Vizualizace shromážděných dat

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a v nadcházejících týdnech budeme tyto stránky aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení Microsoftu.

V tomto článku se dozvíte, jak rychle zobrazit a monitorovat, co se děje ve vašem prostředí pomocí Microsoft Sentinelu. Po připojení zdrojů dat k Microsoft Sentinelu získáte okamžitou vizualizaci a analýzu dat, abyste mohli vědět, co se děje ve všech připojených zdrojích dat. Microsoft Sentinel poskytuje sešity, které vám poskytují plnou sílu nástrojů, které jsou už dostupné v Azure, a také tabulky a grafy, které jsou integrované, aby vám poskytovaly analýzy vašich protokolů a dotazů. Můžete buď použít předdefinované sešity, nebo snadno vytvořit nový sešit, od začátku nebo na základě existujícího sešitu.

Získání vizualizace

Pokud chcete vizualizovat a analyzovat, co se děje ve vašem prostředí, nejprve se podívejte na řídicí panel přehledu, abyste získali představu o stavu zabezpečení vaší organizace. Kliknutím na jednotlivé prvky těchto dlaždic můžete přejít k podrobnostem nezpracovaných dat, ze kterých se vytvářejí. Microsoft Sentinel používá fúzní techniku ke korelaci výstrah s incidenty, aby vám pomohla snížit šum a minimalizovat počet výstrah, které potřebujete zkontrolovat a prozkoumat. Incidenty jsou skupiny souvisejících výstrah, které společně vytvářejí akční incident, který můžete prozkoumat a vyřešit.

  • V Azure Portal vyberte Microsoft Sentinel a pak vyberte pracovní prostor, který chcete monitorovat.

    Microsoft Sentinel overview

  • Na panelu nástrojů v horní části se dozvíte, kolik událostí jste získali v průběhu vybraného časového období, a porovná ho s předchozími 24 hodinami. Na panelu nástrojů se dozvíte z těchto událostí, výstrahy, které se aktivovaly (malé číslo představuje změnu za posledních 24 hodin), a pak vám řekne o těchto událostech, kolik je otevřených, probíhajících a uzavřených. Zkontrolujte, že počet událostí není dramatický nárůst nebo pokles. Pokud dojde k poklesu, může se stát, že připojení přestalo hlásit microsoft Sentinel. Pokud dojde k nárůstu, mohlo dojít k něčemu podezřelému. Zkontrolujte, jestli máte nová upozornění.

    Microsoft Sentinel counters

Hlavní text stránky přehledu poskytuje přehled o stavu zabezpečení vašeho pracovního prostoru:

  • Události a výstrahy v průběhu času: Uvádí počet událostí a počet výstrah vytvořených z těchto událostí. Pokud se zobrazí špička, která je neobvyklá, měla by se zobrazit upozornění – pokud je v událostech něco neobvyklého, ale upozornění se nezobrazují, může to být příčinou obav.

  • Potenciální škodlivé události: Když se zjistí provoz ze zdrojů, o kterých je známo, že jsou škodlivé, Microsoft Sentinel vás na mapě upozorní. Pokud se zobrazí oranžová, jedná se o příchozí provoz: někdo se pokouší získat přístup k vaší organizaci ze známé škodlivé IP adresy. Pokud se zobrazí aktivita Odchozí (červená), znamená to, že data z vaší sítě se streamují z vaší organizace na známou škodlivou IP adresu.

    Malicious traffic map

  • Nedávné incidenty: Pokud chcete zobrazit nedávné incidenty, jejich závažnost a počet výstrah přidružených k incidentu. Pokud se v určitém typu výstrahy zobrazí náhlé špičky, může to znamenat, že je aktuálně spuštěný aktivní útok. Pokud máte například náhlé špičky 20 událostí pass-the-hash z Microsoft Defenderu for Identity (dříve Azure ATP), je možné, že vás někdo v současné době pokouší napadnout.

  • Anomálie zdroje dat: Datoví analytici Microsoftu vytvořili modely, které neustále prohledávají data z vašich zdrojů dat anomálie. Pokud neexistují žádné anomálie, nic se nezobrazí. Pokud se zjistí anomálie, měli byste se do nich podrobně ponořit, abyste zjistili, co se stalo. Klikněte například na špičku aktivity Azure. Kliknutím na graf můžete zjistit, kdy se špička objevila, a potom filtrovat aktivity, ke kterým došlo během tohoto časového období, abyste zjistili, co způsobilo špičku.

    Anomalous data sources

Použití předdefinovaných sešitů

Integrované sešity poskytují integrovaná data z připojených zdrojů dat, abyste se mohli podrobně ponořit do událostí generovaných v těchto službách. Integrované sešity zahrnují Azure AD, události aktivit Azure a místní prostředí, které můžou být data z Windows Událostí ze serverů, od výstrah první strany, od jakékoli třetí strany, včetně protokolů provozu brány firewall, Office 365 a nezabezpečených protokolů na základě událostí Windows. Sešity jsou založené na sešitech služby Azure Monitor, které poskytují lepší přizpůsobitelnost a flexibilitu při navrhování vlastního sešitu. Další informace naleznete v tématu Sešity.

