft Sentinel. | ||
|
|
||
| ## Diagramme de l'architecture | ||
|
|
||
|  | ||
|
|
||
| ## Tâches d'apprentissage | ||
|
|
||
| Vous devez déployer des solutions Content Hub dans l’espace de travail Microsoft Sentinel et répondre aux exigences suivantes : | ||
|
|
||
| - Installez les solutions suivantes : | ||
| - Windows Security Events. | ||
| - Connecteur Azure Activity. | ||
| - Microsoft Defender pour le cloud. | ||
| - Configurez le connecteur de données pour Azure Activity afin d’appliquer toutes les ressources nouvelles et existantes dans l’abonnement. | ||
| - Configurez le connecteur de données de Microsoft Defender pour le cloud pour qu’il se connecte à l’abonnement Azure et assurez-vous que seule la synchronisation bidirectionnelle est activée. | ||
| - Activez une règle d’analyse basée sur le modèle Nombre suspect d’activités de création ou de déploiement de ressources. La règle doit être exécutée toutes les heures et ne doit consulter que les données de la dernière heure. | ||
| - Assurez-vous que le classeur Activité Azure est disponible dans Mes classeurs. | ||
|
|
||
| ## Instructions de l’exercice | ||
|
|
||
| >**Remarque** : dans les tâches suivantes, pour accéder à `Microsoft Sentinel`, sélectionnez le fichier `workspace` que vous avez créé au Lab 01. | ||
| ### Tâche 1 : Déployer une solution Microsoft Sentinel Content Hub | ||
|
|
||
| Déployez une solution Content Hub et configurez les connecteurs de données. En savoir plus sur les [solutions Content Hub](https://learn.microsoft.com/azure/sentinel/sentinel-solutions). | ||
|
|
||
| 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Content management` et sélectionnez **Content Hub**. | ||
| 1. Recherchez et sélectionnez **Windows Security Events**. | ||
| 1. Sélectionnez le lien pour **afficher les détails** | ||
| 1. Sélectionnez le plan Windows Security Events, puis **Créer**. | ||
| 1. Sélectionnez le groupe de ressources `RG2` qui inclut l’espace de travail Microsoft Sentinel, puis sélectionnez le `Workspace`. | ||
| 1. Sélectionnez **Suivant** dans l’onglet Connecteurs de données (la solution déploiera 2 connecteurs de données). | ||
| 1. Sélectionnez **Suivant** dans l’onglet Classeurs (la solution installe les classeurs). | ||
| 1. Sélectionnez **Suivant** dans l’onglet Analyses (la solution installe les règles d’analyse). | ||
| 1. Sélectionnez **Suivant** dans l’onglet Requêtes de chasse (la solution installe des requêtes de chasse). | ||
| 1. Sélectionner **Vérifier + créer** | ||
| 1. Sélectionnez **Créer** | ||
|
|
||
| 1. Répétez ces étapes pour les solutions `Azure Activity` et les solutions `Microsoft Defender for Cloud`. | ||
|
|
||
| ### Tâche 2 : Configurer le connecteur de données pour Azure Activity | ||
|
|
||
| Configurez le connecteur de données pour Azure Activity afin d’appliquer toutes les ressources nouvelles et existantes dans l’abonnement. En savoir plus sur les [connecteur de données Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/connect-data-sources). | ||
|
|
||
| 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Content management` et sélectionnez **Content Hub**. | ||
| 1. Dans `Content hub`, filtrez `Status` sur les solutions installées. | ||
| 1. Sélectionnez la solution `Azure Activity`, puis sélectionnez **Gérer**. | ||
| 1. Sélectionnez le connecteur de données `Azure Activity`, puis la page **Ouvrir le connecteur**. | ||
| 1. Dans la zone `Configuration` sous l’onglet `Instructions`, descendez jusqu’à `2. Connect your subscriptions...` et sélectionnez **Lancer l’assistant d’affectation Azure Policy>**. | ||
