हैड्स-ऑन लैब — SC-200 Microsoft Security Operations Analyst

अवलोकन

पूर्व-आवश्यकताएं

चरण

1. 1.प्रदाता, संसाधन समूह, नामकरण

   मानक एज़ूर परिचय।

   कॉपी

   terraform {
     required_version = ">= 1.5"
   
     required_providers {
       azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   
   locals {
     tags = {
       Project   = "certlabpro-sc-200"
       ManagedBy = "terraform"
     }
   }
   
   resource "azurerm_resource_group" "main" {
     name     = "certlabpro-sc-200-rg"
     location = "eastus"
     tags     = local.tags
   }

2. 2.लॉग एनालिटिक्स वर्कस्पेस स्थापित करें + सेंटिनल को ऑनबोर्ड करें

   प्रोविज़न:

   • Azure Monitor
   • Microsoft Sentinel

   माइक्रोसॉफ्ट सेंटिनल एक लॉग एनालिटिक्स वर्कस्पेस के ऊपर एक परत है — इसका अपना कोई डेटा प्लेन नहीं है। SC-200 का एक माइक्रोसॉफ्ट सेंटिनल वातावरण प्रबंधित करें डोमेन इस निर्भरता पर जोर देता है: प्रत्येक सेंटिनल सुविधा वर्कस्पेस से पढ़ती/लिखती है, प्रत्येक डेटा कनेक्टर इसमें डेटा डालता है, प्रत्येक विश्लेषणात्मक नियम इसके खिलाफ KQL चलाता है।

   हम PerGB2018 SKU पर वर्कस्पेस का प्रावधान करते हैं + सेंटिनल को जोड़ने के लिए azurerm_sentinel_log_analytics_workspace_onboarding संसाधन का उपयोग करते हैं। इसके बाद, आप पोर्टल के माध्यम से डेटा स्रोतों (एज़ूर एक्टिविटी, माइक्रोसॉफ्ट एंट्रा आईडी साइन-इन्स, डिफेंडर XDR कनेक्टर्स) को कनेक्ट करेंगे — ये सतही क्षेत्र-भारी होते हैं और टेराफॉर्म की तुलना में GUI के माध्यम से आसान होते हैं।

   कॉपी

   resource "azurerm_log_analytics_workspace" "main" {
     name                = "log-sc200"
     resource_group_name = azurerm_resource_group.main.name
     location            = azurerm_resource_group.main.location
     sku                 = "PerGB2018"
     retention_in_days   = 30
   
     tags = local.tags
   }
   
   resource "azurerm_sentinel_log_analytics_workspace_onboarding" "main" {
     workspace_id = azurerm_log_analytics_workspace.main.id
   }

3. 3.एक अनुसूचित विश्लेषणात्मक नियम बनाएँ जो एक KQL पैटर्न पर ट्रिगर होता है

   प्रोविज़न:

   • Microsoft Sentinel

   विश्लेषणात्मक नियम वे हैं जिनसे सेंटिनल कच्चे लॉग इवेंट्स को घटनाओं में बदलता है। SC-200 नियम-प्रकार की पहचान का परीक्षण करता है: अनुसूचित (KQL-आधारित, सबसे आम), माइक्रोसॉफ्ट घटना (डिफेंडर XDR अलर्ट को आगे बढ़ाती है), विसंगति (ML-आधारित), खतरा खुफिया (TI मिलान)।

   हम एक स्टब KQL क्वेरी के साथ एक अनुसूचित नियम बनाते हैं (हर 5 मिनट में, पिछले 5 मिनट को देखते हुए — SC-200 लगभग-वास्तविक समय आकार)। यहाँ क्वेरी एक प्लेसहोल्डर है (SecurityEvent | take 1); उत्पादन में KQL नियम का वास्तविक तर्क होता है — असंभव-यात्रा लॉगिन, पासवर्ड-स्प्रे पैटर्न, असामान्य विशेषाधिकार वृद्धि आदि का परीक्षण करना।

   tactics फ़ील्ड नियम को MITRE ATT&CK फ्रेमवर्क से मैप करता है — डिफेंडर XDR एकीकरण और उस हंटिंग वर्कफ़्लो के लिए आवश्यक है जो रणनीति के आधार पर घूमता है।

   कॉपी

   resource "azurerm_sentinel_alert_rule_scheduled" "stub" {
     name                       = "certlabpro-sc-200-stub-rule"
     log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
     display_name               = "Stub rule — lab demonstration"
     description                = "Sample scheduled analytic rule for the SC-200 lab. Replace KQL with a real hunting pattern."
     severity                   = "Medium"
     enabled                    = true
   
     query                      = "SecurityEvent | take 1"
     query_frequency            = "PT5M" # run every 5 minutes
     query_period               = "PT5M" # look back 5 minutes
   
     trigger_operator           = "GreaterThan"
     trigger_threshold          = 0
   
     tactics    = ["InitialAccess"]
     techniques = ["T1078"] # Valid Accounts (MITRE ATT&CK)
   
     incident {
       create_incident_enabled = true
   
       grouping {
         enabled = true
       }
     }
   
     depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
   }

4. 4.घटना प्रतिक्रिया के लिए एक स्वचालन नियम को जोड़ें

   प्रोविज़न:

   • Microsoft Sentinel

   स्वचालन नियम SC-200 के घटना प्रबंधन के लिए अपने माइक्रोसॉफ्ट सेंटिनल वातावरण को कॉन्फ़िगर करें प्रिमिटिव हैं — वे तब ट्रिगर होते हैं जब कोई घटना बनाई जाती है, अपडेट की जाती है, या बंद की जाती है, और कई कार्य करते हैं: घटना को किसी उपयोगकर्ता को असाइन करना, उसकी गंभीरता बदलना, टैग जोड़ना, या लॉजिक ऐप प्लेबुक को इनवोक करना।

   हम एक ऐसा नियम बनाते हैं जो हर बार कोई घटना बनाए जाने पर चलता है। उदाहरण कार्य केवल गंभीरता को उच्च में बदलता है और घटना को टैग करता है — उत्पादन में आप यहाँ एक लॉजिक ऐप प्लेबुक को इनवोक करेंगे जो टीमों पर पोस्ट करता है, एक जीरा टिकट बनाता है, थ्रेट-इंटेल के साथ समृद्ध करता है, या एक उपचारात्मक रनबुक को ट्रिगर करता है। SC-200 इस ट्रिगर किए गए स्वचालन आकार का मानक L1 SOC पैटर्न के रूप में परीक्षण करता है।

   कॉपी

   resource "azurerm_sentinel_automation_rule" "tag_and_escalate" {
     name                       = "0e84e57b-8b8a-4c8b-a0a8-1d3f3e6f9a01" # GUID required
     log_analytics_workspace_id = azurerm_log_analytics_workspace.main.id
     display_name               = "Tag-and-escalate every new incident"
     order                      = 1
     enabled                    = true
   
     triggers_on  = "Incidents"
     triggers_when = "Created"
   
     action_incident {
       order    = 1
       severity = "High"
     }
   
     action_incident {
       order  = 2
       labels = ["lab-auto-tagged"]
     }
   
     depends_on = [azurerm_sentinel_log_analytics_workspace_onboarding.main]
   }

क्लीनअप (Cleanup)