diff --git a/.github/CONTRIBUTING.md b/.github/CONTRIBUTING.md new file mode 100644 index 0000000..2589d21 --- /dev/null +++ b/.github/CONTRIBUTING.md @@ -0,0 +1,21 @@ +# Contributing to Microsoft Learning Repositories + +MCT contributions are a key part of keeping the lab and demo content current as the Azure platform changes. We want to make it as easy as possible for you to contribute changes to the lab files. Here are a few guidelines to keep in mind as you contribute changes. + +## GitHub Use & Purpose + +Microsoft Learning is using GitHub to publish the lab steps and lab scripts for courses that cover cloud services like Azure. Using GitHub allows the course’s authors and MCTs to keep the lab content current with Azure platform changes. Using GitHub allows the MCTs to provide feedback and suggestions for lab changes, and then the course authors can update lab steps and scripts quickly and relatively easily. + +> When you prepare to teach these courses, you should ensure that you are using the latest lab steps and scripts by downloading the appropriate files from GitHub. GitHub should not be used to discuss technical content in the course, or how to prep. It should only be used to address changes in the labs. + +It is strongly recommended that MCTs and Partners access these materials and in turn, provide them separately to students. Pointing students directly to GitHub to access Lab steps as part of an ongoing class will require them to access yet another UI as part of the course, contributing to a confusing experience for the student. An explanation to the student regarding why they are receiving separate Lab instructions can highlight the nature of an always-changing cloud-based interface and platform. Microsoft Learning support for accessing files on GitHub and support for navigation of the GitHub site is limited to MCTs teaching this course only. + +> As an alternative to pointing students directly to the GitHub repository, you can point students to the GitHub Pages website to view the lab instructions. The URL for the GitHub Pages website can be found at the top of the repository. + +To address general comments about the course and demos, or how to prepare for a course delivery, please use the existing MCT forums. + +## Additional Resources + +A user guide has been provided for MCTs who are new to GitHub. It provides steps for connecting to GitHub, downloading and printing course materials, updating the scripts that students use in labs, and explaining how you can help ensure that this course’s content remains current. + + diff --git a/.github/ISSUE_TEMPLATE.md b/.github/ISSUE_TEMPLATE.md new file mode 100644 index 0000000..4dd6247 --- /dev/null +++ b/.github/ISSUE_TEMPLATE.md @@ -0,0 +1,12 @@ +# Module: 00 +## Lab/Demo: 00 +### Task: 00 +#### Step: 00 + +Description of issue + +Repro steps: + +1. +1. +1. \ No newline at end of file diff --git a/.github/PULL_REQUEST_TEMPLATE.md b/.github/PULL_REQUEST_TEMPLATE.md new file mode 100644 index 0000000..a593e56 --- /dev/null +++ b/.github/PULL_REQUEST_TEMPLATE.md @@ -0,0 +1,10 @@ +# Module: 00 +## Lab/Demo: 00 + +Fixes # . + +Changes proposed in this pull request: + +- +- +- \ No newline at end of file diff --git a/Instructions/Demos/DEMO_00_course_introduction.md b/Instructions/Demos/DEMO_00_course_introduction.md new file mode 100644 index 0000000..5d1e811 --- /dev/null +++ b/Instructions/Demos/DEMO_00_course_introduction.md @@ -0,0 +1,38 @@ +--- +demo: + title: "Démonstration\_00\_: Matériel pour les participants et environnement de labo (ajuster)" + module: Guided Project - Configure SIEM Security Operations with Microsoft Sentinel +--- +## Démonstration : Matériel pour les participants et environnement de labo (facultatif) + +Utilisez cette démonstration pour montrer aux participants comment accéder à l'environnement du labo et au matériel pédagogique. Vous pouvez le faire au début de la classe ou avant la prochaine démonstration. + +## Présenter aux élèves l’environnement de labo (à adapter en fonction de l’hôte de votre labo) + +- Expliquez comment les élèves accèdent à l’environnement de labo. + +- Expliquez comment se connecter à l’hôte de la machine virtuelle. + +- Expliquez comment accéder au [portail Azure](https://portal.azure.com). Il est préférable d’ouvrir le Portail Azure dans l’environnement de labo plutôt que dans une fenêtre séparée. Demandez aux participants