Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinelu

Po připojení zdrojů dat ke službě Microsoft Sentinel můžete vizualizovat a monitorovat data pomocí sešitů v Microsoft Sentinelu. Sešity Služby Microsoft Sentinel jsou založené na sešitech služby Azure Monitor a přidávají tabulky a grafy s analýzou protokolů a dotazů do nástrojů, které jsou už dostupné v Azure.

Microsoft Sentinel umožňuje vytvářet vlastní sešity napříč vašimi daty nebo používat existující šablony sešitů dostupné s zabalenými řešeními nebo jako samostatný obsah z centra obsahu. Každý sešit je prostředek Azure jako jakýkoli jiný a můžete ho přiřadit pomocí řízení přístupu na základě role v Azure (RBAC), abyste mohli definovat a omezit, kdo má přístup.

Tento článek popisuje, jak vizualizovat data v Microsoft Sentinelu pomocí sešitů. Úpravy sešitů přímo na portálu Defender jsou ve verzi Preview.

Důležité

Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

• Ve skupině prostředků pracovního prostoru Microsoft Sentinelu musíte mít alespoň oprávnění čtenáře sešitu nebo přispěvatele sešitu.

  Sešity, které vidíte v Microsoft Sentinelu, se ukládají do skupiny prostředků pracovního prostoru Microsoft Sentinelu a jsou označené pracovním prostorem, ve kterém byly vytvořeny.

• Pokud chcete použít šablonu sešitu, nainstalujte řešení obsahující sešit nebo ho nainstalujte jako samostatnou položku z centra obsahu. Další informace najdete v tématu Objevování a správa předpřipraveného obsahu Microsoft Sentinelu.

• Pokud pracujete na portálu Defender s datovým zdrojem Azure Data Explorer, nezapomeňte nakonfigurovat a ověřit Azure Data Explorer přímo z portálu Defender.

Vytvoření sešitu ze šablony

K vytvoření sešitu použijte šablonu nainstalovanou z centra obsahu.

1. V Microsoft Sentinelu vyberte Sešity pro správu > hrozeb.

2. Na stránce Sešity vyberte kartu Šablony a zobrazte seznam nainstalovaných šablon sešitů. Výběrem šablony zobrazíte její podrobnosti.

   Některé sešity vyžadují k tomu, aby fungovaly, specifická datová připojení. Před uložením sešitu zkontrolujte pole Požadované datové typy a ujistěte se, že máte tento typ přijatých dat.

   Příklad:

   Portál Defender

   

   Azure Portal

   

3. V podokně podrobností vyberte Uložit a pak vyberte umístění, kam chcete sešit uložit. Tato akce vytvoří zdroj Azure ve vybraném umístění na základě příslušné šablony. V tomto umístění se uloží jen soubor JSON sešitu, nikoli data.

4. V podokně podrobností vyberte Zobrazit uložený sešit a otevřete ho pro úpravy.

5. Když je sešit otevřený, vyberte Upravit a upravte ho podle svých potřeb.

   Portál Defender

   

   Při práci na portálu Defender je možné některé vizualizace zobrazit jenom na webu Azure Portal. V takových případech vyberte Otevřít v Azure a otevřete sešit na webu Azure Portal.

   Azure Portal

   

   Vyberte například filtr TimeRange pro zobrazení dat pro jiný časový rozsah než aktuální výběr. Pokud chcete upravit konkrétní oblast sešitu, vyberte možnost Upravit nebo vyberte tři tečky (...) a přidejte prvky, přesuňte, naklonujte nebo odeberte oblast.

   Pokud chcete sešit naklonovat, vyberte Uložit jako. Uložte klon pod jiným názvem, ve stejném předplatném a stejné skupině prostředků. Klonované sešity se také zobrazují na kartě Moje sešity na stránce Sešity služby Microsoft Sentinel > pro správu hrozeb >.

6. Až budete hotovi, uložte provedené změny výběrem možnosti Hotovo úpravy .

Další informace naleznete v tématu:

• Vytváření interaktivních sestav pomocí sešitů služby Azure Monitor
• Kurz: Vizuální data v Log Analytics

Vytvoření nového sešitu

Vytvořte v Microsoft Sentinelu úplně od začátku sešit.

