diff --git a/.github/CONTRIBUTING.md b/.github/CONTRIBUTING.md new file mode 100644 index 0000000..2589d21 --- /dev/null +++ b/.github/CONTRIBUTING.md @@ -0,0 +1,21 @@ +# Contributing to Microsoft Learning Repositories + +MCT contributions are a key part of keeping the lab and demo content current as the Azure platform changes. We want to make it as easy as possible for you to contribute changes to the lab files. Here are a few guidelines to keep in mind as you contribute changes. + +## GitHub Use & Purpose + +Microsoft Learning is using GitHub to publish the lab steps and lab scripts for courses that cover cloud services like Azure. Using GitHub allows the course’s authors and MCTs to keep the lab content current with Azure platform changes. Using GitHub allows the MCTs to provide feedback and suggestions for lab changes, and then the course authors can update lab steps and scripts quickly and relatively easily. + +> When you prepare to teach these courses, you should ensure that you are using the latest lab steps and scripts by downloading the appropriate files from GitHub. GitHub should not be used to discuss technical content in the course, or how to prep. It should only be used to address changes in the labs. + +It is strongly recommended that MCTs and Partners access these materials and in turn, provide them separately to students. Pointing students directly to GitHub to access Lab steps as part of an ongoing class will require them to access yet another UI as part of the course, contributing to a confusing experience for the student. An explanation to the student regarding why they are receiving separate Lab instructions can highlight the nature of an always-changing cloud-based interface and platform. Microsoft Learning support for accessing files on GitHub and support for navigation of the GitHub site is limited to MCTs teaching this course only. + +> As an alternative to pointing students directly to the GitHub repository, you can point students to the GitHub Pages website to view the lab instructions. The URL for the GitHub Pages website can be found at the top of the repository. + +To address general comments about the course and demos, or how to prepare for a course delivery, please use the existing MCT forums. + +## Additional Resources + +A user guide has been provided for MCTs who are new to GitHub. It provides steps for connecting to GitHub, downloading and printing course materials, updating the scripts that students use in labs, and explaining how you can help ensure that this course’s content remains current. + + diff --git a/.github/ISSUE_TEMPLATE.md b/.github/ISSUE_TEMPLATE.md new file mode 100644 index 0000000..4dd6247 --- /dev/null +++ b/.github/ISSUE_TEMPLATE.md @@ -0,0 +1,12 @@ +# Module: 00 +## Lab/Demo: 00 +### Task: 00 +#### Step: 00 + +Description of issue + +Repro steps: + +1. +1. +1. \ No newline at end of file diff --git a/.github/PULL_REQUEST_TEMPLATE.md b/.github/PULL_REQUEST_TEMPLATE.md new file mode 100644 index 0000000..a593e56 --- /dev/null +++ b/.github/PULL_REQUEST_TEMPLATE.md @@ -0,0 +1,10 @@ +# Module: 00 +## Lab/Demo: 00 + +Fixes # . + +Changes proposed in this pull request: + +- +- +- \ No newline at end of file diff --git a/Instructions/Demos/DEMO_00_course_introduction.md b/Instructions/Demos/DEMO_00_course_introduction.md new file mode 100644 index 0000000..8928db7 --- /dev/null +++ b/Instructions/Demos/DEMO_00_course_introduction.md @@ -0,0 +1,38 @@ +--- +demo: + title: 'Demonstração 00: materiais do aluno e ambiente de laboratório (ajuste)' + module: Guided Project - Configure SIEM Security Operations with Microsoft Sentinel +--- +## Demonstração – Materiais do aluno e ambiente de laboratório (opcional) + +Use esta demonstração para mostrar aos alunos como acessar o ambiente do laboratório e os materiais dos alunos. Você pode fazer isso no início da aula ou antes da próxima demonstração. + +## Mostre aos alunos o ambiente do laboratório (ajuste para seu host de laboratório) + +- Discuta como os alunos acessam o ambiente de laboratório. + +- Explicar como entrar no host da máquina virtual. + +- Explique como acessar o [portal do