-
Notifications
You must be signed in to change notification settings - Fork 0
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Copy Files From Source Repo (2024-04-15 19:40)
- Loading branch information
1 parent
41fe394
commit ec63011
Showing
17 changed files
with
532 additions
and
2 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,21 @@ | ||
| # Contributing to Microsoft Learning Repositories | ||
|
|
||
| MCT contributions are a key part of keeping the lab and demo content current as the Azure platform changes. We want to make it as easy as possible for you to contribute changes to the lab files. Here are a few guidelines to keep in mind as you contribute changes. | ||
|
|
||
| ## GitHub Use & Purpose | ||
|
|
||
| Microsoft Learning is using GitHub to publish the lab steps and lab scripts for courses that cover cloud services like Azure. Using GitHub allows the course’s authors and MCTs to keep the lab content current with Azure platform changes. Using GitHub allows the MCTs to provide feedback and suggestions for lab changes, and then the course authors can update lab steps and scripts quickly and relatively easily. | ||
|
|
||
| > When you prepare to teach these courses, you should ensure that you are using the latest lab steps and scripts by downloading the appropriate files from GitHub. GitHub should not be used to discuss technical content in the course, or how to prep. It should only be used to address changes in the labs. | ||
| It is strongly recommended that MCTs and Partners access these materials and in turn, provide them separately to students. Pointing students directly to GitHub to access Lab steps as part of an ongoing class will require them to access yet another UI as part of the course, contributing to a confusing experience for the student. An explanation to the student regarding why they are receiving separate Lab instructions can highlight the nature of an always-changing cloud-based interface and platform. Microsoft Learning support for accessing files on GitHub and support for navigation of the GitHub site is limited to MCTs teaching this course only. | ||
|
|
||
| > As an alternative to pointing students directly to the GitHub repository, you can point students to the GitHub Pages website to view the lab instructions. The URL for the GitHub Pages website can be found at the top of the repository. | ||
| To address general comments about the course and demos, or how to prepare for a course delivery, please use the existing MCT forums. | ||
|
|
||
| ## Additional Resources | ||
|
|
||
| A user guide has been provided for MCTs who are new to GitHub. It provides steps for connecting to GitHub, downloading and printing course materials, updating the scripts that students use in labs, and explaining how you can help ensure that this course’s content remains current. | ||
|
|
||
| <https://microsoftlearning.github.io/MCT-User-Guide/> |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,12 @@ | ||
| # Module: 00 | ||
| ## Lab/Demo: 00 | ||
| ### Task: 00 | ||
| #### Step: 00 | ||
|
|
||
| Description of issue | ||
|
|
||
| Repro steps: | ||
|
|
||
| 1. | ||
| 1. | ||
| 1. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,10 @@ | ||
| # Module: 00 | ||
| ## Lab/Demo: 00 | ||
|
|
||
| Fixes # . | ||
|
|
||
| Changes proposed in this pull request: | ||
|
|
||
| - | ||
| - | ||
| - |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,38 @@ | ||
| --- | ||
| demo: | ||
| title: 'Demonstração 00: materiais do aluno e ambiente de laboratório (ajuste)' | ||
| module: Guided Project - Configure SIEM Security Operations with Microsoft Sentinel | ||
| --- | ||