de lever la main pour savoir combien d'entre eux ont utilisé le portail. + +- Expliquez quelles ressources, le cas échéant, ont déjà été configurées pour les labos. + +- Passez en revue l'utilisation des instructions du labo. + +- Ajoutez d'autres sujets spécifiques à l'environnement d'hébergement de votre labo. + +## Montrez aux participants leur matériel de cours. + +- Accédez à la page [Microsoft Learn](https://learn.microsoft.com). + +- Expliquez que Microsoft Learn est une excellente ressource où ils peuvent trouver toute la documentation, les formations, les certifications et les évaluations Azure. + +- Sélectionnez **Parcours d’apprentissage**, puis recherchez le parcours d’apprentissage **Configurer les opérations de sécurité SIEM à l’aide de Microsoft Sentinel**. + +- Expliquez que le contenu du parcours d'apprentissage est spécifique à ce cours. Ils peuvent consulter d'autres contenus sur le stockage. + +- Expliquez que le contenu est du matériel de référence et il n’y a pas de mappage individuel avec les présentations en classe. + +- Indiquez que chacun de ces modules peut comporter des activités pratiques supplémentaires. Vous identifierez ces activités tout au long du cours. + +- Demandez aux participants de localiser le parcours d’apprentissage et de l’ajouter à leurs signets. diff --git a/Instructions/Labs/LAB_01_create_microsoft_sentinel_workspace.md b/Instructions/Labs/LAB_01_create_microsoft_sentinel_workspace.md new file mode 100644 index 0000000..5379cc1 --- /dev/null +++ b/Instructions/Labs/LAB_01_create_microsoft_sentinel_workspace.md @@ -0,0 +1,79 @@ +--- +lab: + title: "Exercice\_01\_: Déployer Microsoft Sentinel" + module: Guided Project - Create and configure a Microsoft Sentinel workspace +--- + +>**Remarque** : pour suivre ce labo, vous devez disposer d’un [abonnement Azure](https://azure.microsoft.com/en-us/free/?azure-portal=true) pour lequel vous disposez d’un accès administratif. + +## Recommandations générales + +- Lors de la création d’objets, utilisez les paramètres par défaut, à moins que des exigences ne requièrent des configurations différentes. +- Ne créez, ne supprimez ou ne modifiez des objets que pour répondre aux exigences énoncées. Des modifications inutiles de l’environnement peuvent avoir un effet négatif sur votre score final. +- S’il existe plusieurs approches pour atteindre un objectif, choisissez toujours celle qui nécessite le moins d’efforts administratifs. + +Nous évaluons actuellement le niveau de sécurité existant de notre environnement d’entreprise. Nous avons besoin de votre aide pour configurer une solution SIEM (Gestion des informations et des événements de sécurité) pour identifier les cyber-attaques futures et en cours. + +## Diagramme de l'architecture + +![Diagramme avec l’espace de travail Log Analytics.](../Media/apl-5001-lab-diagrams-01.png) + +## Tâches d'apprentissage + +Vous devez déployer un espace de travail Microsoft Sentinel. La solution doit remplir les conditions suivantes : + +- Veillez à ce que les données Sentinel soient stockées dans la région Azure USA Ouest. +- Assurez-vous que tous les journaux d’activité Sentinel sont conservés pendant 180 jours. +- Attribuez des rôles à Operator1 pour qu’il puisse gérer les incidents et exécuter les playbooks Sentinel. La solution doit respecter le principe du privilège minimum. + +## Instructions de l’exercice + +### Tâche 1 : Créer un espace de travail Log Analytics + +Créez un espace de travail Log Analytics, y compris l’option de région. En savoir plus sur l’[intégration Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/quickstart-onboard). + + 1. Dans le portail Azure, recherchez et sélectionnez `Microsoft Sentinel`. + 1. Sélectionnez **+ Créer**. + 1. Sélectionnez **Créer un espace de travail**. + 1. Sélectionnez `RG2` comme groupe de ressources. + 1. Saisissez un nom valide pour l’espace de travail Log Analytics. + 1. Sélectionnez `West US` comme la région de l’espace de travail. + 1. Sélectionnez **Vérifier + créer** pour valider le nouvel espace de travail. + 1. Sélectionnez **Créer** pour déployer l’espace de travail. + +### Tâche 2 : Déployer Microsoft Sentinel dans un espace de travail + +Déployez Microsoft Sentinel dans l’espace de travail. + + 1. Une fois le déploiement `workspace` terminé, sélectionnez **Actualiser** pour afficher le nouveau `workspace`. + 1. Sélectionnez l’élément `workspace` auquel