Azure](https://portal.azure.com). É preferível abrir o portal do Azure no ambiente de laboratório em vez de uma janela separada. Peça para levantar a mão os alunos que já usaram o portal. + +- Explique quais recursos, se houver, já foram configurados para os laboratórios. + +- Revise as instruções de como usar o laboratório. + +- Adicione outros tópicos específicos ao seu ambiente de hospedagem de laboratório. + +## Mostre aos alunos os materiais do curso. + +- Acesse a [página do Microsoft Learn](https://learn.microsoft.com). + +- Explique que o Microsoft Learn é uma ótima fonte para toda a documentação, treinamento, certificações e avaliações do Azure. + +- Selecione **Roteiros de aprendizagem** e procure o roteiro **Configurar operações de segurança do SIEM usando o Microsoft Sentinel** . + +- Explique que o conteúdo do roteiro de aprendizagem é específico deste curso. Há mais conteúdo armazenado que eles podem revisar. + +- Explique que o conteúdo é material de referência e não há um vinculação de 1:1 com as apresentações em sala de aula. + +- Discuta que cada um desses módulos pode ter atividades práticas adicionais. Você identificará essas atividades à medida que o curso progride. + +- Peça aos alunos que localizem e marquem o roteiro de aprendizagem. diff --git a/Instructions/Labs/LAB_01_create_microsoft_sentinel_workspace.md b/Instructions/Labs/LAB_01_create_microsoft_sentinel_workspace.md new file mode 100644 index 0000000..f3aab45 --- /dev/null +++ b/Instructions/Labs/LAB_01_create_microsoft_sentinel_workspace.md @@ -0,0 +1,79 @@ +--- +lab: + title: 'Exercício 01: implantar o Microsoft Sentinel' + module: Guided Project - Create and configure a Microsoft Sentinel workspace +--- + +>**Observação**: para concluir este laboratório, você precisará de uma [assinatura do Azure.](https://azure.microsoft.com/en-us/free/?azure-portal=true) no qual você tem acesso administrativo. + +## Diretrizes gerais + +- Ao criar objetos, use as configurações padrão, a não ser que haja requisitos que exijam configurações diferentes. +- Somente crie, exclua ou modifique objetos para atingir os requisitos declarados. Alterações desnecessárias no ambiente podem afetar negativamente sua pontuação final. +- Se houver várias abordagens para alcançar uma meta, escolha sempre a abordagem que requer o mínimo de esforço administrativo. + +Atualmente, estamos avaliando a postura de segurança em nosso ambiente corporativo. Precisamos de sua ajuda para configurar uma solução de SIEM (gerenciamento de eventos e informações de segurança) para ajudar a identificar ataques cibernéticos em andamento e futuros. + +## Diagrama de arquitetura + +![Diagrama com o workspace do Log Analytics.](../Media/apl-5001-lab-diagrams-01.png) + +## Tarefas de habilidades + +Você precisa implantar um workspace do Microsoft Sentinel. A solução deve atender aos seguintes requisitos: + +- Verifique se o conjunto de dados do Sentinel está armazenado na região do Azure do oeste dos EUA. +- Garanta que todos os logs de análise do Sentinel sejam mantidos por 180 dias. +- Atribua funções ao Operador1 para garantir que ele possa gerenciar incidentes e executar guias estratégicos do Sentinel. A solução precisa usar o princípio de privilégios mínimos. + +## Instruções para o exercício + +### Tarefa 1 – Crie um workspace do Log Analytics + +Crie um workspace do Log Analytics, incluindo a opção de região. Saiba mais sobre a [integração do Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/quickstart-onboard). + + 1. No portal do Azure, pesquise e selecione `Microsoft Sentinel`. + 1. Selecione **+ Criar**. + 1. Selecione **Criar um workspace**. + 1. Selecione `RG2` como o grupo de recursos + 1. Insira um nome válido para o workspace do Log Analytics + 1. Selecione `West US` como a região do workspace. + 1. Selecione **Examinar + criar** para validar o novo workspace. + 1. Selecione **Criar** para implantar o workspace. + +### Tarefa 2 – Implantar o Microsoft Sentinel em um workspace + +Implantar o Microsoft Sentinel no workspace. + + 1. Quando a implantação do `workspace` for concluída, selecione **Atualizar** para exibir o novo `workspace`. + 1. Selecione o `workspace` ao qual você deseja adicionar o Sentinel (criado na Tarefa 1). + 1. Selecione **Adicionar**. + +### Tarefa 3 – Atribuir uma função do Microsoft Sentinel a um usuário + +Atribua uma função do Microsoft Sentinel a um uso. Saiba mais sobre [Funções e permissões para trabalhar no Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/roles) + + 1. Vá para o grupo de recursos RG2 + 1. Selecione **IAM (Controle de acesso)** . + 1. Selecione **Adicionar** e `Add role assignment`. + 1. Na barra de pesquisa, procure e selecione a função `Microsoft Sentinel Contributor`. + 1. Selecione **Avançar**. + 1. Selecione a opção `User, group, or service principal`. + 1. Selecione **+ Selecionar membros**. + 1. Procure o `Operator1` atribuído em suas instruções `(operator1-XXXXXXXXX@LODSPRODMCA.onmicrosoft.com)` de laboratório. + 1. Selecione o `user icon`. + 1. Escolha **Selecionar**. + 1. Selecione “Revisar + atribuir“. + 1. Selecione “Revisar + atribuir“. + +### Tarefa 4 – Configurar a retenção de dados + +Configurar a retenção de dados [Saiba mais sobre a retenção de dados](https://learn.microsoft.com/azure/azure-monitor/logs/data-retention-archive). + + 1. Vá para o `Log Analytics workspace` criado na Tarefa 1 etapa 5. + 1. Selecione **Uso e custos estimados**. + 1. Selecione **Retenção de dados**. + 1. Altere o período de retenção de dados para **180 dias**. + 1. Selecione **OK**. + +>**Observação**: para prática adicional, conclua o módulo [Criar e gerenciar workspaces do Microsoft Sentinel](https://learn.microsoft.com/training/modules/create-manage-azure-sentinel-workspaces/). diff --git a/Instructions/Labs/LAB_02_deploy_microsoft_sentinel_content_hub_solution.md b/Instructions/Labs/LAB_02_deploy_microsoft_sentinel_content_hub_solution.md new file mode 100644 index 0000000..dfbca71 --- /dev/null +++ b/Instructions/Labs/LAB_02_deploy_microsoft_sentinel_content_hub_solution.md @@ -0,0 +1,109 @@ +--- +lab: + title: 'Exercício 02: ingerir dados de eventos de segurança do Windows' + module: Guided Project - Deploy Microsoft Sentinel Content Hub solutions and data connectors +--- + +>**Observação**: este laboratório baseia-se no Laboratório 01. Para concluir este laboratório, você precisará de uma [assinatura do Azure](https://azure.microsoft.com/free/?azure-portal=true). no qual você tem acesso administrativo. + +## Diretrizes gerais + +- Ao criar objetos, use as configurações padrão, a não ser que haja requisitos que exijam configurações diferentes. +- Somente crie, exclua ou modifique objetos para atingir os requisitos declarados. Alterações desnecessárias no ambiente podem afetar negativamente sua pontuação final. +- Se houver várias abordagens para alcançar uma meta, escolha sempre a abordagem que requer o mínimo de esforço administrativo. + +Precisamos configurar o Microsoft Sentinel para ingerir dados usando as soluções do Microsoft Sentinel. + +## Diagrama de arquitetura + +![Diagrama de conectores de dados do Hub de conteúdo](../Media/apl-5001-lab-diagrams-lab02.png) + +## Tarefas de habilidades + +Você precisa implantar soluções do Hub de Conteúdo no workspace do Microsoft Sentinel e atender aos seguintes requisitos: + +- Instale o seguinte soluções: + - Eventos de segurança do Windows. + - Conector de atividades do Azure. + - Microsoft Defender para Nuvem. +- Configure o conector de dados para as Atividades do Azure para aplicar todos os recursos, novos e já existentes, à assinatura. +- Configure o conector de dados do Microsoft Defender para Nuvem para se conectar à assinatura do Azure e garantir que apenas a sincronização bidirecional esteja habilitada. +- Habilite uma regra de análise com base no modelo do número suspeito de atividades de criação ou implantação de recursos. A regra deve ser executada a cada hora e procurar apenas nos dados dessa última hora. +- Verifique se a pasta de trabalho das Atividades do Azure está disponível em Minhas pastas de trabalho. + +## Instruções para o exercício + +>**Observação**: nas tarefas a seguir, para acessar `Microsoft Sentinel`, selecione o `workspace` que você criou no Laboratório 01. + +### Tarefa 1 – Implantar uma solução de hub de conteúdo no Microsoft Sentinel + +Implante uma solução de hub de conteúdo e configure os conectores de dados. Saiba mais sobre as [soluções de hub de conteúdo](https://learn.microsoft.com/azure/sentinel/sentinel-solutions). + +1. No `Microsoft Sentinel`, vá para a seção do menu `Content management` e selecione **Hub de Conteúdo** +1. Procure e selecione **Eventos de Segurança do Windows** +1. Selecione o link para **Exibir detalhes** +1. Selecione plano de eventos de segurança do Windows e selecione **Criar** +1. Selecione o grupo de recursos `RG2` que inclui o workspace do Microsoft Sentinel e selecione o `Workspace`. +1. Selecione **Avançar** na guia conectores de dados (a solução implantará 2 conectores de dados) +1. Selecione **Avançar** na guia pastas de trabalho (a solução instala pastas de trabalho) +1. Selecione **Avançar** na guia Análise (as soluções instalam regras de análise) +1. Selecione **Avançar** na guia Consultas de busca (a solução instala consultas de buscas) +1. Selecione **Examinar + criar** +1. Escolha **Criar** + +1. Repita estas etapas para as `Azure Activity` e as soluções do `Microsoft Defender for Cloud`. + +### Tarefa 2 – Configurar o conector de dados para as Atividades do Azure + +Configure o conector de dados para as Atividades do Azure para aplicar todos os recursos, novos e já existentes, à assinatura. Saiba mais sobre o [conector de dados do Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/connect-data-sources). + + 1. No `Microsoft Sentinel`, vá para a seção do menu `Content management` e selecione **Hub de Conteúdo**. + 1. Em `Content hub`, filtre `Status` por soluções instaladas. + 1. Selecione a solução `Azure Activity` e selecione **Gerenciar**. + 1. Selecione um conector de dados `Azure Activity` e depois **Abrir página do conector**. + 1. Na área `Configuration` sob a guia `Instructions`, role até `2. Connect your subscriptions...`, e selecione **Iniciar o Assistente de Atribuição do Azure Policy**. + 1. Na guia **Básico**, selecione o botão de reticências (...) em **Escopo** e selecione sua assinatura na lista suspensa e clique em **Selecionar**. + 1. Selecione a guia **Parâmetros**, escolha seu workspace na lista suspensa **Workspace principal do Log Analytics**. + 1. Selecione a guia **Correção** e marque a caixa de seleção **Criar uma tarefa de correção**. + 1. Selecione o botão **Examinar + criar** para examinar a configuração. + 1. Selecione **Criar** para concluir. + +### Tarefa 3 – Configurar o conector de dados do Defender para Nuvem + +Configure o conector de dados para o Microsoft Defender para Nuvem e não esqueça que apenas o gerenciamento de incidentes deve ser configurado. + + 1. No `Microsoft Sentinel`, vá para a seção do menu `Content management` e selecione **Hub de Conteúdo**. + 1. Em `Content hub`, filtre `Status` por soluções instaladas. + 1. Selecione a solução `Microsoft Defender for Cloud` e selecione **Gerenciar**. + 1. Selecione um conector de dados do `Subscription-based Microsoft Defender for Cloud (Legacy)` e **Abrir página do conector** + 1. Na área `Configuration` abaixo da guia `Instructions`, role para baixo até sua assinatura e mova o controle deslizante na coluna `Status` para **Conectado**. + 1. Verifique se `Bi-directional sync` está **Habilitado**. + +### Tarefa 4 – Criar uma regra de análise + +Crie uma regra analítica com base no modelo do número suspeito de atividades de criação ou implantação de recursos. A regra deve ser executada a cada hora e procurar apenas nos dados dessa última hora. Saiba mais sobre [usar modelos de regras de análise do Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/detect-threats-built-in). + + 1. No `Microsoft Sentinel`, vá para a seção do menu `Configuration` e selecione **Análise**. + 1. Na guia `Rule templates`, procure **Número suspeito de atividades de criação ou implantação de recursos**. + 1. Selecione o **Número suspeito de atividades de criação ou implantação de recursos** e selecione **Criar regra**. + 1. Deixe os padrões na guia `General` e selecione **Avançar: Definir lógica de regra >**. + 1. Deixe o padrão `Rule