| 1. Sous l’onglet **Informations de base**, sélectionnez le bouton de sélection (…) sous **Étendue**, sélectionnez votre « Abonnement » dans la liste déroulante et cliquez sur **Sélectionner**. | ||
| 1. Sélectionnez l’onglet **Paramètres**, choisissez votre espace de travail dans la liste déroulante **Espace de travail Log Analytics principal**. | ||
| 1. Sélectionnez l’onglet **Correction** et cochez la case **Créer une tâche de correction**. | ||
| 1. Sélectionnez le bouton **Vérifier + créer** pour passer en revue la configuration. | ||
| 1. Sélectionnez **Créer** pour terminer. | ||
|
|
||
| ### Tâche 3 : Configurer le connecteur de données Defender pour le cloud | ||
|
|
||
| Configurez le connecteur de données pour Microsoft Defender pour le cloud et vérifiez que seule la gestion des incidents est configurée. | ||
|
|
||
| 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Content management` et sélectionnez **Content Hub**. | ||
| 1. Dans `Content hub`, filtrez `Status` sur les solutions installées. | ||
| 1. Sélectionnez la solution `Microsoft Defender for Cloud`, puis sélectionnez **Gérer**. | ||
| 1. Sélectionnez le connecteur de données `Subscription-based Microsoft Defender for Cloud (Legacy)`, puis la page **Ouvrir le connecteur**. | ||
| 1. Dans la zone `Configuration` sous l’onglet `Instructions`, descendez jusqu’à votre abonnement et placez le curseur dans la colonne `Status` sur **Connecté**. | ||
| 1. Vérifiez que `Bi-directional sync` est **activé**. | ||
|
|
||
| ### Tâche 4 : Créer une règle d’analyse | ||
|
|
||
| Créez une règle d’analyse basée sur le modèle Nombre suspect d’activités de création ou de déploiement de ressources. La règle doit être exécutée toutes les heures et ne doit consulter que les données de la dernière heure. En savoir plus sur l’[utilisation des modèles de règles d’analyse Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/detect-threats-built-in). | ||
|
|
||
| 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Configuration` et sélectionnez **Analyses**. | ||
| 1. Dans l’onglet `Rule templates`, recherchez le **Nombre suspect d’activités de création ou de déploiement de ressources**. | ||
| 1. Sélectionnez le **Nombre suspect d’activités de création ou de déploiement de ressources**, puis sélectionnez **Créer une règle**. | ||
| 1. Conservez les valeurs par défaut de l’onglet `General` et sélectionnez **Suivant : Définir la logique de la règle >**. | ||
| 1. Conservez la valeur par défaut pour `Rule query` et configurez `Query scheduling` à l’aide de la table : | ||
|
|
||
| |Paramètre |Valeur| | ||
| |---|---| | ||
| |Exécuter la requête toutes les|1 heure| | ||
| |Rechercher les données des dernières|1 heure| | ||
|
|
||
| 1. Sélectionnez **Suivant : Paramètres d’incident >**. | ||
| 1. Conservez les valeurs par défaut et sélectionnez **Suivant : Réponse automatisée >**. | ||
| 1. Conservez les valeurs par défaut et sélectionnez **Suivant : Vérifier et créer >**. | ||
| 1. Sélectionnez **Enregistrer**. | ||
|
|
||
| ### Tâche 5 : S’assurer que le classeur Activité Azure est disponible dans Mes classeurs | ||
|
|
||
| 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Content management` et sélectionnez **Content Hub**. | ||
| 1. Dans `Content hub`, filtrez `Status` sur les solutions installées. | ||
| 1. Sélectionnez la solution `Azure Activity`, puis sélectionnez **Gérer**. | ||
| 1. Sélectionnez le classeur `Azure Activity` `checkbox`, puis sélectionnez **Configuration**. | ||
| 1. Sélectionnez le classeur `Azure Activity`, puis sélectionnez **Enregistrer**. | ||
| 1. Choisissez le `Azure Region` pour votre espace de travail `Microsoft Sentinel`. |
Oops, something went wrong.