Monitorování a vizualizace dat

  • 5 min

Protokoly Služby Microsoft Sentinel poskytují přístup k různým protokolům shromážděným z konektorů zabezpečení. Microsoft Sentinel tyto protokoly shromažďuje z integrovaných konektorů a ukládá je do pracovního prostoru Služby Azure Log Analytics.

Pracovní prostor služby Log Analytics

Pracovní prostor Log Analytics je úložiště, ve kterém jsou uložena data a informace o konfiguraci. Můžete vytvářet dotazy filtrující důležité informace, které pak můžete použít k vytvoření pravidel analýzy a rozpoznání hrozeb. Protokoly Microsoft Sentinelu můžete například použít k vyhledávání dat z více zdrojů, agregaci velkých datových sad a provádění složitých operací za účelem vyhledání potenciálních bezpečnostních hrozeb a ohrožení zabezpečení.

Seznámení se stránkou protokolů Microsoft Sentinelu

Konkrétní protokoly můžete vyhledat na stránce Protokoly služby Microsoft Sentinel. Zobrazte stránku tak, že v navigačním podokně v Microsoft Sentinelu vyberete Protokoly .

Stránka Protokoly má tyto hlavní části:

  • Záhlaví stránky obsahuje odkazy na oddíl Dotazy, nastavení a nápovědu.
  • V podokně Tabulky se v tabulkách zobrazují shromážděná data z protokolů, z nichž každá obsahuje několik sloupců.
  • Podokno dotazu je místo, kam píšete vlastní výrazy dotazů.
  • V podokně výsledků dotazu se zobrazí výsledky vašich dotazů.

Screenshot of the default Logs page that shows four elements: the Header bar, the Tables pane, the Queries pane, and the Query results/history pane.

Dotazy

Když vyberete odkaz Dotazy v záhlaví stránky, otevře se nové okno, kde můžete vybrat některý z předdefinovaných ukázkových dotazů. V rozevírací nabídce Dotazy můžete tyto dotazy filtrovat podle následujících atributů:

  • Kategorie
  • Typ dotazu
  • Typ prostředku
  • Řešení
  • Téma

Výběrem možnosti Spustit spustíte předdefinovaný dotaz. Tato akce vás přesměruje do podokna dotazu. Můžete sledovat strukturu dotazu a výsledky. Pokud chcete vyřešit problém společnosti Contoso s neoprávněnými uživateli, spusťte předdefinovaný dotaz Neautorizovaní uživatelé.

Screenshot that presents unauthorized users.

Průzkumník dotazů

Pomocí Průzkumníka dotazů můžete získat přístup k dříve uloženým dotazům. Můžete také získat přístup k některým Dotazy řešení, které v podstatě filtrují nejběžnější dotazy použitelné k filtrování dat. V seznamu Dotazy řešení můžete buď spustit dotaz, nebo ho vybráním symbolu hvězdičky přiřadit do části Oblíbené položky.

Podokno Tabulky

Podokno Tabulky seskupí protokoly z různých řešení do tabulek. Skupinu řešení můžete rozbalit a prohlédnout si všechny shromažďované protokoly. Můžete také vybrat jeden z protokolů z podokna tabulek. Můžete zobrazit náhled dat nebo přidat tento protokol do oddílu Oblíbené .

Následující snímek obrazovky zobrazuje protokoly shromážděné v řešení Microsoft Sentinel.

Screenshot displaying the Tables view.

Podokno Dotazy

Pomocí podokna Dotazy můžete vytvářet dotazy, které načítají data na základě zadaného výrazu. Podokno Dotazy vám pomůže napsat přesný dotaz tím, že poskytne návrhy a automaticky vyplní očekávané prvky dotazu.

Využijte možnosti jazyka KQL (Kusto Query Language) k zápisu dotazu, který načte data z protokolů. Následující příklad ukazuje, jak použít kód KQL v dotazech k identifikaci odstraněných virtuálních počítačů.

AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

Panel nástrojů v záhlaví

Panel nástrojů záhlaví poskytuje větší interakci s dotazem, jak je znázorněno na následujícím snímku obrazovky.

Screenshot of the header toolbar, with options described in the text following the image.

  • Dotaz uložte z podokna Dotaz vybráním Uložit. Tato akce otevře nové okno, ve kterém se zobrazí výzva k zadání názvu uloženého dotazu a kategorie. Uložené dotazy se zobrazí v Průzkumníku dotazů.

  • V poli Časový rozsah můžete zadat jiný čas a změnit rozsah času, pro který chcete zobrazit výsledky dotazu.

  • Výběrem Zkopírovat odkaz na dotaz můžete vytvořit odkaz na dotaz a sdílet ho s ostatními členy týmu. Text dotazu můžete také zkopírovat.

  • Na panelu nástrojů záhlaví v podokně Dotaz můžete vytvořit upozornění Služby Azure Monitor nebo Nové upozornění služby Microsoft Sentinel. Pokud se rozhodnete vytvořit nové upozornění služby Microsoft Sentinel, budete přesměrováni na další kroky pro vytvoření analytického pravidla.

  • Vyexportujte dotaz do jednoho z následujících formátů:

    • Exportovat do souboru CSV. Exportujte všechny sloupce, viditelné i skryté, do souboru CSV, který můžete otevřít v Microsoft Excelu.
    • Exportovat do CSV – Zobrazené sloupce. Exportujte pouze sloupce zobrazené v oknech výsledků dotazu.
    • Exportovat do Power BI (dotaz M). Vytvořte a stáhněte soubor PowerBIQuery.txt , který můžete otevřít v aplikaci Microsoft Power BI.

    Výsledky dotazu můžete připnout na soukromý nebo sdílený řídicí panel, abyste mohli rychle prohlížet výsledky dotazu.

  • Pomocí příkazu Formátovat dotaz na panelu nástrojů v záhlaví můžete udělat dotaz čitelnější.

Poznámka:

Dotaz můžete exportovat nebo připnout pouze v případě, že výraz dotazu generuje data v oddílu výsledek dotazu.

Výsledky dotazu

V části Výsledky můžete sledovat výsledky dotazu. Výsledky můžete také prezentovat pomocí grafu nebo skrýt a zobrazit další sloupce pro filtrování výsledků dotazu.

Prověřte si své znalosti

1.

Správce chce otevřít dříve uložený dotaz. Kterou z následujících možností musí správce vybrat po otevření stránky Protokoly v Microsoft Sentinelu?

2.

Správce chce z vytvořeného dotazu vytvořit pravidlo analýzy. Jakou možnost z podokna dotazů má správce vybrat?