vous souhaitez ajouter Sentinel (créé dans la tâche 1). + 1. Sélectionnez **Ajouter**. + +### Tâche 3 : Attribuer un rôle Microsoft Sentinel à un utilisateur + +Attribuer un rôle Microsoft Sentinel à une utilisation. En savoir plus sur les [rôles et autorisations pour travailler dans Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/roles). + + 1. Accédez au groupe de ressources RG2. + 1. Sélectionnez **Contrôle d’accès (IAM)** . + 1. Sélectionnez **Ajouter** et `Add role assignment`. + 1. Dans la barre de recherche, recherchez et sélectionnez le rôle `Microsoft Sentinel Contributor`. + 1. Cliquez sur **Suivant**. + 1. Sélectionnez l’option `User, group, or service principal`. + 1. Sélectionnez **+ Sélectionner des membres**. + 1. Recherchez le `Operator1` attribué dans vos instructions de labo `(operator1-XXXXXXXXX@LODSPRODMCA.onmicrosoft.com)`. + 1. Sélectionnez `user icon`. + 1. Cliquez sur **Sélectionner**. + 1. Sélectionnez « Vérifier + attribuer ». + 1. Sélectionnez « Vérifier + attribuer ». + +### Tâche 4 : Configurer la rétention des données + +Configurez la rétention des données [En savoir plus sur la rétention des données](https://learn.microsoft.com/azure/azure-monitor/logs/data-retention-archive). + + 1. Accédez à `Log Analytics workspace` créé à l’étape 5 de la tâche 1. + 1. Sélectionnez **Utilisation et estimation des coûts**. + 1. Sélectionnez **Rétention des données**. + 1. Modifiez la période de rétention en la portant à **180 jours**. + 1. Cliquez sur **OK**. + +>**Remarque** : pour des exercices supplémentaires, suivez le module [Créer et gérer des espaces de travail Microsoft Sentinel](https://learn.microsoft.com/training/modules/create-manage-azure-sentinel-workspaces/). diff --git a/Instructions/Labs/LAB_02_deploy_microsoft_sentinel_content_hub_solution.md b/Instructions/Labs/LAB_02_deploy_microsoft_sentinel_content_hub_solution.md new file mode 100644 index 0000000..b9599d6 --- /dev/null +++ b/Instructions/Labs/LAB_02_deploy_microsoft_sentinel_content_hub_solution.md @@ -0,0 +1,109 @@ +--- +lab: + title: "Exercice\_02\_: Ingérer des données d’événement Sécurité Windows" + module: Guided Project - Deploy Microsoft Sentinel Content Hub solutions and data connectors +--- + +>**Remarque** : ce labo s’appuie sur le Lab 01. Pour suivre ce labo, vous devez disposer d’un [abonnement Azure](https://azure.microsoft.com/free/?azure-portal=true). pour lequel vous disposez d’un accès administratif. + +## Recommandations générales + +- Lors de la création d’objets, utilisez les paramètres par défaut, à moins que des exigences ne requièrent des configurations différentes. +- Ne créez, ne supprimez ou ne modifiez des objets que pour répondre aux exigences énoncées. Des modifications inutiles de l’environnement peuvent avoir un effet négatif sur votre score final. +- S’il existe plusieurs approches pour atteindre un objectif, choisissez toujours celle qui nécessite le moins d’efforts administratifs. + +Nous devons configurer Microsoft Sentinel pour ingérer des données en utilisant les solutions Microsoft Sentinel. + +## Diagramme de l'architecture + +![Diagramme des connecteurs de données Content Hub](../Media/apl-5001-lab-diagrams-lab02.png) + +## Tâches d'apprentissage + +Vous devez déployer des solutions Content Hub dans l’espace de travail Microsoft Sentinel et répondre aux exigences suivantes : + +- Installez les solutions suivantes : + - Windows Security Events. + - Connecteur Azure Activity. + - Microsoft Defender pour le cloud. +- Configurez le connecteur de données pour Azure Activity afin d’appliquer toutes les ressources nouvelles et existantes dans l’abonnement. +- Configurez le connecteur de données de Microsoft Defender pour le cloud pour qu’il se connecte à l’abonnement Azure et assurez-vous que seule la synchronisation bidirectionnelle est activée. +- Activez une règle d’analyse basée sur le modèle Nombre suspect d’activités de création ou de déploiement de ressources. La règle doit être exécutée toutes les heures et ne doit consulter que les données de la dernière heure. +- Assurez-vous que le classeur Activité Azure est disponible dans Mes classeurs. + +## Instructions de l’exercice + +>**Remarque** : dans les tâches suivantes, pour accéder à `Microsoft Sentinel`, sélectionnez le fichier `workspace` que vous avez créé au Lab 01. + +### Tâche 1 : Déployer une solution Microsoft Sentinel Content Hub + +Déployez une solution Content Hub et configurez les connecteurs de données. En savoir plus sur les [solutions Content Hub](https://learn.microsoft.com/azure/sentinel/sentinel-solutions). + +1. Dans `Microsoft Sentinel`, accédez à la section de menu `Content management` et sélectionnez **Content Hub**. +1. Recherchez et sélectionnez **Windows Security Events**. +1. Sélectionnez le lien pour **afficher les détails** +1. Sélectionnez le plan Windows Security Events, puis **Créer**. +1. Sélectionnez le groupe de ressources `RG2` qui inclut l’espace de travail Microsoft Sentinel, puis sélectionnez le `Workspace`. +1. Sélectionnez **Suivant** dans l’onglet Connecteurs de données (la solution déploiera 2 connecteurs de données). +1. Sélectionnez **Suivant** dans l’onglet Classeurs (la solution installe les classeurs). +1. Sélectionnez **Suivant** dans l’onglet Analyses (la solution installe les règles d’analyse). +1. Sélectionnez **Suivant** dans l’onglet Requêtes de chasse (la solution installe des requêtes de chasse). +1. Sélectionner **Vérifier + créer** +1. Sélectionnez **Créer** + +1. Répétez ces étapes pour les solutions `Azure Activity` et les solutions `Microsoft Defender for Cloud`. + +### Tâche 2 : Configurer le connecteur de données pour Azure Activity + +Configurez le connecteur de données pour Azure Activity afin d’appliquer toutes les ressources nouvelles et existantes dans l’abonnement. En savoir plus sur les [connecteur de données Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/connect-data-sources). + + 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Content management` et sélectionnez **Content Hub**. + 1. Dans `Content hub`, filtrez `Status` sur les solutions installées. + 1. Sélectionnez la solution `Azure Activity`, puis sélectionnez **Gérer**. + 1. Sélectionnez le connecteur de données `Azure Activity`, puis la page **Ouvrir le connecteur**. + 1. Dans la zone `Configuration` sous l’onglet `Instructions`, descendez jusqu’à `2. Connect your subscriptions...` et sélectionnez **Lancer l’assistant d’affectation Azure Policy>**. + 1. Sous l’onglet **Informations de base**, sélectionnez le bouton de sélection (…) sous **Étendue**, sélectionnez votre « Abonnement » dans la liste déroulante et cliquez sur **Sélectionner**. + 1. Sélectionnez l’onglet **Paramètres**, choisissez votre espace de travail dans la liste déroulante **Espace de travail Log Analytics principal**. + 1. Sélectionnez l’onglet **Correction** et cochez la case **Créer une tâche de correction**. + 1. Sélectionnez le bouton **Vérifier + créer** pour passer en revue la configuration. + 1. Sélectionnez **Créer** pour terminer. + +### Tâche 3 : Configurer le connecteur de données Defender pour le cloud + +Configurez le connecteur de données pour Microsoft Defender pour le cloud et vérifiez que seule la gestion des incidents est configurée. + + 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Content management` et sélectionnez **Content Hub**. + 1. Dans `Content hub`, filtrez `Status` sur les solutions installées. + 1. Sélectionnez la solution `Microsoft Defender for Cloud`, puis sélectionnez **Gérer**. + 1. Sélectionnez le connecteur de données `Subscription-based Microsoft Defender for Cloud (Legacy)`, puis la page **Ouvrir le connecteur**. + 1. Dans la zone `Configuration` sous l’onglet `Instructions`, descendez jusqu’à votre abonnement et placez le curseur dans la colonne `Status` sur **Connecté**. + 1. Vérifiez que `Bi-directional sync` est **activé**. + +### Tâche 4 : Créer une règle d’analyse + +Créez une règle d’analyse basée sur le modèle Nombre suspect d’activités de création ou de déploiement de ressources. La règle doit être exécutée toutes les heures et ne doit consulter que les données de la dernière heure. En savoir plus sur l’[utilisation des modèles de règles d’analyse Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/detect-threats-built-in). + + 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Configuration` et sélectionnez **Analyses**. + 1. Dans l’onglet `Rule templates`, recherchez le **Nombre suspect d’activités de création ou de déploiement de ressources**. + 1. Sélectionnez le **Nombre suspect d’activités de création ou de déploiement de ressources**, puis sélectionnez **Créer une règle**. + 1. Conservez les valeurs par défaut de l’onglet `General` et sélectionnez **Suivant : Définir la logique de la règle >**. + 