-
Notifications
You must be signed in to change notification settings - Fork 0
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Copy Files From Source Repo (2024-11-01 18:48)
- Loading branch information
Showing
2 changed files
with
292 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,81 @@ | ||
| --- | ||
| lab: | ||
| title: 练习 01:部署 Microsoft Sentinel | ||
| module: Guided Project - Create and configure a Microsoft Sentinel workspace | ||
| --- | ||
|
|
||
|
|
||
| >**注意**:为了完成此实验室,你将需要一个 [Azure 订阅](https://azure.microsoft.com/free/?azure-portal=true)。 在其中具有管理访问权限。 | ||
| ## 一般指南 | ||
|
|
||
| - 创建对象时,请使用默认设置,除非有不同的配置要求。 | ||
| - 只有创建、删除或修改对象才能达到上述要求。 对环境进行不必要的更改可能会对您的最终成绩产生不利影响。 | ||
| - 如果有多种实现目标的方法,请务必选择管理工作量最小的方法。 | ||
|
|
||
| 我们目前正在评估公司环境的现有安全状况。 公司需要你帮助设置安全信息和事件管理 (SIEM) 解决方案,以帮助识别未来的和正在发生的网络攻击。 | ||
|
|
||
| ## 体系结构关系图 | ||
|
|
||
|  | ||
|
|
||
| ## 技能任务 | ||
|
|
||
| 你需要部署 Microsoft Sentinel 工作区。 该解决方案必须满足以下要求: | ||
|
|
||
| - 确保 Sentinel 数据存储在美国西部 Azure 区域。 | ||
| - 确保所有 Sentinel 分析日志都保留 180 天。 | ||
| - 将角色分配给 Operator1,以确保 Operator1 可以管理事件并运行 sentinel playbook。 解决方案必须符合最低权限原则。 | ||
|
|
||
| ## 练习说明 | ||
|
|
||
| ### 任务 1:创建 Log Analytics 工作区 | ||
|
|
||
| 创建日志分析工作区,包括区域选项。 详细了解 [Microsoft Sentinel 中的角色](https://learn.microsoft.com/azure/sentinel/quickstart-onboard)。 | ||
|
|
||
| 1. 在 Azure 门户中,搜索并选择`Microsoft Sentinel`。 | ||
| 1. 选择 **+ 新建**。 | ||
| 1. 选择**新建工作区**。 | ||
| 1. 选择`RG2`为资源组 | ||
| 1. 为日志分析工作区输入有效名称 | ||
| 1. 选择`West US`作为工作区的区域。 | ||
| 1. 选择**查看 + 创建**以创建工作区。 | ||
| 1. 选择**创建**以创建工作区。 | ||
|
|
||
| ### 任务 2:部署 Microsoft Sentinel 到工作区 | ||
|
|
||
| 向工作区部署 Microsoft Sentinel | ||
|
|
||
| 1. `workspace`部署完成后,选择**刷新**以显示新`workspace`内容。 | ||
| 1. `workspace`选择要添加 Sentinel 的工作区(在任务 1 中创建)。 | ||
| 1. 选择 **添加** 。 | ||
|
|
||
| ### 任务 3 - 向用户分配 Microsoft Sentinel 角色 | ||
|
|
||
| 将 Microsoft Sentinel 角色分配给使用。 了解有关在 [Microsoft Sentinel 中工作的角色和权限](https://learn.microsoft.com/azure/sentinel/roles)的更多信息 | ||
|
|
||
| 1. 转到资源组 RG2 | ||
| 1. 选择**访问控制 (IAM)**。 | ||
| 1. 选择**添加**并`Add role assignment`。 | ||
| 1. 在搜索栏中,搜索并选择`Microsoft Sentinel Contributor`角色。 | ||
| 1. 选择**下一步**。 | ||
| 1. 选择`User, group, or service principal`选项 | ||
| 1. 选择 **+ 选择成员**。 | ||
| 1. 在实验室说明中搜索 `Operator1` 分配的 `([email protected])`。 | ||
| 1. 选择 `user icon`。 | ||
| 1. 选择**选择** 。 | ||
| 1. 选择“查看 + 分配”。 | ||
| 1. 选择“查看 + 分配”。 | ||
|
