Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinel

Po připojení zdrojů dat k Microsoft Sentinel vizualizovat a monitorovat data pomocí sešitů v Microsoft Sentinel. Microsoft Sentinel sešity jsou založené na sešitech Azure Monitor a přidávají tabulky a grafy s analýzou protokolů a dotazů do nástrojů, které jsou už dostupné v Azure.

Microsoft Sentinel umožňuje vytvářet vlastní sešity napříč vašimi daty nebo používat existující šablony sešitů, které jsou dostupné s zabalenými řešeními nebo jako samostatný obsah z centra obsahu. Každý sešit je Azure prostředek jako jakýkoli jiný a můžete ho přiřadit pomocí Azure řízení přístupu na základě role (RBAC) a definovat a omezit, kdo má přístup.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

• Ke skupině prostředků pracovního prostoru Microsoft Sentinel musíte mít alespoň oprávnění čtenáře sešitu nebo přispěvatele sešitu.

  Sešity, které vidíte v Microsoft Sentinel, se ukládají do skupiny prostředků pracovního prostoru Microsoft Sentinel a jsou označené pracovním prostorem, ve kterém byly vytvořeny.

• Pokud chcete použít šablonu sešitu, nainstalujte řešení, které sešit obsahuje, nebo sešit nainstalujte jako samostatnou položku z centra obsahu. Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení.

• Pokud pracujete na portálu Defender s Azure Data Explorer zdrojem dat, nezapomeňte nakonfigurovat a ověřit Azure Data Explorer z portálu Defender.

Vytvoření sešitu ze šablony

K vytvoření sešitu použijte šablonu nainstalovanou z centra obsahu.

1. V Microsoft Sentinel vyberte Správa hrozeb > Sešity.

2. Na stránce Sešity vyberte kartu Šablony a zobrazte seznam nainstalovaných šablon sešitů. Výběrem šablony zobrazíte její podrobnosti.

   Některé sešity vyžadují pro funkci specifická datová připojení. Před uložením sešitu zkontrolujte, jestli je v poli Požadované datové typy , že máte tento typ dat ingestovaných.

   Příklady:

   Portál Defender

   

   Azure Portal

   

3. V podokně podrobností vyberte Uložit a pak vyberte umístění, kam chcete sešit uložit. Tato akce vytvoří Azure prostředek ve vybraném umístění na základě příslušné šablony. Do tohoto umístění se uloží jenom soubor JSON sešitu a žádná data.

4. V podokně podrobností vyberte Zobrazit uložený sešit a otevřete ho pro úpravy.

5. Když máte sešit otevřený, vyberte Upravit a přizpůsobte si ho podle svých potřeb.

   Portál Defender

   

   Při práci na portálu Defender je možné některé vizualizace zobrazit jenom v Azure Portal. V takových případech vyberte Otevřít v Azure a otevřete sešit v Azure Portal.

   Azure Portal

   

   Pokud například chcete zobrazit data pro jiný časový rozsah, než je aktuální výběr, vyberte filtr TimeRange . Pokud chcete upravit konkrétní oblast sešitu, vyberte Upravit nebo vyberte tři tečky (...) a přidejte prvky nebo oblast přesuňte, naklonujte nebo odeberte.

   Pokud chcete sešit naklonovat, vyberte Uložit jako. Uložte klon pod jiným názvem pod stejným předplatným a skupinou prostředků. Klonované sešity se také zobrazují na kartě Moje sešity na stránce Microsoft Sentinel > Správa > hrozeb Sešity.

6. Až budete hotovi, uložte změny výběrem možnosti Úpravy hotovo .

Další informace najdete tady:

• Vytváření interaktivních sestav pomocí sešitů Azure Monitor
• Kurz: Vizuální data v Log Analytics

Vytvořit nový sešit

Vytvoření sešitu úplně od začátku v Microsoft Sentinel

1. V Microsoft Sentinel vyberte Správa > hrozeb Sešity a pak vyberte Přidat sešit.

2. Pokud chcete sešit upravit, vyberte Upravit a podle potřeby přidejte text, dotazy a parametry.

   Další informace o přizpůsobení sešitu najdete v tématu Vytváření interaktivních sestav pomocí Azure Monitorování sešitů.

   

3. Při vytváření dotazu nastavte Zdroj dat na Protokoly a Typ prostředku na Log Analytics a pak zvolte jeden nebo více pracovních prostorů.

   Doporučujeme, aby váš dotaz používal analyzátor ASIM (Advanced Security Information Model), a ne integrovanou tabulku. Dotaz pak bude podporovat jakýkoli aktuální nebo budoucí relevantní zdroj dat místo jednoho zdroje dat.

4. Až budete s úpravami hotovi, vyberte Dokončené úpravy a pak Uložit. V bočním podokně zadejte smysluplný název sešitu a vyberte předplatné a skupinu prostředků pro váš pracovní prostor.

5. Při práci v Azure Portal můžete přepínat mezi sešity v pracovním prostoru tak, že na panelu nástrojů libovolného sešitu vyberete Otevřít. Obrazovka se přepne na seznam dalších sešitů, na které můžete přepnout.

   Vyberte sešit, který chcete otevřít:

   

Vytvoření nových dlaždic pro sešity

Pokud chcete do sešitu Microsoft Sentinel přidat vlastní dlaždici, nejprve ji vytvořte v Log Analytics. Další informace najdete v tématu Vizuální data v Log Analytics.

Po vytvoření dlaždice vyberte Připnout a pak vyberte sešit, ve kterém se má dlaždice zobrazit.