1. Conservez la valeur par défaut pour `Rule query` et configurez `Query scheduling` à l’aide de la table : + + |Paramètre |Valeur| + |---|---| + |Exécuter la requête toutes les|1 heure| + |Rechercher les données des dernières|1 heure| + + 1. Sélectionnez **Suivant : Paramètres d’incident >**. + 1. Conservez les valeurs par défaut et sélectionnez **Suivant : Réponse automatisée >**. + 1. Conservez les valeurs par défaut et sélectionnez **Suivant : Vérifier et créer >**. + 1. Sélectionnez **Enregistrer**. + +### Tâche 5 : S’assurer que le classeur Activité Azure est disponible dans Mes classeurs + + 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Content management` et sélectionnez **Content Hub**. + 1. Dans `Content hub`, filtrez `Status` sur les solutions installées. + 1. Sélectionnez la solution `Azure Activity`, puis sélectionnez **Gérer**. + 1. Sélectionnez le classeur `Azure Activity` `checkbox`, puis sélectionnez **Configuration**. + 1. Sélectionnez le classeur `Azure Activity`, puis sélectionnez **Enregistrer**. + 1. Choisissez le `Azure Region` pour votre espace de travail `Microsoft Sentinel`. diff --git a/Instructions/Labs/LAB_03_validate-microsoft_sentinel_deploymnent.md b/Instructions/Labs/LAB_03_validate-microsoft_sentinel_deploymnent.md new file mode 100644 index 0000000..1830b90 --- /dev/null +++ b/Instructions/Labs/LAB_03_validate-microsoft_sentinel_deploymnent.md @@ -0,0 +1,82 @@ +--- +lab: + title: "Exercice\_03\_: Valider le déploiement Sentinel" + module: 'Guided Project - Configure Microsoft Sentinel Data Collection rules, NRT Analytic rule and Automation' +--- + +>**Remarque** : ce labo s’appuie sur les Lab 01 et Lab 02. Pour suivre ce labo, vous devez disposer d’un [abonnement Azure](https://azure.microsoft.com/free/?azure-portal=true). pour lequel vous disposez d’un accès administratif. + +## Recommandations générales + +- Lors de la création d’objets, utilisez les paramètres par défaut, à moins que des exigences ne requièrent des configurations différentes. +- Ne créez, ne supprimez ou ne modifiez des objets que pour répondre aux exigences énoncées. Des modifications inutiles de l’environnement peuvent avoir un effet négatif sur votre score final. +- S’il existe plusieurs approches pour atteindre un objectif, choisissez toujours celle qui nécessite le moins d’efforts administratifs. + +Nous devons configurer Microsoft Sentinel pour qu’il reçoive les événements de sécurité des machines virtuelles qui exécutent Windows. + +## Diagramme de l'architecture + +![Diagramme de Windows Security Events via AMA à l’aide de DCR](../Media/apl-5001-lab-diagrams-lab03.png) + +## Tâches d'apprentissage + +Vous devez valider le déploiement de Microsoft Sentinel pour qu’il réponde aux exigences suivantes : + +- Configurez Windows Security Events via le connecteur AMA pour collecter tous les événements de sécurité provenant uniquement d’une machine virtuelle nommée VM1. +- Créez une règle de requête en temps quasi réel (NRT) pour générer un incident basé sur la requête suivante. + +```KQL +SecurityEvent +| where EventID == 4732 +| where TargetAccount == "Builtin\\Administrators" +``` + +- Créez une règle d’automatisation qui attribue à Operator1 le rôle de propriétaire pour les incidents générés par la règle NRT. + +## Instructions de l’exercice + +>**Remarque** : dans les tâches suivantes, pour accéder à `Microsoft Sentinel`, sélectionnez le fichier `workspace` que vous avez créé au Lab 01. + +### Tâche 1 : Configurer les règles de collecte de données (DCR) dans Microsoft Sentinel + +Configurez un Windows Security Events via le connecteur AMA. En savoir plus sur [Windows Security Events via le connecteur AMA](https://learn.microsoft.com/azure/sentinel/data-connectors/windows-security-events-via-ama). + + 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Configuration` et sélectionnez **Connecteurs de données**. + 1. Recherchez et sélectionnez **Windows Security Events via AMA**. + 1. Sélectionnez **Ouvrir la page du connecteur**. + 1. Dans la zone `Configuration`, sélectionnez **+Créer une règle de collecte de données**. + 1. Sous l’onglet `Basics` saisissez un `Rule Name`. + 1. Sous l’onglet `Resources`, développez votre abonnement et le groupe de ressources `RG1` dans la colonne `Scope`. + 1. Sélectionnez `VM1`, puis **Suivant : Collecter >**. + 1. Sous l’onglet `Collect`, conservez la valeur par défaut `All Security