query` e configure `Query scheduling` usando a tabela: + + |Configuração |Valor| + |---|---| + |Executar consulta a cada|1 hora| + |Dados de pesquisa a partir do último|1 hora| + + 1. Selecione **Avançar: configurações de incidente >**. + 1. Deixe os padrões e selecione **Próximo: Resposta automatizada >**. + 1. Deixe os padrões e selecione **Próximo: Examinar + criar**. + 1. Selecione **Salvar**. + +### Tarefa 5 – Verificar se a pasta de trabalho das Atividades do Azure está disponível em Minhas pastas de trabalho + + 1. No `Microsoft Sentinel`, vá para a seção do menu `Content management` e selecione **Hub de Conteúdo**. + 1. Em `Content hub`, filtre `Status` por soluções instaladas. + 1. Selecione a solução `Azure Activity` e selecione **Gerenciar**. + 1. Marque a `checkbox` das pastas de trabalho das `Azure Activity` e, em seguida, **Configuração**. + 1. Selecione as pasta de trabalho das `Azure Activity` e selecione **Salvar**. + 1. Escolha a `Azure Region` para o seu workspace do `Microsoft Sentinel`. diff --git a/Instructions/Labs/LAB_03_validate-microsoft_sentinel_deploymnent.md b/Instructions/Labs/LAB_03_validate-microsoft_sentinel_deploymnent.md new file mode 100644 index 0000000..915b0ac --- /dev/null +++ b/Instructions/Labs/LAB_03_validate-microsoft_sentinel_deploymnent.md @@ -0,0 +1,82 @@ +--- +lab: + title: 'Exercício 03: validar a implantação do Sentinel' + module: 'Guided Project - Configure Microsoft Sentinel Data Collection rules, NRT Analytic rule and Automation' +--- + +>**Observação**: este laboratório baseia-se nos laboratórios 01 e 02. Para concluir este laboratório, você precisará de uma [assinatura do Azure](https://azure.microsoft.com/free/?azure-portal=true). no qual você tem acesso administrativo. + +## Diretrizes gerais + +- Ao criar objetos, use as configurações padrão, a não ser que haja requisitos que exijam configurações diferentes. +- Somente crie, exclua ou modifique objetos para atingir os requisitos declarados. Alterações desnecessárias no ambiente podem afetar negativamente sua pontuação final. +- Se houver várias abordagens para alcançar uma meta, escolha sempre a abordagem que requer o mínimo de esforço administrativo. + +Precisamos configurar o Microsoft Sentinel para receber eventos de segurança de máquinas virtuais que executam o Windows. + +## Diagrama de arquitetura + +![Diagrama de eventos de segurança do Windows via AMA usando DCR](../Media/apl-5001-lab-diagrams-lab03.png) + +## Tarefas de habilidades + +Você precisa validar a implantação do Microsoft Sentinel para atender aos seguintes requisitos: + +- Configure os eventos de segurança do Windows por meio do conector AMA para coletar todos os eventos de segurança somente de uma máquina virtual chamada VM1. +- Crie uma regra de consulta NRT (quase em tempo real) para gerar um incidente com base na consulta a seguir. + +```KQL +SecurityEvent +| where EventID == 4732 +| where TargetAccount == "Builtin\\Administrators" +``` + +- Crie uma regra de automação que atribua ao Operador1 a função Proprietário para incidentes gerados pela regra NRT. + +## Instruções para o exercício + +>**Observação**: nas tarefas a seguir, para acessar `Microsoft Sentinel`, selecione o `workspace` que você criou no Laboratório 01. + +### Tarefa 1 – Configurar as DCRs (regras de coleta de dados) no Microsoft Sentinel + +Configurar eventos de segurança do Windows via conector AMA. Aprenda mais sobre [eventos de segurança do Windows via conector AMA](https://learn.microsoft.com/azure/sentinel/data-connectors/windows-security-events-via-ama). + + 1. No `Microsoft Sentinel`, vá para a seção do menu `Configuration` e selecione **Conectores de dados** + 1. Procure e selecione **eventos de segurança do Windows via AMA** + 1. Clique em **Abrir página do conector** + 1. Na área de `Configuration`, selecione **+Criar regra de coleta de dados** + 1. Na guia `Basics` insira um `Rule Name` + 1. Na guia, `Resources` expanda sua assinatura e o grupo de recursos `RG1` na coluna `Scope` + 1. Selecione `VM1` e selecione **Avançar: Coletar >** + 1. Na guia `Collect` deixe `All Security Events` com o padrão + 1. Selecione **Avançar: Revisar + criar >** e escolha **Criar** + +### Tarefa 2 – Criar uma detecção de consulta NRT (quase em tempo real) + +Detectar ameaças com regras de análise NRT (quase em tempo real) no Microsoft Sentinel. Saiba mais sobre [regras de análise NRT (quase em tempo real) no Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/near-real-time-rules). + + 1. No `Microsoft Sentinel`, vá para a seção do menu `Configuration` e selecione **Análise** + 1. Selecione **+ Criar** e **regra de consulta NRT (Versão prévia)** + 1. Insira um `Name` para a regra e selecione **Elevação de Privilégios** em `Tactics and techniques`. + 1. Selecione **Avançar: Definir lógica da regra >** + 1. Insira a consulta KQL no formulário `Rule query` + + ```KQL + SecurityEvent + | where EventID == 4732 + | where TargetAccount == "Builtin\\Administrators" + ``` + + 1. Selecione **Avançar: Configurações de incidente >** e selecione **Avançar: Resposta automatizada >** + 1. Selecione **Avançar: Examinar + Criar** + 1. Após a conclusão da validação, escolha **Salvar** + +### Tarefa 3 – Configurar a automação no Microsoft Sentinel + +Configurar a automação no Microsoft Sentinel. Saiba mais sobre [Criar e usar regras de automação do Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/create-manage-use-automation-rules). + + 1. No `Microsoft Sentinel`, vá para a seção do menu `Configuration` e selecione **Automação** + 1. Selecione **+ Criar** e Regra de automação + 1. Insira um `Automation rule name` e selecione **Atribuir proprietário** em `Actions` + 1. Atribua **Operator1** como proprietário. + 1. Selecione **Aplicar**. diff --git a/Instructions/Labs/LAB_04_perform_analytic_rule_validation.md b/Instructions/Labs/LAB_04_perform_analytic_rule_validation.md new file mode 100644 index 0000000..71a4be1 --- /dev/null +++ b/Instructions/Labs/LAB_04_perform_analytic_rule_validation.md @@ -0,0 +1,53 @@ +--- +lab: + title: 'Exercício 04: realizar ataque simulado' + module: Guided Project - Perform a simulated attack to validate Analytic and Automation rules +--- + +>**Observação**: este laboratório baseia-se nos laboratórios 01, 02 e 03. Para concluir este laboratório, você precisará de uma [assinatura do Azure](https://azure.microsoft.com/free/?azure-portal=true). no qual você tem acesso administrativo. + +## Diretrizes gerais + +- Ao criar objetos, use as configurações padrão, a não ser que haja requisitos que exijam configurações diferentes. +- Somente crie, exclua ou modifique objetos para atingir os requisitos declarados. Alterações desnecessárias no ambiente podem afetar negativamente sua pontuação final. +- Se houver várias abordagens para alcançar uma meta, escolha sempre a abordagem que requer o mínimo de esforço administrativo. + +É preciso validar que nossa implantação do Microsoft Sentinel está recebendo eventos de segurança e criando incidentes de máquinas virtuais que executam o Windows. + +## Diagrama de arquitetura + +![Diagrama de ataque simulado ](../Media/apl-5001-lab-diagrams-lab04.png) + +## Tarefas de habilidades + +Execute um ataque simulado para validar se as regras de análise e automação criam um incidente e o atribuem ao `Operator1`. Você executará um ataque de `Privilege Escalation` simples em `vm1`. + +## Instruções para o exercício + +### Tarefa 1 – Executar um ataque simulado de escalonamento de privilégio + +Use ataques simulados para testar regras analíticas no Microsoft Sentinel. Saiba mais sobre [simulação de ataque de escalonamento de privilégio](https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1078.003/T1078.003.md). + +1. Localize e selecione a máquina virtual **vm1** no Azure e role os itens de menu até **Operações** e selecione **Executar comando** +1. No painel **executar comando**, selecione **RunPowerShellScript** +1. Copie os comandos abaixo para simular a criação de uma conta de administrador no formulário `PowerShell Script` e selecione **Executar** + + ```CommandPrompt + net user theusernametoadd /add + net user theusernametoadd ThePassword1! + net localgroup administrators theusernametoadd /add + ``` + +>**Observação**: certifique-se de que há apenas um comando por