Vizualizace shromážděných dat

  • Článek
  • 6 min ke čtení

V tomto článku se dozvíte, jak pomocí Microsoft Sentinelu rychle zobrazit a monitorovat, co se děje ve vašem prostředí. Po připojení zdrojů dat ke službě Microsoft Sentinel získáte okamžitou vizualizaci a analýzu dat, abyste věděli, co se děje ve všech připojených zdrojích dat. Microsoft Sentinel poskytuje sešity, které poskytují plný výkon nástrojů, které jsou už dostupné v Azure, a také tabulky a grafy, které jsou integrované a poskytují vám analýzy pro vaše protokoly a dotazy. Můžete použít předdefinované sešity nebo snadno vytvořit nový sešit, úplně od začátku nebo na základě existujícího sešitu.

Získání vizualizace

Pokud chcete vizualizovat a získat analýzu toho, co se děje ve vašem prostředí, nejprve se podívejte na řídicí panel s přehledem, abyste získali představu o stavu zabezpečení vaší organizace. Aby vám Microsoft Sentinel pomohl snížit šum a minimalizovat počet výstrah, které je potřeba zkontrolovat a prošetřit, používá ke korelaci výstrah s incidenty metodu fúze. Incidenty jsou skupiny souvisejících výstrah, které společně vytvářejí použitelný incident, který můžete prozkoumat a vyřešit.

V Azure Portal vyberte Microsoft Sentinel a pak vyberte pracovní prostor, který chcete monitorovat.

Snímek obrazovky se stránkou přehledu služby Microsoft Sentinel

Pokud chcete aktualizovat data pro všechny části řídicího panelu, vyberte Aktualizovat v horní části řídicího panelu. Za účelem zvýšení výkonu se předem vypočítají data pro jednotlivé části řídicího panelu a čas aktualizace se zobrazí v horní části každého oddílu.

Zobrazení dat incidentů

V části Incidenty se zobrazí různé typy dat incidentů.

Snímek obrazovky s částí Incidenty na stránce přehledu služby Microsoft Sentinel

  • Vlevo nahoře vidíte počet nových, aktivních a uzavřených incidentů za posledních 24 hodin.
  • V pravém horním rohu vidíte incidenty uspořádané podle závažnosti a uzavřené incidenty podle klasifikace uzavření.
  • V levém dolním rohu graf rozděluje stav incidentu podle času vytvoření ve čtyřech hodinách.
  • V pravém dolním rohu vidíte střední čas potvrzení incidentu a střední čas k uzavření s odkazem na sešit efektivity SOC.

Zobrazení dat automatizace

V části Automation uvidíte různé typy dat automatizace.

Snímek obrazovky s částí Automatizace na stránce přehledu služby Microsoft Sentinel

  • V horní části se zobrazí souhrn aktivity pravidel automatizace: Incidenty uzavřené automatizací, čas uložení automatizace a související stav playbooků.
  • Pod souhrnem graf shrnuje počet akcí prováděných automatizací podle typu akce.
  • Dole najdete počet aktivních pravidel automatizace s odkazem na okno automatizace.

Zobrazení stavu datových záznamů, kolektorů dat a analýzy hrozeb

V části Data uvidíte různé typy dat v datových záznamech, kolektorech dat a analýze hrozeb.

Snímek obrazovky s oddílem Data na stránce přehledu služby Microsoft Sentinel

  • Na levé straně graf zobrazuje počet záznamů, které Microsoft sentinelu shromážděných za posledních 24 hodin v porovnání s předchozími 24 hodinami, a anomálií zjištěných v daném časovém období.
  • V pravém horním rohu se zobrazí souhrn stavu datového konektoru vydělený konektory, které nejsou v pořádku a jsou aktivní. Konektory, které nejsou v pořádku , označují, kolik konektorů obsahuje chyby. Aktivní konektory jsou konektory se streamováním dat do Microsoft Sentinelu měřené dotazem zahrnutým v konektoru.
  • V pravém dolním rohu můžete vidět záznamy analýzy hrozeb ve službě Microsoft Sentinel podle indikátoru ohrožení zabezpečení.

Zobrazení analytických dat

V části Analýza se zobrazí data pro analytická pravidla.

Snímek obrazovky s oddílem Analýza na stránce přehledu služby Microsoft Sentinel

Ve službě Microsoft Sentinel se zobrazí počet analytických pravidel podle stavu povoleno, zakázáno nebo automaticky zakázáno.

Použití předdefinovaných sešitů

Integrované sešity poskytují integrovaná data z připojených zdrojů dat, abyste se mohli podrobněji ponořit do událostí vygenerovaných v těchto službách. Integrované sešity zahrnují Azure AD, události aktivit Azure a místní prostředí, což můžou být data z událostí Windows ze serverů, z upozornění první strany, od libovolné třetí strany, včetně protokolů provozu brány firewall, Office 365 a nezabezpečených protokolů založených na událostech Windows. Sešity jsou založené na sešitech služby Azure Monitor, aby vám poskytly lepší přizpůsobitelnost a flexibilitu při návrhu vlastního sešitu. Další informace najdete v tématu Sešity.