| ## Demonstração – Materiais do aluno e ambiente de laboratório (opcional) | ||
|
|
||
| Use esta demonstração para mostrar aos alunos como acessar o ambiente do laboratório e os materiais dos alunos. Você pode fazer isso no início da aula ou antes da próxima demonstração. | ||
|
|
||
| ## Mostre aos alunos o ambiente do laboratório (ajuste para seu host de laboratório) | ||
|
|
||
| - Discuta como os alunos acessam o ambiente de laboratório. | ||
|
|
||
| - Explicar como entrar no host da máquina virtual. | ||
|
|
||
| - Explique como acessar o [portal do Azure](https://portal.azure.com). É preferível abrir o portal do Azure no ambiente de laboratório em vez de uma janela separada. Peça para levantar a mão os alunos que já usaram o portal. | ||
|
|
||
| - Explique quais recursos, se houver, já foram configurados para os laboratórios. | ||
|
|
||
| - Revise as instruções de como usar o laboratório. | ||
|
|
||
| - Adicione outros tópicos específicos ao seu ambiente de hospedagem de laboratório. | ||
|
|
||
| ## Mostre aos alunos os materiais do curso. | ||
|
|
||
| - Acesse a [página do Microsoft Learn](https://learn.microsoft.com). | ||
|
|
||
| - Explique que o Microsoft Learn é uma ótima fonte para toda a documentação, treinamento, certificações e avaliações do Azure. | ||
|
|
||
| - Selecione **Roteiros de aprendizagem** e procure o roteiro **Configurar operações de segurança do SIEM usando o Microsoft Sentinel** . | ||
|
|
||
| - Explique que o conteúdo do roteiro de aprendizagem é específico deste curso. Há mais conteúdo armazenado que eles podem revisar. | ||
|
|
||
| - Explique que o conteúdo é material de referência e não há um vinculação de 1:1 com as apresentações em sala de aula. | ||
|
|
||
| - Discuta que cada um desses módulos pode ter atividades práticas adicionais. Você identificará essas atividades à medida que o curso progride. | ||
|
|
||
| - Peça aos alunos que localizem e marquem o roteiro de aprendizagem. |
79 changes: 79 additions & 0 deletions
79
Instructions/Labs/LAB_01_create_microsoft_sentinel_workspace.md
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,79 @@ | ||
| --- | ||
| lab: | ||
| title: 'Exercício 01: implantar o Microsoft Sentinel' | ||
| module: Guided Project - Create and configure a Microsoft Sentinel workspace | ||
| --- | ||
|
|
||
| >**Observação**: para concluir este laboratório, você precisará de uma [assinatura do Azure.](https://azure.microsoft.com/en-us/free/?azure-portal=true) no qual você tem acesso administrativo. | ||
| ## Diretrizes gerais | ||
|
|
||
| - Ao criar objetos, use as configurações padrão, a não ser que haja requisitos que exijam configurações diferentes. | ||
| - Somente crie, exclua ou modifique objetos para atingir os requisitos declarados. Alterações desnecessárias no ambiente podem afetar negativamente sua pontuação final. | ||
| - Se houver várias abordagens para alcançar uma meta, escolha sempre a abordagem que requer o mínimo de esforço administrativo. | ||
|
|
||
| Atualmente, estamos avaliando a postura de segurança em nosso ambiente corporativo. Precisamos de sua ajuda para configurar uma solução de SIEM (gerenciamento de eventos e informações de segurança) para ajudar a identificar ataques cibernéticos em andamento e futuros. | ||
|
|
||
| ## Diagrama de arquitetura | ||
|
|
||
|  | ||
|
|
||
| ## Tarefas de habilidades | ||
|
|
||
| Você precisa implantar um workspace do Microsoft Sentinel. A solução deve atender aos seguintes requisitos: | ||
|
|
||
| - Verifique se o conjunto de dados do Sentinel está armazenado na região do Azure do oeste dos EUA. | ||
| - Garanta que todos os logs de análise do Sentinel sejam mantidos por 180 dias. | ||