  1. V části Nastavení vyberte Sešity. V části Nainstalováno uvidíte celý nainstalovaný sešit. V části Všechny se zobrazí celá galerie předdefinovaných sešitů dostupných k instalaci.
  2. Vyhledejte konkrétní sešit, abyste viděli celý seznam a popis jednotlivých nabídek.
  3. Za předpokladu, že používáte Azure AD, abyste mohli začít s Microsoft Sentinelem, doporučujeme nainstalovat aspoň následující sešity:
    • Azure AD: Použijte jednu nebo obě z následujících možností:

      • Přihlášení Ke službě Azure AD analyzuje přihlášení v průběhu času, abyste zjistili, jestli nedošlo k anomáliím. Tyto sešity poskytují neúspěšné přihlášení aplikacemi, zařízeními a umístěními, abyste si mohli všimnout, když se stane něco neobvyklého. Věnujte pozornost několika neúspěšným přihlášením.
      • Protokoly auditu Azure AD analyzují aktivity správců, jako jsou změny uživatelů (přidání, odebrání atd.), vytváření skupin a úpravy.
    • Přidejte sešit pro bránu firewall. Přidejte například sešit Palo Alto. Sešit analyzuje provoz brány firewall a poskytuje korelace mezi daty brány firewall a událostmi hrozeb a zvýrazní podezřelé události napříč entitami. Sešity poskytují informace o trendech v provozu a umožňují přejít k podrobnostem a filtrovat výsledky.

      Palo Alto dashboard

Sešity můžete přizpůsobit úpravou hlavního dotazu query edit button. Kliknutím na tlačítko Log Analytics button přejdete do Log Analytics a dotaz tam upravíte. Můžete vybrat tři tečky (...) a vybrat Přizpůsobit data dlaždic, která vám umožní upravit hlavní časový filtr nebo odebrat konkrétní dlaždice ze sešitu.

Další informace o práci s dotazy najdete v kurzu: Vizuální data v Log Analytics

Přidání nové dlaždice

Pokud chcete přidat novou dlaždici, můžete ji přidat do existujícího sešitu, a to buď do vytvořeného sešitu, nebo do integrovaného sešitu Microsoft Sentinelu.

  1. V Log Analytics vytvořte dlaždici pomocí pokynů uvedených v kurzu: Vizuální data v Log Analytics.
  2. Po vytvoření dlaždice v části Připnout vyberte sešit, ve kterém se má dlaždice zobrazit.

Vytváření nových sešitů

Nový sešit můžete vytvořit úplně od začátku nebo použít předdefinovaný sešit jako základ pro nový sešit.

  1. Pokud chcete vytvořit nový sešit úplně od začátku, vyberte Sešity a pak +Nový sešit.
  2. Vyberte předplatné, ve které je sešit vytvořený, a pojmenujte ho popisným názvem. Každý sešit je prostředek Azure jako jakýkoli jiný a můžete mu přiřadit role (Azure RBAC), abyste definovali a omezili, kdo má přístup.
  3. Pokud chcete povolit, aby se v sešitech zobrazoval, abyste mohli připnout vizualizace, musíte je sdílet. Klikněte na Sdílet a potom spravovat uživatele.
  4. Použijte kontrolu přístupu a přiřazení rolí stejně jako u jakéhokoli jiného prostředku Azure. Další informace najdete v tématu Sdílení sešitů Azure pomocí Azure RBAC.

Příklady nových sešitů

Následující ukázkový dotaz umožňuje porovnat trendy provozu v týdnech. Můžete snadno přepnout dodavatele zařízení a zdroj dat, na kterém spustíte dotaz. Tento příklad používá SecurityEvent z Windows, můžete ho přepnout na azureActivity nebo CommonSecurityLog v jakékoli jiné bráně firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Můžete vytvořit dotaz, který bude obsahovat data z více zdrojů. Můžete vytvořit dotaz, který se podívá na protokoly auditu Azure Active Directory pro nové uživatele, které byly právě vytvořeny, a pak zkontroluje protokoly Azure a zjistí, jestli uživatel začal provádět změny přiřazení rolí do 24 hodin od vytvoření. Tato podezřelá aktivita by se zobrazila na tomto řídicím panelu:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Můžete vytvořit různé sešity na základě role osoby, která se dívá na data a na to, co hledá. Můžete například vytvořit sešit pro správce sítě, který obsahuje data brány firewall. Můžete také vytvořit sešity na základě toho, jak často se na ně chcete podívat, jestli chcete zkontrolovat věci denně, a další položky, které chcete zkontrolovat jednou za hodinu, například byste se mohli chtít podívat na přihlášení k Azure AD každou hodinu, abyste mohli hledat anomálie.

Vytváření nových detekcí

Vygenerujte detekce ve zdrojích dat, které jste připojili k Microsoft Sentinelu , a prozkoumejte hrozby ve vaší organizaci.

Při vytváření nové detekce využijte integrované detekce vytvořené výzkumníky zabezpečení Microsoftu, které jsou přizpůsobené zdrojům dat, které jste připojili.

Pokud chcete zobrazit všechny předdefinované detekce, přejděte do části Analýza a pak na šablony pravidel. Tato karta obsahuje všechna předdefinovaná pravidla služby Microsoft Sentinel.

Use built-in detections to find threats with Microsoft Sentinel

Další informace o tom, jak získat předem připravenou detekci, najdete v tématu Získání předdefinovaných analýz.

Další kroky

V tomto rychlém startu jste zjistili, jak začít používat Microsoft Sentinel. Pokračujte v článku o tom, jak detekovat hrozby.

Vytvořte vlastní pravidla detekce hrozeb , která automatizují odpovědi na hrozby.