|
||
| ### 任务 4:配置数据保留期 | ||
|
|
||
| 配置数据保留 [:了解有关数据保留的更多信息](https://learn.microsoft.com/azure/azure-monitor/logs/data-retention-archive)。 | ||
|
|
||
| 1. 转到 `Log Analytics workspace` 任务 1 步骤 5 中创建的。 | ||
| 1. 选择**使用情况和预估成本**。 | ||
| 1. 请选择**数据保留**。 | ||
| 1. 将数据保留期更改为 **180 天**。 | ||
| 1. 选择“确定”****。 | ||
|
|
||
| >**注意**:如需更多练习,请完成 [创建和管理 Microsoft Sentinel 工作区](https://learn.microsoft.com/training/modules/create-manage-azure-sentinel-workspaces/) 模块。 | ||
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,211 @@ | ||
| --- | ||
| lab: | ||
| title: 练习 1 - 启用 Microsoft Defender for Cloud | ||
| module: Mitigate threats using Microsoft Defender for Cloud | ||
| --- | ||
|
|
||
| # 实验室 1 - 练习 1 - 启用 Microsoft Defender for Cloud | ||
|
|
||
| ## 实验室方案 | ||
|
|
||
| 你是一名安全运营分析师,你所在公司正在使用 Microsoft Defender for Cloud 实现云工作负载保护。 在此实验室中,你将启用 Microsoft Defender for Cloud。 | ||
|
|
||
| ### 任务 1:访问 Azure 门户,然后设置订阅 | ||
|
|
||
| 在此任务中,你将设置完成本实验室和以后的实验室所需的 Azure 订阅。 | ||
|
|
||
| 1. 使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd 。 | ||
|
|
||
| 1. 打开 Microsoft Edge 浏览器,如果已打开浏览器,则打开新选项卡。 | ||
|
|
||
| 1. 在 Microsoft Edge 浏览器中,导航到 Azure 门户 (<https://portal.azure.com> )。 | ||
|
|
||
| 1. 在“登录”对话框中,复制并粘贴实验室托管提供者为管理员用户名提供的租户电子邮件帐户,然后选择“下一步” 。 | ||
|
|
||
| 1. 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的管理员的租户密码,然后选择“登录” 。 | ||
|
|
||
| 1. 在 Azure 门户的搜索栏中,键入“订阅”,然后选择“订阅”。 | ||
|
|
||
| 1. 选择显示的“Azure Pass - 赞助”订阅(或所选语言的等效名称)。 | ||
|
|
||
| >注意:如果未显示订阅,请向讲师咨询如何创建包含租户管理员用户凭据的 Azure 订阅。 **注意:** 订阅创建过程可能需要长达 10 分钟的时间。 | ||
| 1. 选择“**访问控制 (IAM)**,然后从“*检查访问*”选项卡中选择“**查看我的访问权限**”。 | ||
|
|
||
| 1. 验证“**当前角色分配**”选项卡是否具有 **LOD 所有者**的*角色分配角色*。 选择“*分配 - MOC 订阅-lodxxxxxxx*”窗口右上方的 **X**将其关闭。 | ||
|
|
||
| ### 任务 2:创建 Log Analytics 工作区 | ||
|
|
||
| 在此任务中,你将创建一个 Log Analytics 工作区,以与 Azure 监视、Microsoft Sentinel 和 Microsoft Defender for Cloud 配合使用。 | ||
|
|
||
| 1. 在 Azure 门户的搜索栏中,键入“Log Analytics 工作区”,然后选择相同的服务名称。 | ||
|
|
||
| 1. 从命令栏中选择“+ 创建”。 | ||
|
|
||
| 1. 为资源组选择“新建”。 | ||
|
|
||
| 1. 输入 RG-Defender,然后选择“确定”。 | ||
|
|
||
| 1. 对于“名称”,请输入唯一的名称,例如:uniquenameDefender。 | ||
|
|
||
| 1. 选择“查看 + 创建” 。 | ||
|
|
||
| 1. 工作区验证通过后,选择“创建”。 等待新工作区进行预配,这可能需要几分钟时间。 | ||
|
|
||
|
|
||
| ### 任务 3:启用 Microsoft Defender for Cloud | ||
|
|
||
| 在此任务中,你将启用和配置 Microsoft Defender for Cloud。 | ||
|
|
||
| 1. 在 Azure 门户的搜索栏中,输入 Defender,然后选择“Microsoft Defender for Cloud”。 | ||