  1. V části Nastavení vyberte Sešity. V části Nainstalováno uvidíte všechny nainstalované sešity. V části Všechny se zobrazí celá galerie předdefinovaných sešitů dostupných k instalaci.
  2. Vyhledejte konkrétní sešit, abyste viděli celý seznam a popis toho, co každý z nich nabízí.
  3. Za předpokladu, že používáte Azure AD, doporučujeme nainstalovat alespoň následující sešity a začít používat Microsoft Sentinel:

    • Azure AD: Použijte jednu nebo obě z následujících možností:

      • Azure AD přihlášení analyzuje přihlášení v průběhu času a zjistí, jestli nedošlo k anomáliím. Tyto sešity poskytují neúspěšná přihlášení aplikací, zařízení a umístění, abyste si mohli na první pohled všimnout, že se stane něco neobvyklého. Věnujte pozornost několika neúspěšným přihlášením.
      • Azure AD protokoly auditu analyzují aktivity správce, jako jsou změny v uživatelích (přidání, odebrání atd.), vytváření skupin a úpravy.

    • Přidejte sešit pro bránu firewall. Přidejte například sešit Palo Alto. Sešit analyzuje provoz brány firewall, poskytuje korelace mezi daty brány firewall a událostmi hrozeb a zvýrazňuje podezřelé události napříč entitami. Sešity poskytují informace o trendech v provozu a umožňují přejít k podrobnostem a filtrovat výsledky.

      Řídicí panel Palo Alto

Sešity můžete přizpůsobit buď úpravou tlačítka upravit hlavní dotaz dotazu. Kliknutím na tlačítko Log Analytics přejděte do Log Analytics a tam můžete dotaz upravit. Můžete vybrat tři tečky (...) a vybrat Přizpůsobit data dlaždic, což vám umožní upravit filtr hlavního času nebo odebrat konkrétní dlaždice ze sešitu.

Další informace o práci s dotazy najdete v tématu Kurz: Vizuální data v Log Analytics.

Přidání nové dlaždice

Pokud chcete přidat novou dlaždici, můžete ji přidat do existujícího sešitu, buď do sešitu, který vytvoříte, nebo do integrovaného sešitu Microsoft Sentinel.

  1. V Log Analytics vytvořte dlaždici podle pokynů uvedených v kurzu: Vizuální data v Log Analytics.
  2. Po vytvoření dlaždice v části Připnout vyberte sešit, ve kterém se má dlaždice zobrazit.

Vytváření nových sešitů

Můžete vytvořit nový sešit úplně od začátku nebo použít předdefinovaný sešit jako základ nového sešitu.

  1. Pokud chcete vytvořit nový sešit úplně od začátku, vyberte Sešity a pak +Nový sešit.
  2. Vyberte předplatné, ve které je sešit vytvořený, a dejte mu popisný název. Každý sešit je prostředek Azure jako jakýkoli jiný a můžete mu přiřadit role (Azure RBAC) a definovat a omezit, kdo má přístup.
  3. Pokud chcete povolit, aby se vizualizace zobrazovala v sešitech a připnula k ní, musíte ji sdílet. Klikněte na Sdílet a pak na Spravovat uživatele.
  4. Použijte zkontrolovat přístup a přiřazení rolí stejně jako u jakéhokoli jiného prostředku Azure. Další informace najdete v tématu Sdílení sešitů Azure pomocí Azure RBAC.

Příklady nových sešitů

Následující ukázkový dotaz umožňuje porovnat trendy provozu v týdnech. Můžete snadno přepnout dodavatele zařízení a zdroj dat, na kterém dotaz spustíte. Tento příklad používá SecurityEvent z Windows. Můžete ho přepnout tak, aby běžel v AzureActivity nebo CommonSecurityLog v jakékoli jiné bráně firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Možná budete chtít vytvořit dotaz, který zahrnuje data z více zdrojů. Můžete vytvořit dotaz, který se podívá na protokoly auditu Azure Active Directory pro nové uživatele, kteří se právě vytvořili, a pak zkontroluje protokoly Azure a zjistí, jestli uživatel začal provádět změny přiřazení rolí během 24 hodin od vytvoření. Tato podezřelá aktivita by se zobrazila na tomto řídicím panelu:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Můžete vytvořit různé sešity na základě role osoby, která se dívá na data, a na tom, co hledá. Můžete například vytvořit sešit pro správce sítě, který obsahuje data brány firewall. Můžete také vytvářet sešity na základě toho, jak často se na ně chcete dívat, jestli některé položky chcete denně kontrolovat a další položky, které chcete zkontrolovat jednou za hodinu. Můžete třeba chtít každou hodinu hledat anomálie na svých Azure AD přihlášeních.

Vytváření nových detekcí

Vygenerujte detekce zdrojů dat, které jste připojili ke službě Microsoft Sentinel za účelem zkoumání hrozeb ve vaší organizaci.

Když vytvoříte novou detekci, využijte integrované detekce vytvořené odborníky na zabezpečení Microsoft, které jsou přizpůsobené zdrojům dat, které jste připojili.

Pokud chcete zobrazit všechny předdefinované detekce, přejděte do části Analýza a pak na Šablony pravidel. Tato karta obsahuje všechna předdefinována pravidla služby Microsoft Sentinel.

Hledání hrozeb pomocí Microsoft Sentinelu pomocí integrovaných detekcí

Další informace o tom, jak získat předem připravenou detekci, najdete v tématu Získání integrovaných analýz.

Další kroky

V tomto rychlém startu jste zjistili, jak začít používat Microsoft Sentinel. Pokračujte k článku , kde se dozvíte, jak detekovat hrozby.

Vytvořte vlastní pravidla detekce hrozeb pro automatizaci reakcí na hrozby.