-
Notifications
You must be signed in to change notification settings - Fork 0
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Copy Files From Source Repo (2024-11-01 18:48)
- Loading branch information
Showing
2 changed files
with
292 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,81 @@ | ||
| --- | ||
| lab: | ||
| title: 'Exercício 01: implantar o Microsoft Sentinel' | ||
| module: Guided Project - Create and configure a Microsoft Sentinel workspace | ||
| --- | ||
|
|
||
|
|
||
| >**Observação**: para concluir este laboratório, você precisará de uma [assinatura do Azure.](https://azure.microsoft.com/free/?azure-portal=true) no qual você tem acesso administrativo. | ||
| ## Diretrizes gerais | ||
|
|
||
| - Ao criar objetos, use as configurações padrão, a não ser que haja requisitos que exijam configurações diferentes. | ||
| - Crie, exclua ou modifique objetos apenas para cumprir os requisitos estabelecidos. Alterações desnecessárias no ambiente podem prejudicar sua pontuação final. | ||
| - Se houver várias abordagens para alcançar uma meta, escolha sempre a abordagem que requer o mínimo de esforço administrativo. | ||
|
|
||
| Atualmente, estamos avaliando a postura de segurança em nosso ambiente corporativo. Precisamos de sua ajuda para configurar uma solução de SIEM (gerenciamento de eventos e informações de segurança) para ajudar a identificar ataques cibernéticos em andamento e futuros. | ||
|
|
||
| ## Diagrama de arquitetura | ||
|
|
||
|  | ||
|
|
||
| ## Tarefas de habilidades | ||
|
|
||
| Você precisa implantar um workspace do Microsoft Sentinel. A solução deve atender aos seguintes requisitos: | ||
|
|
||
| - Verifique se o conjunto de dados do Sentinel está armazenado na região do Azure do oeste dos EUA. | ||
| - Garanta que todos os logs de análise do Sentinel sejam mantidos por 180 dias. | ||
| - Atribua funções ao Operador1 para garantir que ele possa gerenciar incidentes e executar guias estratégicos do Sentinel. A solução precisa usar o princípio de privilégios mínimos. | ||
|
|
||
| ## Instruções para o exercício | ||
|
|
||
| ### Tarefa 1 – Crie um workspace do Log Analytics | ||
|
|
||
| Crie um workspace do Log Analytics, incluindo a opção de região. Saiba mais sobre a [integração do Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/quickstart-onboard). | ||
|
|
||
| 1. No portal do Azure, pesquise e selecione `Microsoft Sentinel`. | ||
| 1. Selecione **+ Criar**. | ||
| 1. Selecione **Criar um workspace**. | ||
| 1. Selecione `RG2` como o grupo de recursos | ||
| 1. Insira um nome válido para o workspace do Log Analytics | ||
| 1. Selecione `West US` como a região do workspace. | ||
| 1. Selecione **Examinar + criar** para validar o novo workspace. | ||
| 1. Selecione **Criar** para implantar o workspace. | ||
|
|
||
| ### Tarefa 2 – Implantar o Microsoft Sentinel em um workspace | ||
|
|
||
| Implantar o Microsoft Sentinel no workspace. | ||
|
|
||
| 1. Quando a implantação do `workspace` for concluída, selecione **Atualizar** para exibir o novo `workspace`. | ||
| 1. Selecione o `workspace` ao qual você deseja adicionar o Sentinel (criado na Tarefa 1). | ||
| 1. Selecione **Adicionar**. | ||
|
|
||
| ### Tarefa 3 – Atribuir uma função do Microsoft Sentinel a um usuário | ||
|
|
||
| Atribua uma função do Microsoft Sentinel a um uso. Saiba mais sobre [Funções e permissões para trabalhar no Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/roles) | ||
|
|
||
| 1. Vá para o grupo de recursos RG2 | ||
| 1. Selecione **IAM (Controle de acesso)** . | ||
| 1. Selecione **Adicionar** e `Add role assignment`. | ||