| - Atribua funções ao Operador1 para garantir que ele possa gerenciar incidentes e executar guias estratégicos do Sentinel. A solução precisa usar o princípio de privilégios mínimos. | ||
|
|
||
| ## Instruções para o exercício | ||
|
|
||
| ### Tarefa 1 – Crie um workspace do Log Analytics | ||
|
|
||
| Crie um workspace do Log Analytics, incluindo a opção de região. Saiba mais sobre a [integração do Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/quickstart-onboard). | ||
|
|
||
| 1. No portal do Azure, pesquise e selecione `Microsoft Sentinel`. | ||
| 1. Selecione **+ Criar**. | ||
| 1. Selecione **Criar um workspace**. | ||
| 1. Selecione `RG2` como o grupo de recursos | ||
| 1. Insira um nome válido para o workspace do Log Analytics | ||
| 1. Selecione `West US` como a região do workspace. | ||
| 1. Selecione **Examinar + criar** para validar o novo workspace. | ||
| 1. Selecione **Criar** para implantar o workspace. | ||
|
|
||
| ### Tarefa 2 – Implantar o Microsoft Sentinel em um workspace | ||
|
|
||
| Implantar o Microsoft Sentinel no workspace. | ||
|
|
||
| 1. Quando a implantação do `workspace` for concluída, selecione **Atualizar** para exibir o novo `workspace`. | ||
| 1. Selecione o `workspace` ao qual você deseja adicionar o Sentinel (criado na Tarefa 1). | ||
| 1. Selecione **Adicionar**. | ||
|
|
||
| ### Tarefa 3 – Atribuir uma função do Microsoft Sentinel a um usuário | ||
|
|
||
| Atribua uma função do Microsoft Sentinel a um uso. Saiba mais sobre [Funções e permissões para trabalhar no Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/roles) | ||
|
|
||
| 1. Vá para o grupo de recursos RG2 | ||
| 1. Selecione **IAM (Controle de acesso)** . | ||
| 1. Selecione **Adicionar** e `Add role assignment`. | ||
| 1. Na barra de pesquisa, procure e selecione a função `Microsoft Sentinel Contributor`. | ||
| 1. Selecione **Avançar**. | ||
| 1. Selecione a opção `User, group, or service principal`. | ||
| 1. Selecione **+ Selecionar membros**. | ||
| 1. Procure o `Operator1` atribuído em suas instruções `([email protected])` de laboratório. | ||
| 1. Selecione o `user icon`. | ||
| 1. Escolha **Selecionar**. | ||
| 1. Selecione “Revisar + atribuir“. | ||
| 1. Selecione “Revisar + atribuir“. | ||
|
|
||
| ### Tarefa 4 – Configurar a retenção de dados | ||
|
|
||
| Configurar a retenção de dados [Saiba mais sobre a retenção de dados](https://learn.microsoft.com/azure/azure-monitor/logs/data-retention-archive). | ||
|
|
||
| 1. Vá para o `Log Analytics workspace` criado na Tarefa 1 etapa 5. | ||
| 1. Selecione **Uso e custos estimados**. | ||
| 1. Selecione **Retenção de dados**. | ||
| 1. Altere o período de retenção de dados para **180 dias**. | ||
| 1. Selecione **OK**. | ||
|
|
||
| >**Observação**: para prática adicional, conclua o módulo [Criar e gerenciar workspaces do Microsoft Sentinel](https://learn.microsoft.com/training/modules/create-manage-azure-sentinel-workspaces/). |
109 changes: 109 additions & 0 deletions
109
Instructions/Labs/LAB_02_deploy_microsoft_sentinel_content_hub_solution.md
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,109 @@ | ||
| --- | ||
| lab: | ||
| title: 'Exercício 02: ingerir dados de eventos de segurança do Windows' | ||
| module: Guided Project - Deploy Microsoft Sentinel Content Hub solutions and data connectors | ||
| --- | ||
|
|
||
| >**Observação**: este laboratório baseia-se no Laboratório 01. Para concluir este laboratório, você precisará de uma [assinatura do Azure](https://azure.microsoft.com/free/?azure-portal=true). no qual você tem acesso administrativo. | ||
| ## Diretrizes gerais | ||
|
|
||