1. V Microsoft Sentinelu vyberte Sešity pro správu > hrozeb a pak vyberte Přidat sešit.

2. Pokud chcete sešit upravit, vyberte Upravit a podle potřeby přidejte text, dotazy a parametry.

   Další informace o tom, jak sešit přizpůsobit, najdete v tématu Vytváření interaktivních sestav pomocí sešitů služby Azure Monitor.

   

3. Při vytváření dotazu nastavte zdroj dat na protokoly a typ prostředku na Log Analytics a pak zvolte jeden nebo více pracovních prostorů.

   Doporučujeme, aby váš dotaz používal analyzátor ADVANCED Security Information Model (ASIM) a ne integrovanou tabulku. Dotaz pak bude podporovat jakýkoli aktuální nebo budoucí relevantní zdroj dat místo jednoho zdroje dat.

4. Až budete s úpravami hotovi, vyberte Úpravy Hotovo a pak Uložit. V bočním podokně zadejte smysluplný název sešitu a vyberte předplatné a skupinu prostředků pro váš pracovní prostor.

5. Při práci na webu Azure Portal můžete mezi sešity v pracovním prostoru přepínat výběrem ikony Otevřít Na panelu nástrojů libovolného sešitu. Obrazovka se přepne na seznam dalších sešitů, na které můžete přepnout.

   Vyberte sešit, který chcete otevřít:

   

Vytvořte nové dlaždice pro sešity

Pokud chcete přidat vlastní dlaždici do sešitu Microsoft Sentinelu, nejprve vytvořte dlaždici v Log Analytics. Další informace najdete v tématu Vizuální data v Log Analytics.

Jakmile vytvoříte dlaždici, vyberte Připnout a pak vyberte sešit, ve kterém se má dlaždice zobrazit.

Aktualizace dat sešitu

Aktualizujte sešit, aby se zobrazila aktualizovaná data. Na panelu nástrojů vyberte jednu z následujících možností:

• Aktualizujte data sešitu ručně.

• Automatická aktualizace, která nastaví sešit tak, aby se automaticky aktualizoval v nakonfigurovaným intervalu.

  • Podporované intervaly automatické aktualizace jsou v rozsahu od 5 minut do 1 dne.

  • Při úpravách sešitu se automatická aktualizace pozastaví a intervaly se restartují pokaždé, když přepnete zpět do režimu zobrazení z režimu úprav.

  • Intervaly automatické aktualizace se také restartují, pokud ručně aktualizujete data.

  Ve výchozím nastavení je automatická aktualizace vypnutá. Pokud jste zapnuli automatickou aktualizaci, je znovu vypnuta pokaždé, když poznámkový blok zavřete, abyste optimalizovali výkon a zabránili jejímu běhu na pozadí. Automatické aktualizace znovu zapněte podle potřeby při příštím otevření sešitu.

Tisk sešitu nebo uložení ve formátu PDF (jenom Azure Portal)

Pokud chcete sešit vytisknout nebo uložit jako PDF, použijte nabídku možností napravo od názvu sešitu. Tyto možnosti jsou dostupné jenom na webu Azure Portal. Pokud pracujete v portálu Defender, vyberte Otevřít v Azure pro otevření sešitu v portálu Azure.

1. Vyberte možnosti >Tisk obsahu.

2. Na obrazovce tisku upravte nastavení tisku podle potřeby nebo vyberte Uložit jako PDF a uložte ho místně.

   Příklad:

   

Odstranění jednoho nebo více sešitů

Uložené šablony i přizpůsobené sešity můžete odstranit na kartě Moje sešity . Samotné šablony nelze odstranit.

Pokud chcete sešit odstranit, vyberte ho na kartě Moje sešity a pak vyberte Odstranit. Tato akce odebere prostředek sešitu a všechny změny, které jste provedli na šabloně. Původní šablona zůstane k dispozici.

Doporučení pracovního sešitu

Tato část popisuje základní doporučení, která máme pro používání sešitů s Microsoft Sentinelem.