| 1. Na barra de pesquisa, procure e selecione a função `Microsoft Sentinel Contributor`. | ||
| 1. Selecione **Avançar**. | ||
| 1. Selecione a opção `User, group, or service principal`. | ||
| 1. Selecione **+ Selecionar membros**. | ||
| 1. Procure o `Operator1` atribuído em suas instruções `([email protected])` de laboratório. | ||
| 1. Selecione o `user icon`. | ||
| 1. Escolha **Selecionar**. | ||
| 1. Selecione “Revisar + atribuir“. | ||
| 1. Selecione “Revisar + atribuir“. | ||
|
|
||
| ### Tarefa 4 – Configurar a retenção de dados | ||
|
|
||
| Configurar a retenção de dados [Saiba mais sobre a retenção de dados](https://learn.microsoft.com/azure/azure-monitor/logs/data-retention-archive). | ||
|
|
||
| 1. Vá para o `Log Analytics workspace` criado na Tarefa 1 etapa 5. | ||
| 1. Selecione **Uso e custos estimados**. | ||
| 1. Selecione **Retenção de dados**. | ||
| 1. Altere o período de retenção de dados para **180 dias**. | ||
| 1. Selecione **OK**. | ||
|
|
||
| >**Observação**: para prática adicional, conclua o módulo [Criar e gerenciar workspaces do Microsoft Sentinel](https://learn.microsoft.com/training/modules/create-manage-azure-sentinel-workspaces/). | ||
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,211 @@ | ||
| --- | ||
| lab: | ||
| title: 'Exercício 1: habilitar o Microsoft Defender para Nuvem' | ||
| module: Mitigate threats using Microsoft Defender for Cloud | ||
| --- | ||
|
|
||
| # Laboratório 1 – Exercício 1 – Habilitar o Microsoft Defender para Nuvem | ||
|
|
||
| ## Cenário do laboratório | ||
|
|
||
| Você é um analista de operações de segurança e trabalha em uma empresa que está implementando a proteção de cargas de trabalho de nuvem com o Microsoft Defender para Nuvem. Neste laboratório, você habilitará o Microsoft Defender para Nuvem. | ||
|
|
||
| ### Tarefa 1: acessar o portal do Azure e configurar uma assinatura | ||
|
|
||
| Nesta tarefa, você configurará uma assinatura do Azure necessária para concluir este laboratório e laboratórios futuros. | ||
|
|
||
| 1. Faça logon na máquina virtual **WIN1** como Administrador com a senha: **Pa55w.rd**. | ||
|
|
||
| 1. Abra o navegador Microsoft Edge ou uma nova guia, caso ela já estiver aberta. | ||
|
|
||
| 1. No navegador Microsoft Edge, acesse o portal do Azure em <https://portal.azure.com>. | ||
|
|
||
| 1. Na caixa de diálogo **Entrar**, copie e cole a conta de email do locatário referente ao nome de usuário do administrador fornecido pelo provedor de hospedagem do laboratório e selecione **Avançar**. | ||
|
|
||
| 1. Na caixa de diálogo **Inserir senha**, copie e cole a senha de locatário do administrador fornecida pelo provedor de hospedagem do laboratório e selecione **Entrar**. | ||
|
|
||
| 1. Na barra de pesquisa do portal do Azure, digite *Assinatura* e selecione **Assinaturas**. | ||
|
|
||
| 1. Selecione a assinatura *"Azure Pass – Sponsorship"* mostrada (ou nome equivalente no idioma selecionado). | ||
|
|
||
| >**Observação:** se a assinatura não for exibida, pergunte ao seu instrutor sobre como criar a assinatura do Azure com suas credenciais de usuário administrador de locatário. **Observação:** o processo de criação da assinatura pode levar até 10 minutos. | ||
| 1. Clique em **Controle de acesso (IAM)** e, em seguida, em **Exibir meus acessos** na guia *Verificar acesso*. | ||
|
|
||
| 1. Verifique se a guia **Atribuições de função atuais** tem uma *Função de atribuições de função* para o **Proprietário do LOD**. Clique no **X** no canto superior direito da janela *atribuições - MOC Subscription-lodxxxxxxxx* para fechá-la. | ||
|
|
||