|
|
||
| 1. 在 Microsoft Defender for Cloud 的左侧菜单中的“管理”下,选择“环境设置”。 | ||
|
|
||
| 1. 选择“Azure Pass - 赞助”订阅(或所选语言的等效名称)。 | ||
|
|
||
| 1. 查看现在受 Defender for Cloud 计划保护的 Azure 资源。 | ||
|
|
||
| >**重要提示:** 如果所有 Defender 计划均为“禁用”,请选择“启用所有计划”******。 选择“$200/月 Microsoft Defender for API 计划 1”,然后选择“保存”******。 选择页面顶部的“保存”,并等待显示“已成功保存订阅的 Defender 计划!”****** 通知。 | ||
| 1. 从“设置”区域(“保存”旁边)选择“设置和监视”选项卡。 | ||
|
|
||
| 1. 查看监视扩展。 它包括虚拟机、容器和存储帐户的配置。 选择页面右上角的“X”,关闭“设置和监视”页面。 | ||
|
|
||
| 1. 选择页面右上角的“X”关闭设置页面,返回到“环境设置”,然后选择订阅左侧的“>”。 | ||
|
|
||
| 1. 选择之前创建的 Log Analytics 工作区“uniquenameDefender”,查看可用选项和定价。 | ||
|
|
||
| 1. 选择“启用所有计划”(在“选择 Defender 计划”的右侧),然后选择“保存” 。 等待显示“已成功保存工作区 uniquenameDefender 的 Microsoft Defender 计划!” 通知。 | ||
|
|
||
| >**注意:** 如果页面未显示,请刷新 Microsoft Edge 浏览器,然后重试。 | ||
| 1. 选择页面右上角的“X”关闭 Defender 计划页面,返回到“环境设置” | ||
|
|
||
|
|
||
| ### 任务 4:在本地服务器上安装 Azure Arc | ||
|
|
||
| 在此任务中,你将在本地服务器上安装 Azure Arc,以便更轻松地加入。 | ||
|
|
||
| >**重要提示:** 接下来的步骤将在另一台计算机上完成,而不是你之前使用的计算机。 查找虚拟机名称引用。 | ||
| 1. 使用以下密码以管理员身份登录到 WINServer 虚拟机:Passw0rd! 如有必要。 | ||
|
|
||
| 1. 打开 Microsoft Edge 浏览器并导航到 Azure 门户 (<https://portal.azure.com> )。 | ||
|
|
||
| 1. 在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。 | ||
|
|
||
| 1. 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。 | ||
|
|
||
| 1. 在 Azure 门户的搜索栏中,键入“Arc”,然后选择“Azure Arc”。 | ||
|
|
||
| 1. 在“Azure Arc 资源”下的导航窗格中选择“计算机”******** | ||
|
|
||
| 1. 选择“**+ 添加/创建**”,然后选择“**添加计算机**”。 | ||
|
|
||
| 1. 在“添加单个服务器”部分选择“生成脚本”。 | ||
|
|
||
| <!--- 1. Read through the *Prerequisites* tab and then select **Next** to continue.---> | ||
|
|
||
| 1. 在“使用 Azure Arc 添加服务器”页面中,在“项目详细信息”下选择之前创建的资源组 。 提示:RG-Defender | ||
|
|
||
| >**注意:** 如果尚未创建资源组,请打开另一个选项卡并创建资源组,然后重新开始。 | ||
| 1. 对于“区域”,请从下拉列表中选择“(美国)美国东部”。 | ||
|
|
||
| 1. 查看“服务器详细信息”和“连接方法”选项 。 保留默认值并选择“下一步”,以转到“标记”选项卡。 | ||
|
|
||
| 1. 查看默认可用的标记。 选择“下一步”,转到“下载并运行脚本”选项卡。 | ||
|
|
||
| 1. 向下滚动并选择“下载”按钮。 提示:如果浏览器阻止下载,请在浏览器中执行操作以允许下载。 在 Microsoft Edge 浏览器中,根据需要选择省略号按钮 (...),然后选择“保留”****。 | ||
|
|
||
| 1. 右键单击 Windows 的“开始”按钮,然后选择“Windows PowerShell (管理员)”。 | ||
|
|
||
| 1. 在“用户名”中输入“Administrator”,在“密码”中输入“Passw0rd!” (如果收到 UAC 提示)。 | ||
|
|
||
| 1. 输入:cd C:\Users\Administrator\Downloads | ||
|
|
||
| >重要提示:如果没有此目录,最有可能意味着你使用的是错误的计算机。 返回任务 4 的开头,更改为 WINServer 并重新启动。 | ||
| 1. 键入“Set-ExecutionPolicy -ExecutionPolicy Unrestricted”,然后按 Enter。 | ||