| - Ao criar objetos, use as configurações padrão, a não ser que haja requisitos que exijam configurações diferentes. | ||
| - Somente crie, exclua ou modifique objetos para atingir os requisitos declarados. Alterações desnecessárias no ambiente podem afetar negativamente sua pontuação final. | ||
| - Se houver várias abordagens para alcançar uma meta, escolha sempre a abordagem que requer o mínimo de esforço administrativo. | ||
|
|
||
| Precisamos configurar o Microsoft Sentinel para ingerir dados usando as soluções do Microsoft Sentinel. | ||
|
|
||
| ## Diagrama de arquitetura | ||
|
|
||
|  | ||
|
|
||
| ## Tarefas de habilidades | ||
|
|
||
| Você precisa implantar soluções do Hub de Conteúdo no workspace do Microsoft Sentinel e atender aos seguintes requisitos: | ||
|
|
||
| - Instale o seguinte soluções: | ||
| - Eventos de segurança do Windows. | ||
| - Conector de atividades do Azure. | ||
| - Microsoft Defender para Nuvem. | ||
| - Configure o conector de dados para as Atividades do Azure para aplicar todos os recursos, novos e já existentes, à assinatura. | ||
| - Configure o conector de dados do Microsoft Defender para Nuvem para se conectar à assinatura do Azure e garantir que apenas a sincronização bidirecional esteja habilitada. | ||
| - Habilite uma regra de análise com base no modelo do número suspeito de atividades de criação ou implantação de recursos. A regra deve ser executada a cada hora e procurar apenas nos dados dessa última hora. | ||
| - Verifique se a pasta de trabalho das Atividades do Azure está disponível em Minhas pastas de trabalho. | ||
|
|
||
| ## Instruções para o exercício | ||
|
|
||
| >**Observação**: nas tarefas a seguir, para acessar `Microsoft Sentinel`, selecione o `workspace` que você criou no Laboratório 01. | ||
| ### Tarefa 1 – Implantar uma solução de hub de conteúdo no Microsoft Sentinel | ||
|
|
||
| Implante uma solução de hub de conteúdo e configure os conectores de dados. Saiba mais sobre as [soluções de hub de conteúdo](https://learn.microsoft.com/azure/sentinel/sentinel-solutions). | ||
|
|
||
| 1. No `Microsoft Sentinel`, vá para a seção do menu `Content management` e selecione **Hub de Conteúdo** | ||
| 1. Procure e selecione **Eventos de Segurança do Windows** | ||
| 1. Selecione o link para **Exibir detalhes** | ||
| 1. Selecione plano de eventos de segurança do Windows e selecione **Criar** | ||
| 1. Selecione o grupo de recursos `RG2` que inclui o workspace do Microsoft Sentinel e selecione o `Workspace`. | ||
| 1. Selecione **Avançar** na guia conectores de dados (a solução implantará 2 conectores de dados) | ||
| 1. Selecione **Avançar** na guia pastas de trabalho (a solução instala pastas de trabalho) | ||
| 1. Selecione **Avançar** na guia Análise (as soluções instalam regras de análise) | ||
| 1. Selecione **Avançar** na guia Consultas de busca (a solução instala consultas de buscas) | ||
| 1. Selecione **Examinar + criar** | ||
| 1. Escolha **Criar** | ||
|
|
||
| 1. Repita estas etapas para as `Azure Activity` e as soluções do `Microsoft Defender for Cloud`. | ||
|
|
||
| ### Tarefa 2 – Configurar o conector de dados para as Atividades do Azure | ||
|
|
||
| Configure o conector de dados para as Atividades do Azure para aplicar todos os recursos, novos e já existentes, à assinatura. Saiba mais sobre o [conector de dados do Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/connect-data-sources). | ||
|
|
||
| 1. No `Microsoft Sentinel`, vá para a seção do menu `Content management` e selecione **Hub de Conteúdo**. | ||
| 1. Em `Content hub`, filtre `Status` por soluções instaladas. | ||
| 1. Selecione a solução `Azure Activity` e selecione **Gerenciar**. | ||