| ### Tarefa 2: criar um workspace do Log Analytics | ||
|
|
||
| Nesta tarefa, você criará um workspace do Log Analytics para uso com o Azure Monitoring, o Microsoft Sentinel e o Microsoft Defender para Nuvem. | ||
|
|
||
| 1. Na barra de pesquisa do portal do Azure, digite *workspace do Log Analytics* e selecione o mesmo nome de serviço. | ||
|
|
||
| 1. Na barra de comandos, selecione **+Criar**. | ||
|
|
||
| 1. Selecione **Criar novo** para o Grupo de recursos. | ||
|
|
||
| 1. Insira *RG-Defender* e selecione **OK**. | ||
|
|
||
| 1. Para o Nome, insira algo exclusivo como: *uniquenameDefender*. | ||
|
|
||
| 1. Selecione **Examinar + criar**. | ||
|
|
||
| 1. Quando a validação do workspace for aprovada, selecione **Criar**. Aguarde até que o novo workspace seja provisionado, o que pode levar alguns minutos. | ||
|
|
||
|
|
||
| ### Tarefa 3: habilitar o Microsoft Defender para Nuvem | ||
|
|
||
| Neste tarefa, você habilitará e configurará o Microsoft Defender para Nuvem. | ||
|
|
||
| 1. Na barra de pesquisa do portal do Azure, digite *Defender* e selecione **Microsoft Defender para Nuvem**. | ||
|
|
||
| 1. No menu esquerdo do Microsoft Defender para Nuvem, em Gerenciamento, selecione **Configurações do ambiente**. | ||
|
|
||
| 1. Selecione a assinatura **"Azure Pass – Sponsorship"** (ou o nome equivalente no seu idioma). | ||
|
|
||
| 1. Analise os recursos do Azure que agora estão protegidos com os planos do Defender para Nuvem. | ||
|
|
||
| >**Importante:** Se todos os planos do Defender estiverem *Desativados*, selecione **Habilitar todos os planos**. Selecione o *Plano 1 do Microsoft Defender para APIs de US$ 200/mês* e selecione **Salvar**. Selecione **Salvar** na parte superior da página e aguarde que as notificações *"Os planos do Defender para sua assinatura foram salvos com sucesso!"* sejam exibidas. | ||
| 1. Selecione a guia **Configurações e monitoramento** na área Configurações (ao lado de Salvar). | ||
|
|
||
| 1. Revise as extensões de monitoramento. Elas incluem configurações para Máquinas virtuais, Contêineres e Contas de armazenamento. Feche a página "Configurações e monitoramento" selecionando "X" no canto superior direito da página. | ||
|
|
||
| 1. Feche a página de configurações selecionando o "X" no canto superior direito da página para voltar às **Configurações do ambiente** e selecione o ">" à esquerda da sua assinatura. | ||
|
|
||
| 1. Selecione o workspace do Log Analytics *uniquenameDefender* que você criou anteriormente para analisar as opções e os preços disponíveis. | ||
|
|
||
| 1. Selecione **Habilitar todos os planos** (à direita de Selecionar plano Defender) e, em seguida, selecione **Salvar**. Aguarde até que a notificação *"Plano do Microsoft Defender para workspace uniquenameDefender foram salvos com êxito!"* seja exibida. | ||
|
|
||
| >**Observação:** se a página não for exibida, atualize o navegador Edge e tente novamente. | ||
| 1. Feche a página de planos do Defender selecionando o "X" no canto superior direito da página para voltar às **Configurações do ambiente** | ||
|
|
||
|
|
||
| ### Tarefa 4: instalar o Azure Arc em um servidor local | ||
|
|
||
| Nesta tarefa, você instalará o Azure Arc em um servidor local para facilitar a integração. | ||
|
|
||
| >**Importante:** As próximas etapas são feitas em uma máquina diferente daquela que você estava trabalhando anteriormente. Procure as referências de nome da máquina virtual. | ||
| 1. Faça logon na máquina virtual **WINServer** como Administrador com a senha: **Passw0rd!** Se necessário. | ||
|
|
||
| 1. Abra o navegador Microsoft Edge e acesse o portal do Azure em <https://portal.azure.com>. | ||