Events`. + 1. Sélectionnez **Suivant : Vérifier + créer >**, puis **Créer**. + +### Tâche 2 : Créer une détection de requête en quasi-temps réel (NRT) + +Détectez les menaces avec des règles d’analyse en quasi-temps réel (NRT) dans Microsoft Sentinel. En savoir plus sur les [règles d’analyse NRT dans Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/near-real-time-rules). + + 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Configuration` et sélectionnez **Analyses**. + 1. Sélectionnez **+ Créer** et **Règle de requête NRT (préversion)** + 1. Saisissez un `Name` pour la règle, puis sélectionnez **Réaffectation de privilèges** à partir de `Tactics and techniques`. + 1. Sélectionnez **Suivant : Définir la logique de la règle >**. + 1. Entrez la requête KQL dans le `Rule query`formulaire. + + ```KQL + SecurityEvent + | where EventID == 4732 + | where TargetAccount == "Builtin\\Administrators" + ``` + + 1. Sélectionnez **Suivant : Paramètres d’incident >**, puis Sélectionnez **Suivant : Réponse automatisée >** + 1. Sélectionnez **Suivant : Vérifier + créer** + 1. Une fois la validation terminée, sélectionnez **Enregistrer**. + +### Tâche 3 : Configurer l’automatisation dans Microsoft Sentinel + +Configurez l’automatisation dans Microsoft Sentinel. En savoir plus sur la [création et l’utilisation des règles d’automatisation de Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/create-manage-use-automation-rules). + + 1. Dans `Microsoft Sentinel`, accédez à la section de menu `Configuration` et sélectionnez **Automation**. + 1. Sélectionnez **+ Créer** et Règle d’automatisation. + 1. Entrez un `Automation rule name`, puis sélectionnez **Attribuer un propriétaire** à partir de `Actions`. + 1. Attribuez **Operator1** en tant que propriétaire. + 1. Sélectionnez **Appliquer** diff --git a/Instructions/Labs/LAB_04_perform_analytic_rule_validation.md b/Instructions/Labs/LAB_04_perform_analytic_rule_validation.md new file mode 100644 index 0000000..524fed3 --- /dev/null +++ b/Instructions/Labs/LAB_04_perform_analytic_rule_validation.md @@ -0,0 +1,53 @@ +--- +lab: + title: "Exercice\_04\_: Simuler une attaque" + module: Guided Project - Perform a simulated attack to validate Analytic and Automation rules +--- + +>**Remarque** : ce labo s’appuie sur les Labs 01, 02 et 03. Pour suivre ce labo, vous devez disposer d’un [abonnement Azure](https://azure.microsoft.com/free/?azure-portal=true). pour lequel vous disposez d’un accès administratif. + +## Recommandations générales + +- Lors de la création d’objets, utilisez les paramètres par défaut, à moins que des exigences ne requièrent des configurations différentes. +- Ne créez, ne supprimez ou ne modifiez des objets que pour répondre aux exigences énoncées. Des modifications inutiles de l’environnement peuvent avoir un effet négatif sur votre score final. +- S’il existe plusieurs approches pour atteindre un objectif, choisissez toujours celle qui nécessite le moins d’efforts administratifs. + +Nous devons vérifier que notre déploiement Microsoft Sentinel reçoit des événements de sécurité et crée des incidents à partir de machines virtuelles qui exécutent Windows. + +## Diagramme de l'architecture + +![Diagramme de la simulation d’attaque ](../Media/apl-5001-lab-diagrams-lab04.png) + +## Tâches d'apprentissage + +Vous devez effectuer une attaque simulée pour vérifier que les règles d’analytique et d’automatisation créent un incident et l’attribuent au `Operator1`. Vous allez effectuer une attaque `Privilege Escalation` simple sur `vm1`. + +## Instructions de l’exercice + +### Tâche 1 : Effectuer une simulation d’attaque de réaffection des privilèges + +Utilisez des simulations d’attaques pour tester les règles d’analyse dans Microsoft Sentinel. En savoir plus sur la [simulation d’attaque de réaffectation des privilèges](https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1078.003/T1078.003.md). + +1. Localisez et sélectionnez la machine virtuelle **vm1** dans Azure, puis faites défiler les éléments de menu jusqu’à **Opérations** et sélectionnez **Exécuter la commande**. +1. Dans le volet **Exécuter la commande**, sélectionnez **RunPowerShellScript**. +1. Copiez les commandes ci-dessous pour simuler la création d’un compte Admin dans le formulaire `PowerShell Script` et sélectionnez **Exécuter**. + + ```CommandPrompt + net user theusernametoadd /add + net user theusernametoadd