| 1. Selecione um conector de dados `Azure Activity` e depois **Abrir página do conector**. | ||
| 1. Na área `Configuration` sob a guia `Instructions`, role até `2. Connect your subscriptions...`, e selecione **Iniciar o Assistente de Atribuição do Azure Policy**. | ||
| 1. Na guia **Básico**, selecione o botão de reticências (...) em **Escopo** e selecione sua assinatura na lista suspensa e clique em **Selecionar**. | ||
| 1. Selecione a guia **Parâmetros**, escolha seu workspace na lista suspensa **Workspace principal do Log Analytics**. | ||
| 1. Selecione a guia **Correção** e marque a caixa de seleção **Criar uma tarefa de correção**. | ||
| 1. Selecione o botão **Examinar + criar** para examinar a configuração. | ||
| 1. Selecione **Criar** para concluir. | ||
|
|
||
| ### Tarefa 3 – Configurar o conector de dados do Defender para Nuvem | ||
|
|
||
| Configure o conector de dados para o Microsoft Defender para Nuvem e não esqueça que apenas o gerenciamento de incidentes deve ser configurado. | ||
|
|
||
| 1. No `Microsoft Sentinel`, vá para a seção do menu `Content management` e selecione **Hub de Conteúdo**. | ||
| 1. Em `Content hub`, filtre `Status` por soluções instaladas. | ||
| 1. Selecione a solução `Microsoft Defender for Cloud` e selecione **Gerenciar**. | ||
| 1. Selecione um conector de dados do `Subscription-based Microsoft Defender for Cloud (Legacy)` e **Abrir página do conector** | ||
| 1. Na área `Configuration` abaixo da guia `Instructions`, role para baixo até sua assinatura e mova o controle deslizante na coluna `Status` para **Conectado**. | ||
| 1. Verifique se `Bi-directional sync` está **Habilitado**. | ||
|
|
||
| ### Tarefa 4 – Criar uma regra de análise | ||
|
|
||
| Crie uma regra analítica com base no modelo do número suspeito de atividades de criação ou implantação de recursos. A regra deve ser executada a cada hora e procurar apenas nos dados dessa última hora. Saiba mais sobre [usar modelos de regras de análise do Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/detect-threats-built-in). | ||
|
|
||
| 1. No `Microsoft Sentinel`, vá para a seção do menu `Configuration` e selecione **Análise**. | ||
| 1. Na guia `Rule templates`, procure **Número suspeito de atividades de criação ou implantação de recursos**. | ||
| 1. Selecione o **Número suspeito de atividades de criação ou implantação de recursos** e selecione **Criar regra**. | ||
| 1. Deixe os padrões na guia `General` e selecione **Avançar: Definir lógica de regra >**. | ||
| 1. Deixe o padrão `Rule query` e configure `Query scheduling` usando a tabela: | ||
|
|
||
| |Configuração |Valor| | ||
| |---|---| | ||
| |Executar consulta a cada|1 hora| | ||
| |Dados de pesquisa a partir do último|1 hora| | ||
|
|
||
| 1. Selecione **Avançar: configurações de incidente >**. | ||
| 1. Deixe os padrões e selecione **Próximo: Resposta automatizada >**. | ||
| 1. Deixe os padrões e selecione **Próximo: Examinar + criar**. | ||
| 1. Selecione **Salvar**. | ||
|
|
||
| ### Tarefa 5 – Verificar se a pasta de trabalho das Atividades do Azure está disponível em Minhas pastas de trabalho | ||
|
|
||
| 1. No `Microsoft Sentinel`, vá para a seção do menu `Content management` e selecione **Hub de Conteúdo**. | ||
| 1. Em `Content hub`, filtre `Status` por soluções instaladas. | ||
| 1. Selecione a solução `Azure Activity` e selecione **Gerenciar**. | ||
| 1. Marque a `checkbox` das pastas de trabalho das `Azure Activity` e, em seguida, **Configuração**. | ||
| 1. Selecione as pasta de trabalho das `Azure Activity` e selecione **Salvar**. | ||
| 1. Escolha a `Azure Region` para o seu workspace do `Microsoft Sentinel`. |
Oops, something went wrong.