|
|
||
| 1. Na caixa de diálogo **Entrar**, copie e cole na conta **Email do locatário** fornecida pelo provedor de hospedagem de laboratório e selecione **Avançar**. | ||
|
|
||
| 1. Na caixa de diálogo **Inserir senha**, copie e cole a **Senha de locatário** fornecida pelo provedor de hospedagem do laboratório e selecione **Entrar**. | ||
|
|
||
| 1. Na barra de Pesquisa do portal do Azure, digite *Arc* e selecione **Azure Arc**. | ||
|
|
||
| 1. No painel de navegação em **recursos do Azure Arc** selecione **Computadores** | ||
|
|
||
| 1. Selecione **+ Adicionar/Criar** e, em seguida, selecione **Adicionar uma máquina**. | ||
|
|
||
| 1. Na seção "Adicionar servidor único", selecione **Gerar script**. | ||
|
|
||
| <!--- 1. Read through the *Prerequisites* tab and then select **Next** to continue.---> | ||
|
|
||
| 1. Na página *Adicionar um servidor com o Azure Arc*, selecione o grupo de recursos criado anteriormente em *Detalhes do projeto*. **Dica:** *RG-Defender* | ||
|
|
||
| >**Observação:** se você ainda não tiver criado um grupo de recursos, abra outra guia, crie o grupo de recursos e comece de novo. | ||
| 1. Em *Região*, selecione **(EUA) Leste dos EUA** na lista suspensa. | ||
|
|
||
| 1. Revise as opções de *Detalhes do servidor* e do *Método de conectividade*. Mantenha os valores padrão e selecione **Avançar** para acessar a guia Marcas. | ||
|
|
||
| 1. Revise as marcas padrão disponíveis. Selecione **Avançar** para acessar a guia Baixar e executar script. | ||
|
|
||
| 1. Role a página para baixo e clique no botão **Download**. **Dica:** se o seu navegador bloquear o download, execute uma ação no navegador para permiti-lo. No navegador Microsoft Edge, clique no botão de reticências (...) se necessário e depois em **Manter**. | ||
|
|
||
| 1. Clique com o botão direito do mouse no botão Iniciar do Windows e selecione **Windows PowerShell (Administrador)**. | ||
|
|
||
| 1. Insira *Administrador* em "Nome de usuário" e *Passw0rd!* em "Senha" se você receber um prompt do UAC. | ||
|
|
||
| 1. Insira: cd C:\Users\Administrator\Downloads | ||
|
|
||
| >**Importante:** Se não tiver esse diretório, provavelmente significa que você está na máquina errada. Volte para o início da Tarefa 4, mude para WINServer e comece de novo. | ||
| 1. Insira *Set-ExecutionPolicy -ExecutionPolicy Unrestricted* e pressione Enter. | ||
|
|
||
| 1. Insira **A** para Sim para todos e pressione Enter. | ||
|
|
||
| 1. Insira *.\OnboardingScript.ps1* e pressione Enter. | ||
|
|
||
| >**Importante:** se você receber o erro *"O termo .\OnboardingScript.ps1 não é reconhecido..."*, verifique se está executando as etapas da Tarefa 4 na máquina virtual WINServer. Outro problema pode ser que o nome do arquivo foi alterado devido a vários downloads, procure por *".\OnboardingScript (1).ps1"* ou outros números de arquivo no diretório em execução. | ||
| 1. Insira **R** para Executar uma vez e pressione Enter (isso pode levar alguns minutos). | ||
|
|
||
| 1. O processo de instalação abrirá uma nova guia do navegador Microsoft Edge para autenticar o agente do Azure Arc. Selecione sua conta de administrador, aguarde a mensagem "Autenticação concluída" e volte para a janela do Windows PowerShell. | ||
|
|
||
| 1. Quando a instalação for concluída, volte para a página do portal do Azure onde você baixou o script e selecione **Fechar**. Feche a página **Adicionar servidores com o Azure Arc** para voltar à página **Máquinas** do Azure Arc. | ||
|
|
||
| 1. Selecione **Atualizar** até que o nome do servidor WINServer apareça e o Status seja *Conectado*. | ||