|
|
||
| 1. 输入“A”,表示全部接受,然后按 Enter。 | ||
|
|
||
| 1. 键入“.\OnboardingScript.ps1”,然后按 Enter。 | ||
|
|
||
| >**重要提示:** 如果收到错误“无法识别术语 .\OnboardingScript.ps1...”,请确保是在 WINServer 虚拟机中执行任务 4 的步骤。 其他问题可能是由于多次下载导致文件名称更改,请在运行目录中搜索“.\OnboardingScript (1).ps1”或其他文件编号。 | ||
| 1. 输入 R 以运行一次,然后按 Enter(这可能需要几分钟时间)。 | ||
|
|
||
| 1. 安装过程将打开新的 Microsoft Edge 浏览器标签页,以对 Azure Arc 代理进行身份验证。 选择管理员帐户,等待消息“身份验证完成”,然后返回到 Windows PowerShell 窗口。 | ||
|
|
||
| 1. 安装完成后,返回到下载脚本的 Azure 门户页面,然后选择“关闭”。 关闭“**使用 Azure Arc 添加服务器**”,以返回到 Azure Arc“**计算机**”页面。 | ||
|
|
||
| 1. 选择“刷新”,直到显示 WINServer 服务器名称,且状态为“已连接”。 | ||
|
|
||
| >注意:这可能需要几分钟。 | ||
|
|
||
| ### 任务 5:保护本地服务器 | ||
|
|
||
| 在此任务中,你将通过在“WINServer”**** 虚拟机上添加“数据收集规则 (DCR)”** 来手动安装“Azure Monitor 代理”**。 | ||
|
|
||
| 1. 转到“Microsoft Defender for Cloud”,然后在左菜单中选择“入门”页面 。 | ||
|
|
||
| 1. 选择“入门”选项卡。 | ||
|
|
||
| 1. 向下滚动并选择“添加非 Azure 服务器”部分下的“配置”。 | ||
|
|
||
| 1. 选择之前创建的工作区旁边的“升级”。 这可能需要几分钟的时间。 请等待,直到看到通知“工作区 uniquenameDefender 的 Microsoft Defender 计划已成功保存!”**。 | ||
|
|
||
| 1. 选择之前创建的工作区旁边的“+ 添加服务器”。 | ||
|
|
||
| 1. 选择“数据收集规则” | ||
|
|
||
| 1. 选择“+ 新建”。 | ||
|
|
||
| 1. 为“规则名称”输入“WINServer”。 | ||
|
|
||
| 1. 选择“Azure Pass - 赞助”订阅,然后选择资源组。 提示:RG-Defender | ||
|
|
||
| 1. 可以保留默认的“美国东部”区域,也可以选择其他首选位置。 | ||
|
|
||
| 1. 选择“平台类型”** 的“Windows”**** 单选按钮,然后选择“下一步资源”****。 | ||
|
|
||
| 1. 在“资源”选项卡中,选择“+ 添加资源” 。 | ||
|
|
||
| 1. 在“选择范围”页中,展开“RG-Defender”(或你创建的资源组)的“范围”列,然后选择“WINServer”并选择“应用”。 | ||
|
|
||
| >注意:如果未显示“WINServer”,则可能需要将“资源类型”的列筛选器设置为“Server-Azure Arc”。 | ||
| 1. 选择“下一步: 收集和传递”****。 | ||
|
|
||
| 1. 在“收集和传送”选项卡中,选择“+ 添加数据源” | ||
|
|
||
| 1. 在“添加数据源”页中,从“数据源类型”中选择“性能计数器”。 | ||
|
|
||
| >注意:对于本实验室,可以选择“Windows 事件日志”。 这些选择稍后可以修改。 | ||
| 1. 选择“目标”**** 选项卡 | ||
|
|
||
| 1. 在“目标类型”下拉列表中选择“Azure Monitor 日志”******** | ||
|
|
||
| 1. 从“订阅”下拉列表中选择“Azure Pass - 赞助”订阅****** | ||
|
|
||
| 1. 选择工作区名称“提示”:**** 从“帐户或命名空间”下拉列表中选择“RG-Defender”****** | ||
|
|
||
| 1. 选择“添加数据源”,然后选择“查看 + 创建” | ||
|
|
||
| 1. 显示“验证通过”后,选择“创建”。 | ||
|
|
||
| 1. “数据收集规则”创建启动在“WINServer”上安装“AzureMonitorWindowsAgent”扩展。 | ||
|
|
||
| 1. “数据收集规则”创建完成后,在“搜索资源、服务和文档”搜索栏中输入“WINServer”,然后从“资源”中选择“WINServer”。 | ||
|
|
||
| 1. 在“WINServer”上,向下滚动左侧菜单直到“设置”和“扩展”。 | ||
|
|
||
| 1. “AzureMonitorWindowsAgent”应列出且“状态”为“成功”。 | ||
|
|
||
| 1. 可以继续下一个实验室,稍后再返回查看“Microsoft Defender for Cloud”的“清单”部分以验证是否包括“WINServer”。 | ||
|
|
||
| ## 继续进行练习 2 | ||
|
|