ThePassword1! + net localgroup administrators theusernametoadd /add + ``` + +>**Remarque** : assurez-vous qu’il n’y a qu’une seule commande par ligne et que vous pouvez réexécuter les commandes en changeant de nom d’utilisateur. + +1. Dans la fenêtre `Output`, vous devriez voir `The command completed successfully` trois fois. + +### Tâche 2 : Vérifier qu’un incident est créé à partir de la simulation d’attaque + +Vérifiez qu’un incident est créé et qu’il correspond aux critères de la règle d’analyse et de l’automatisation. En savoir plus sur la [gestion des incidents dans Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/incident-investigation). + +1. Dans `Microsoft Sentinel`, accédez à la section de menu `Threat management` et sélectionnez **Incidents** +1. Vous devriez voir un incident qui correspond à `Severity` et `Title` que vous avez configurés dans la règle `NRT` que vous avez créée. +1. Sélectionnez le `Incident` et le volet `detail` s’ouvre. +1. L’affectation `Owner` doit être **Operator1**, créée à partir de `Automation rule`, et `Tactics and techniques` doit être **Réaffection de privilèges** (à partir de la règle `NRT`). +1. Sélectionnez **Afficher tous les détail**s pour voir toutes les capacités `Incident management` et `Incident actions`. diff --git a/Instructions/Media/apl-5001-lab-diagrams-01.png b/Instructions/Media/apl-5001-lab-diagrams-01.png new file mode 100644 index 0000000..7189623 Binary files /dev/null and b/Instructions/Media/apl-5001-lab-diagrams-01.png differ diff --git a/Instructions/Media/apl-5001-lab-diagrams-lab02.png b/Instructions/Media/apl-5001-lab-diagrams-lab02.png new file mode 100644 index 0000000..ecbbf31 Binary files /dev/null and b/Instructions/Media/apl-5001-lab-diagrams-lab02.png differ diff --git a/Instructions/Media/apl-5001-lab-diagrams-lab03.png b/Instructions/Media/apl-5001-lab-diagrams-lab03.png new file mode 100644 index 0000000..eeed404 Binary files /dev/null and b/Instructions/Media/apl-5001-lab-diagrams-lab03.png differ diff --git a/Instructions/Media/apl-5001-lab-diagrams-lab04.png b/Instructions/Media/apl-5001-lab-diagrams-lab04.png new file mode 100644 index 0000000..dfdfe34 Binary files /dev/null and b/Instructions/Media/apl-5001-lab-diagrams-lab04.png differ diff --git a/LICENSE b/LICENSE new file mode 100644 index 0000000..9ac2500 --- /dev/null +++ b/LICENSE @@ -0,0 +1,21 @@ +MIT License + +Copyright (c) 2019 Sidney Andrews + +Permission is hereby granted, free of charge, to any person obtaining a copy +of this software and associated documentation files (the "Software"), to deal +in the Software without restriction, including without limitation the rights +to use, copy, modify, merge, publish, distribute, sublicense, and/or sell +copies of the Software, and to permit persons to whom the Software is +furnished to do so, subject to the following conditions: + +The above copyright notice and this permission notice shall be included in all +copies or substantial portions of the Software. + +THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR +IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, +FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE +AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER +LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, +OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE +SOFTWARE. \ No newline at end of file diff --git a/README.md b/README.md index 6313505..ef853cb 100644 --- a/README.md +++ b/README.md @@ -1,2 +1,29 @@ -# APL-5001-configure-siem-security-operations-using-microsoft-sentinel.fr-fr -French repo +# APL-5001 : Configurer les opérations de sécurité SIEM à l’aide de Microsoft Sentinel + +- **[Lien vers les labos (format HTML)]( https://microsoftlearning.github.io/APL-5001-configure-siem-security-operations-using-microsoft-sentinel/)** + +- **Êtes-vous MCT ?