|
|
||
| >**Observação:** este comando levará alguns minutos. | ||
|
|
||
| ### Tarefa 5: proteger um servidor local | ||
|
|
||
| Nesta tarefa, você instalará manualmente o *Agente do Azure Monitor* adicionando uma *DCR (Regra de coleta de dados)* na máquina virtual **WINServer**. | ||
|
|
||
| 1. Vá para **Microsoft Defender para Nuvem** e selecione a página **Introdução** no menu esquerdo. | ||
|
|
||
| 1. Selecione a guia **Introdução**. | ||
|
|
||
| 1. Role para baixo e selecione **Configurar** na seção *Adicionar servidores que não sejam do Azure*. | ||
|
|
||
| 1. Selecione **Upgrade** ao lado do workspace criado anteriormente. Isso pode levar alguns minutos. Aguarde até que você veja a notificação *"O plano do Microsoft Defender para o workspace uniquenameDefender foi salvo."*. | ||
|
|
||
| 1. Selecione **+ Adicionar servidores** ao lado do workspace criado anteriormente. | ||
|
|
||
| 1. Selecione **Regras de coleta de dados** | ||
|
|
||
| 1. Selecione **+ Criar**. | ||
|
|
||
| 1. Insira **WINServer** para Nome da regra. | ||
|
|
||
| 1. Selecione sua assinatura *Azure Pass – Sponsorship* e selecione um grupo de recursos. **Dica:** *RG-Defender* | ||
|
|
||
| 1. Você pode manter a região padrão *Leste dos EUA* ou selecionar outro local preferencial. | ||
|
|
||
| 1. Clique no botão de opção do **Windows** em *Tipo de plataforma* e selecione **Avançar: Recursos**. | ||
|
|
||
| 1. Na guia **Recursos**, selecione **+ Adicionar recursos**. | ||
|
|
||
| 1. Na página **Selecionar um escopo**, expanda a coluna *Escopo* para **RG-Defender** (ou o Grupo de recursos criado), selecione **WINServer** e, em seguida, clique em **Aplicar**. | ||
|
|
||
| >**Observação:** talvez seja necessário definir o filtro de coluna para *Tipo de recurso* como *Server-Azure Arc* se o **WINServer** não for exibido. | ||
| 1. Selecione **Avançar: Coletar e entregar**. | ||
|
|
||
| 1. Na guia **Coletar e entregar**, selecione **+ Adicionar fonte de dados** | ||
|
|
||
| 1. Na página **Adicionar uma fonte de dados**, selecione **Contadores de desempenho** em *Tipo de fonte de dados*. | ||
|
|
||
| >**Observação:** para a finalidade deste laboratório, você pode selecionar *Logs de eventos do Windows*. Essas seleções podem ser revisadas posteriormente. | ||
| 1. Selecione a guia **Destino** | ||
|
|
||
| 1. Selecione **Logs do Azure Monitor** no menu suspenso **Tipo de destino** | ||
|
|
||
| 1. Selecione sua assinatura do *Azure Pass – Sponsorship* na lista suspensa **Assinatura** | ||
|
|
||
| 1. Selecione o nome do workspace **Dica:** *RG-Defender* do menu suspenso da **conta ou do namespace** | ||
|
|
||
| 1. Selecione **Adicionar fonte de dados** e depois **Examinar + criar** | ||
|
|
||
| 1. Depois que a mensagem *Validação aprovada* for exibida, selecione **Criar**. | ||
|
|
||
| 1. A criação da **Regra de coleta de dados** inicia a instalação da extensão *AzureMonitorWindowsAgent* no **WINServer**. | ||
|
|
||
| 1. Quando a criação da *Regra de coleta de dados* for concluída, insira **WINServer** na barra de pesquisa *Pesquisar recursos, serviços e documentos* e selecione **WINServer** em *Recursos*. | ||
|
|
||
| 1. No **WINServer**, role para baixo pelo menu esquerdo até *Configurações* e *Extensões*. | ||
|
|
||
| 1. O **AzureMonitorWindowsAgent** deve ser listado com um *Status* de **Bem-sucedido**. | ||
|
|
||
| 1. Você pode passar para o próximo laboratório e retornar mais tarde para revisar a seção **Inventário** do **Microsoft Defender para Nuvem** para verificar se o **WINServer** está incluído. | ||
|
|
||
| ## Prossiga para o Exercício 2 | ||
|
|