linha e você pode executar novamente os comandos alterando o nome de usuário. + +1. Na janela `Output` você deve ver `The command completed successfully` três vezes + +### Tarefa 2 – Verificar se um incidente foi criado a partir do ataque simulado + +Verifique se foi criado um incidente que corresponda aos critérios da regra analítica e da automação. Saiba mais sobre o [gerenciamento de incidentes no Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/incident-investigation). + +1. No `Microsoft Sentinel`, vá para a seção do menu `Threat management` e selecione **Incidentes** +1. Você verá um incidente que corresponde ao `Severity` e `Title` que você configurou na regra de `NRT` criada +1. Selecione o `Incident` e o painel `detail` será aberto +1. A atribuição `Owner` deve ser **Operator1**, criada a partir do `Automation rule`, e o `Tactics and techniques` deve ser **elevação de privilégio** (da regra `NRT`) +1. Selecione **Exibir detalhes completos** para ver todos os recursos do `Incident management` e `Incident actions` diff --git a/Instructions/Media/apl-5001-lab-diagrams-01.png b/Instructions/Media/apl-5001-lab-diagrams-01.png new file mode 100644 index 0000000..7189623 Binary files /dev/null and b/Instructions/Media/apl-5001-lab-diagrams-01.png differ diff --git a/Instructions/Media/apl-5001-lab-diagrams-lab02.png b/Instructions/Media/apl-5001-lab-diagrams-lab02.png new file mode 100644 index 0000000..ecbbf31 Binary files /dev/null and b/Instructions/Media/apl-5001-lab-diagrams-lab02.png differ diff --git a/Instructions/Media/apl-5001-lab-diagrams-lab03.png b/Instructions/Media/apl-5001-lab-diagrams-lab03.png new file mode 100644 index 0000000..eeed404 Binary files /dev/null and b/Instructions/Media/apl-5001-lab-diagrams-lab03.png differ diff --git a/Instructions/Media/apl-5001-lab-diagrams-lab04.png b/Instructions/Media/apl-5001-lab-diagrams-lab04.png new file mode 100644 index 0000000..dfdfe34 Binary files /dev/null and b/Instructions/Media/apl-5001-lab-diagrams-lab04.png differ diff --git a/LICENSE b/LICENSE new file mode 100644 index 0000000..9ac2500 --- /dev/null +++ b/LICENSE @@ -0,0 +1,21 @@ +MIT License + +Copyright (c) 2019 Sidney Andrews + +Permission is hereby granted, free of charge, to any person obtaining a copy +of this software and associated documentation files (the "Software"), to deal +in the Software without restriction, including without limitation the rights +to use, copy, modify, merge, publish, distribute, sublicense, and/or sell +copies of the Software, and to permit persons to whom the Software is +furnished to do so, subject to the following conditions: + +The above copyright notice and this permission notice shall be included in all +copies or substantial portions of the Software. + +THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR +IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, +FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE +AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER +LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, +OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE +SOFTWARE. \ No newline at end of file diff --git a/README.md b/README.md index 35dfe06..0ddd9d0 100644 --- a/README.md +++ b/README.md @@ -1,2 +1,29 @@ -# APL-5001-configure-siem-security-operations-using-microsoft-sentinel.pt-br -Brazilian repo +# APL-5001: Configurar operações de segurança do SIEM usando o Microsoft Sentinel + +- **[Link para laboratórios (formato HTML)]( https://microsoftlearning.github.io/APL-5001-configure-siem-security-operations-using-microsoft-sentinel/)** + +- **Você é um MCT?