** - Consultez notre [Guide de l’utilisateur GitHub pour MCT](https://microsoftlearning.github.io/MCT-User-Guide/) + +## Que faisons-nous ? + +- Pour assurer la prise en charge de ce cours, nous effectuerons des mises à jour fréquentes du contenu de la formation pour maintenir à jour les services Microsoft qui y sont utilisés. Nous publions les instructions et les fichiers de labo sur GitHub pour permettre des contributions ouvertes entre les auteurs du cours et les MCT (Microsoft Certified Trainer) afin de maintenir le contenu à jour avec les modifications apportées aux produits. + +- Nous espérons que cela apportera comme jamais auparavant une touche collaborative aux labos. Si vous constatez qu’un service Microsoft tel qu’Azure ou Microsoft 365 a évolué à l’occasion d’une livraison en direct, n’hésitez pas à y apporter une amélioration directement dans la source du labo. Aidez vos collègues MCT. + +## Comment puis-je utiliser ce référentiel ? + +- Les supports de formation de l’instructeur sont votre principale source d’apprentissage du contenu du cours. + +- Ces fichiers sur GitHub sont conçus pour être utilisés dans les labos de cours, à l’aide de l’environnement de labo hébergé. + +- Pour chaque prestation il est recommandé que les formateurs vérifient dans GitHub les modifications qui ont pu être apportées afin de prendre en charge les derniers services Microsoft Cloud et afin de garantir que ce sont bien les tout derniers fichiers qui seront utilisés dans la cadre de la formation. + +## Qu’en est-il des modifications apportées au manuel du participant ? + +- Si un manuel du participant est fourni, nous le passerons tous les trimestres et le mettrons à jour par le biais des canaux de diffusion MOC (Microsoft Official Curriculum) classiques, si nécessaire. + +## Comment puis-je contribuer ? + +- Tous les MCT (Microsoft Certified Trainer) peuvent soumettre une demande de tirage (pull request) au code ou au contenu dans le référentiel GitHub. Microsoft et l’auteur du cours vont ensuite trier et inclure les changements de contenu et de code de laboratoire si nécessaire. + +- Vous pouvez soumettre des bogues, des changements, des améliorations et des idées. Vous avez découvert une nouvelle fonctionnalité Azure ou Microsoft 365 avant nous ? Envoyez une nouvelle démonstration ! diff --git a/_build.yml b/_build.yml new file mode 100644 index 0000000..2d118cd --- /dev/null +++ b/_build.yml @@ -0,0 +1,36 @@ +name: '$(Date:yyyyMMdd)$(Rev:.rr)' +jobs: + - job: build_markdown_content + displayName: 'Build Markdown Content' + workspace: + clean: all + pool: + vmImage: 'Ubuntu 16.04' + container: + image: 'microsoftlearning/markdown-build:latest' + steps: + - task: Bash@3 + displayName: 'Build Content' + inputs: + targetType: inline + script: | + cp /{attribution.md,template.docx,package.json,package.js} . + npm install + node package.js --version $(Build.BuildNumber) + - task: GitHubRelease@0 + displayName: 'Create GitHub Release' + inputs: + gitHubConnection: 'github-microsoftlearning-organization' + repositoryName: '$(Build.Repository.Name)' + tagSource: manual + tag: 'v$(Build.BuildNumber)' + title: 'Version $(Build.BuildNumber)' + releaseNotesSource: input + releaseNotes: '# Version $(Build.BuildNumber) Release' + assets: '$(Build.SourcesDirectory)/out/*.zip' + assetUploadMode: replace + - task: PublishBuildArtifacts@1 + displayName: 'Publish Output Files' + inputs: + pathtoPublish: '$(Build.SourcesDirectory)/out/' + artifactName: 'Lab Files' diff --git a/_config.yml b/_config.yml new file mode 100644 index 0000000..91272fc --- /dev/null +++ b/_config.yml @@ -0,0 +1,17 @@ +remote_theme: MicrosoftLearning/Jekyll-Theme +exclude: + - readme.md + - .github/ +header_pages: + - index.html +author: Microsoft Learning +twitter_username: mslearning +github_username: MicrosoftLearning +plugins: + - jekyll-sitemap + - jekyll-mentions + - jemoji +markdown: kramdown +kramdown: + syntax_highlighter_opts: + disable : true diff --git a/index.md b/index.md new file mode 100644 index 0000000..23682ce --- /dev/null +++ b/index.md @@ -0,0 +1,25 @@ +--- +title: Instructions hébergées en ligne +permalink: index.html +layout: home +--- + +# Répertoire de contenu + +Les liens hypertexte vers chaque exercice et démonstration de labo sont répertoriés ci-dessous. + +## Laboratoires + +{% assign labs = site.pages | where_exp:"page", "page.url contains '/Instructions/Labs'" %} +| Module | Laboratoire | +| --- | --- | +{% for activity in labs %}| {{ activity.lab.module }} | [{{ activity.lab.title }}{% if activity.lab.type %} - {{ activity.lab.type }}{% endif %}]({{ site.github.url }}{{ activity.url }}) | +{% endfor %} + +## Démonstrations + +{% assign demos = site.pages | where_exp:"page", "page.url contains ’/Instructions/Demos’" %} +| Module | Démonstration | +| --- | --- | +{% for activity in demos %}| {{ activity.demo.module }} | [{{ activity.demo.title }}]({{ site.github.url }}{{ activity.url }}) | +{% endfor %}