Přidejte sešity Microsoft Entra ID

Pokud používáte Microsoft Entra ID se službou Microsoft Sentinel, doporučujeme nainstalovat řešení Microsoft Entra pro Microsoft Sentinel a použít následující sešity:

• Přihlášení Microsoft Entra analyzuje přihlášení v průběhu času a zjistí, jestli existují anomálie. Tento sešit poskytuje záznamy o neúspěšných přihlášeních podle aplikací, zařízení a umístění, abyste na první pohled viděli, zda se děje něco neobvyklého. Věnujte pozornost několika neúspěšným přihlášením.
• Protokoly auditu Microsoft Entra analyzují aktivity správců, jako jsou změny uživatelů (přidání, odebrání atd.), vytváření skupin a úpravy.

Přidejte sešity brány firewall

Doporučujeme nainstalovat příslušné řešení z centra obsahu a přidat sešit pro bránu firewall.

Jako příklad nainstalujte řešení brány firewall Palo Alto pro Microsoft Sentinel, chcete-li přidat sešity Palo Alto. Sešity analyzují provoz brány firewall a poskytují korelace mezi daty brány firewall a událostmi hrozeb a zvýrazňují podezřelé události napříč entitami.

Vytvoření různých sešitů pro různá použití

Doporučujeme vytvořit různé vizualizace pro jednotlivé typy osob, které používají sešity na základě role osoby a toho, co hledá. Můžete například vytvořit sešit pro správce sítě, který obsahuje data brány firewall.

Případně můžete vytvářet sešity podle toho, jak často se na ně chcete dívat, zda chcete denně kontrolovat některé věci, a jiné každou hodinu. Například se můžete chtít každou hodinu podívat na přihlášení do služby Microsoft Entra a hledat anomálie.

Ukázkový dotaz pro porovnání trendů provozu v týdnech

Pomocí následujícího dotazu vytvořte vizualizaci, která porovnává trendy provozu za několik týdnů. V závislosti na vašem prostředí přepněte dodavatele zařízení a zdroj dat, na který dotaz spouštíte.

Následující ukázkový dotaz používá tabulku SecurityEvent z Windows. Možná ho budete chtít přepnout tak, aby běžel v tabulce AzureActivity nebo CommonSecurityLog v jakékoli jiné bráně firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Ukázkový dotaz s daty z více zdrojů

Můžete chtít vytvořit dotaz, který bude obsahovat data z více zdrojů. Vytvořte například dotaz, který se podívá na protokoly auditu Microsoft Entra pro nové uživatele, které byly vytvořeny, a pak zkontroluje protokoly Azure, aby zjistili, jestli uživatel začal provádět změny přiřazení rolí do 24 hodin od vytvoření. Tato podezřelá aktivita se zobrazí ve vizualizaci s následujícím dotazem:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Další informace o následujících položkách použitých v předchozích příkladech najdete v dokumentaci Kusto:

• where – operátor
• extend – operátor
• operátor projektu
• operátor project-away
• operátor 'join'
• Operátor summarize
• ago() funkce
• bin() funkce
• iff() funkce
• tostring()
• agregační funkce count()

Další informace o KQL naleznete v přehledu jazyka Kusto Query Language (KQL).

Další zdroje informací:

• Stručná referenční dokumentace k jazyku KQL
• Výukové materiály k dotazovacímu jazyku Kusto

Známé problémy s úpravou sešitů na portálu Defender (Preview)

Úpravy sešitů přímo na portálu Defender jsou aktuálně ve verzi Preview a aktuálně obsahují následující známé problémy:

• Rozšířený editor se může zobrazit v světlém režimu, i když je portál nastavený na tmavý režim.
• Vlastní data koncových bodů nejsou podporována pro úpravy sešitů na portálu Defender.
• Sešity v sešitech nejsou podporované pro úpravy na portálu Defender.
• Sdílení jen pro čtení není podporováno pro sešity na portálu Defender.
• Diagramy Mermaid nejsou podporované pro úpravy sešitů v portálu Defender.

Související články

Další informace naleznete v tématu:

• Běžně používané pracovní sešity Microsoft Sentinel

• Sešity Azure Monitoru