Aktualizace dat sešitu

Aktualizujte sešit, aby se zobrazila aktualizovaná data. Na panelu nástrojů vyberte jednu z následujících možností:

• Aktualizovat– pokud chcete data sešitu aktualizovat ručně.

• Automatická aktualizace, pokud chcete nastavit automatickou aktualizaci sešitu v nakonfigurovaných intervalech.

  • Podporované intervaly automatické aktualizace jsou v rozsahu od 5 minut do 1 dne.

  • Automatická aktualizace se při úpravách sešitu pozastaví a intervaly se restartují pokaždé, když přepnete zpátky do režimu zobrazení z režimu úprav.

  • Intervaly automatické aktualizace se také restartují, pokud data aktualizujete ručně.

  Ve výchozím nastavení je automatická aktualizace vypnutá. Pokud jste zapnuli automatickou aktualizaci, vypne se pokaždé, když poznámkový blok zavřete, aby se optimalizovala funkce perforamnce a zabránila jeho spuštění na pozadí. Automatickou aktualizaci znovu zapněte podle potřeby při příštím otevření sešitu.

Tisk sešitu nebo uložení ve formátu PDF (jenom Azure Portal)

Pokud chcete sešit vytisknout nebo uložit jako PDF, použijte nabídku možností napravo od názvu sešitu. Tyto možnosti jsou dostupné jenom v Azure Portal. Pokud pracujete na portálu Defender, vyberte Otevřít v Azure a otevřete sešit v Azure Portal.

1. Vyberte možnosti >Tisk obsahu.

2. Na tiskové obrazovce podle potřeby upravte nastavení tisku nebo vyberte Uložit jako PDF a uložte ho místně.

   Příklady:

   

Odstranění jednoho nebo více sešitů

Uložené šablony i přizpůsobené sešity můžete odstranit na kartě Moje sešity . Samotné šablony nelze odstranit.

Pokud chcete odstranit sešit, vyberte ho na kartě Moje sešity a pak vyberte Odstranit. Tato akce odebere prostředek sešitu a všechny změny, které jste v šabloně udělali. Původní šablona zůstane k dispozici.

Doporučení sešitu

Tato část popisuje základní doporučení, která máme pro používání sešitů s Microsoft Sentinel.

Přidání Microsoft Entra ID sešitů

Pokud používáte Microsoft Entra ID s Microsoft Sentinel, doporučujeme nainstalovat Microsoft Entra řešení pro Microsoft Sentinel a použít následující sešity:

• Microsoft Entra přihlášení analyzuje přihlášení v průběhu času a zjistí, jestli nedošlo k anomáliím. Tento sešit poskytuje neúspěšná přihlášení podle aplikací, zařízení a umístění, takže si můžete na první pohled všimnout, že se stane něco neobvyklého. Věnujte pozornost několika neúspěšným přihlášením.
• Microsoft Entra protokoly auditu analyzují aktivity správce, jako jsou změny v uživatelích (přidání, odebrání atd.), vytváření skupin a úpravy.

Přidání sešitů brány firewall

Doporučujeme, abyste si nainstalovali příslušné řešení z centra Obsahu a přidali sešit pro bránu firewall.

Pokud chcete například přidat sešity Palo Alto, nainstalujte řešení brány firewall Palo Alto pro Microsoft Sentinel. Sešity analyzují provoz brány firewall, poskytují korelace mezi daty brány firewall a událostmi hrozeb a zvýrazňují podezřelé události napříč entitami.

Vytváření různých sešitů pro různá použití

Doporučujeme vytvořit různé vizualizace pro každý typ osob, které používají sešity, na základě role osoby a toho, co hledá. Vytvořte například sešit pro správce sítě, který obsahuje data brány firewall.

Sešity můžete také vytvářet na základě toho, jak často se na ně chcete dívat, jestli některé položky chcete denně kontrolovat, a dalších položek, které chcete zkontrolovat jednou za hodinu. Můžete například chtít každou hodinu hledat anomálie v Microsoft Entra přihlášení.

Ukázkový dotaz pro porovnání trendů provozu v týdnech

Pomocí následujícího dotazu vytvořte vizualizaci, která porovnává trendy provozu v týdnech. V závislosti na vašem prostředí můžete přepnout dodavatele zařízení a zdroj dat, na který dotaz spustíte.

Následující ukázkový dotaz používá tabulku SecurityEvent z Windows. Můžete ho přepnout tak, aby běžela v tabulce AzureActivity nebo CommonSecurityLog v jakékoli jiné bráně firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Ukázkový dotaz s daty z více zdrojů

Možná budete chtít vytvořit dotaz, který bude obsahovat data z více zdrojů. Vytvořte například dotaz, který zkontroluje Microsoft Entra protokoly auditu pro nově vytvořené uživatele a pak zkontroluje protokoly Azure a zjistí, jestli uživatel začal provádět změny přiřazení rolí během 24 hodin od vytvoření. Tato podezřelá aktivita by se zobrazila ve vizualizaci s následujícím dotazem:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Další informace o následujících položkách použitých v předchozích příkladech najdete v dokumentaci k Kusto:

• where – operátor
• operátor extend
• operátor projektu
• operátor project-away
• operátor join
• Operátor summarize
• ago() – funkce
• funkce bin()
• Funkce iff()
• tostring() – funkce
• agregační funkce count()

Další informace o KQL najdete v přehledu dotazovací jazyk Kusto (KQL).

Další zdroje informací:

• Stručná referenční příručka KQL
• dotazovací jazyk Kusto výukové materiály

Související články

Další informace najdete tady:

• Běžně používané Microsoft Sentinel sešity

• sešity Azure Monitor