** Dê uma olhada no nosso [Guia de usuário do GitHub para MCTs](https://microsoftlearning.github.io/MCT-User-Guide/) + +## O que estamos implementando? + +- Para dar suporte a esse curso, faremos atualizações frequentes em seu conteúdo para mantê-lo atualizado com os serviços da Microsoft utilizados nele. Publicamos as instruções e os arquivos de laboratório no GitHub para permitir contribuições abertas entre os autores do curso e os Microsoft Certified Trainers (MCTs) para manter o conteúdo atualizado com as alterações no produto. + +- Esperamos que isso traga um senso de colaboração para os laboratórios como nunca tivemos antes – quando um serviço Microsoft, como o Azure ou o Microsoft 365 for alterado e você descobrir na entrega ao vivo, vá em frente e faça um aprimoramento diretamente na fonte do laboratório. Ajude seus colegas MCTs. + +## Como devo usar este repositório? + +- Os materiais do instrutor são sua principal fonte para ensinar o conteúdo do curso. + +- Esses arquivos no GitHub são projetados para serem usados nos laboratórios do curso, que usam o ambiente de laboratório hospedado. + +- É recomendável que, para cada entrega, os instrutores verifiquem no GitHub todas as alterações que possam ter sido feitas para dar suporte aos serviços mais recentes da Microsoft Cloud e obtenham os arquivos mais recentes para a entrega. + +## E as alterações no manual do aluno? + +- Se um manual do aluno for fornecido, ele será revisado trimestralmente e atualizado por meio dos canais de lançamento normais do Microsoft Official Curriculum (MOC), conforme necessário. + +## Como posso contribuir? + +- Microsoft Certified Trainers (MCT) podem enviar uma solicitação de pull para o código ou conteúdo no repositório do GitHub. A Microsoft e o autor do curso farão a triagem e incluirão as alterações de conteúdo e código de laboratório, conforme necessário. + +- É possível enviar bugs, alterações, melhorias e ideias. Encontrou um novo recurso do Microsoft 365 ou do Azure antes de nós? Envie uma nova demonstração! diff --git a/_build.yml b/_build.yml new file mode 100644 index 0000000..2d118cd --- /dev/null +++ b/_build.yml @@ -0,0 +1,36 @@ +name: '$(Date:yyyyMMdd)$(Rev:.rr)' +jobs: + - job: build_markdown_content + displayName: 'Build Markdown Content' + workspace: + clean: all + pool: + vmImage: 'Ubuntu 16.04' + container: + image: 'microsoftlearning/markdown-build:latest' + steps: + - task: Bash@3 + displayName: 'Build Content' + inputs: + targetType: inline + script: | + cp /{attribution.md,template.docx,package.json,package.js} . + npm install + node package.js --version $(Build.BuildNumber) + - task: GitHubRelease@0 + displayName: 'Create GitHub Release' + inputs: + gitHubConnection: 'github-microsoftlearning-organization' + repositoryName: '$(Build.Repository.Name)' + tagSource: manual + tag: 'v$(Build.BuildNumber)' + title: 'Version $(Build.BuildNumber)' + releaseNotesSource: input + releaseNotes: '# Version $(Build.BuildNumber) Release' + assets: '$(Build.SourcesDirectory)/out/*.zip' + assetUploadMode: replace + - task: PublishBuildArtifacts@1 + displayName: 'Publish Output Files' + inputs: + pathtoPublish: '$(Build.SourcesDirectory)/out/' + artifactName: 'Lab Files' diff --git a/_config.yml b/_config.yml new file mode 100644 index 0000000..91272fc --- /dev/null +++ b/_config.yml @@ -0,0 +1,17 @@ +remote_theme: MicrosoftLearning/Jekyll-Theme +exclude: + - readme.md + - .github/ +header_pages: + - index.html +author: Microsoft Learning +twitter_username: mslearning +github_username: MicrosoftLearning +plugins: + - jekyll-sitemap + - jekyll-mentions + - jemoji +markdown: kramdown +kramdown: + syntax_highlighter_opts: + disable : true diff --git a/index.md b/index.md new file mode 100644 index 0000000..3cd7af6 --- /dev/null +++ b/index.md @@ -0,0 +1,25 @@ +--- +title: Instruções online hospedadas +permalink: index.html +layout: home +--- + +# Diretório de conteúdo + +Hiperlinks para cada um dos exercícios de laboratório e demonstrações estão listados abaixo. + +## Laboratórios + +{% assign labs = site.pages | where_exp:"page", "page.url contains '/Instructions/Labs'" %} +| Módulo | Laboratório | +| --- | --- | +{% for activity in labs %}| {{ activity.lab.module }} | [{{ activity.lab.title }}{% if activity.lab.type %} — {{ activity.lab.type }}{% endif %}]({{ site.github.url }}{{ activity.url }}) | +{% endfor %} + +## Demonstrações + +{% assign demos = site.pages | where_exp:"page", "page.url contains '/Instructions/Demos'" %} +| Módulo | Demonstração | +| --- | --- | +{% for activity in demos %}| {{ activity.demo.module }} | [{{ activity.demo.title }}]({{ site.github.url }}{{ activity.url }}) | +{% endfor %}