Teilen über

Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel

  • Artikel
  • Gilt für:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nachdem Sie Ihre Datenquellen mit Microsoft Sentinel verbunden haben, visualisieren und überwachen Sie die Daten mithilfe von Arbeitsmappen in Microsoft Sentinel. Microsoft Sentinel-Arbeitsmappen basieren auf Azure Monitor-Arbeitsmappen und fügen Tabellen und Diagramme mit Analysen für Ihre Protokolle und Abfragen zu den Tools hinzu, die bereits in Azure verfügbar sind.

Mit Microsoft Sentinel können Sie benutzerdefinierte Arbeitsmappen für Ihre Daten erstellen oder vorhandene Arbeitsmappenvorlagen verwenden, die als Teil von paketierten Lösungen oder als eigenständiger Inhalt aus dem Inhaltshub verfügbar sind. Jede Arbeitsmappe ist eine Azure-Ressource wie jede andere, und Sie können sie mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure zuweisen, um zu definieren und einzuschränken, wer darauf zugreifen darf.

Dieser Artikel beschreibt, wie Sie Ihre Daten in Microsoft Sentinel mit Arbeitsmappen visualisieren können.

Wichtig

Microsoft Sentinel ist als Teil der vereinheitlichten Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Verwendung in der Produktion unterstützt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

  • Sie müssen mindestens über die Berechtigungen Arbeitsmappenleser oder Arbeitsmappenmitarbeiter in der Ressourcengruppe des Microsoft Sentinel-Arbeitsbereichs verfügen.

    Die Arbeitsmappen, die Sie in Microsoft Sentinel sehen, werden in der Ressourcengruppe des Microsoft Sentinel-Arbeitsbereichs gespeichert und sind mit dem Arbeitsbereich gekennzeichnet, in dem sie erstellt wurden.

  • Um eine Arbeitsmappenvorlage zu verwenden, installieren Sie die Lösung, die die Arbeitsmappe enthält, oder installieren Sie die Arbeitsmappe als eigenständiges Element aus dem Content Hub. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.

Erstellen einer Arbeitsmappe aus einer Vorlage

Verwenden Sie eine Vorlage, die über den Inhaltshub installiert wurde, um eine Arbeitsmappe zu erstellen.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Arbeitsmappen aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Arbeitsmappen aus.

  2. Wechseln Sie zu Arbeitsmappen, und wählen Sie dann Vorlagen aus, um die vollständige Liste der installierten Arbeitsmappenvorlagen anzuzeigen.

    Wenn Sie sehen möchten, welche Vorlagen für die verbundenen Datentypen relevant sind, überprüfen Sie das Feld Erforderlichen Datentypen in jeder Arbeitsmappe, sofern verfügbar.

  3. Wählen Sie Speichern aus dem Detailbereich der Vorlage und den Speicherort aus, an dem Sie die JSON-Datei für die Vorlage speichern möchten. Durch diese Aktion wird eine Azure-Ressource erstellt, die auf der relevanten Vorlage basiert, und die JSON-Datei der Arbeitsmappe, nicht die Daten, wird gespeichert.

  4. Wählen Sie im Detailbereich der Vorlage Gespeicherte Arbeitsmappe anzeigen aus.

  5. Wählen Sie auf der Symbolleiste der Arbeitsmappe die Schaltfläche Bearbeiten aus, um die Arbeitsmappe entsprechend Ihren Anforderungen anzupassen.

    Screenshot der gespeicherten Arbeitsmappe.

    Wählen Sie z. B. den Filter TimeRange aus, um Daten für einen anderen Zeitbereich als die aktuelle Auswahl anzuzeigen. Um einen bestimmten Arbeitsmappenbereich zu bearbeiten, wählen Sie entweder Bearbeiten aus, oder wählen Sie die Auslassungspunkte (...) aus, um Elemente hinzuzufügen oder den Bereich zu verschieben, zu klonen oder zu entfernen.

    Um Ihre Arbeitsmappe zu klonen, wählen Sie Speichern unter aus. Speichern Sie den Klon unter einem anderen Namen im selben Abonnement und in derselben Ressourcengruppe. Geklonte Arbeitsmappen werden auf der Registerkarte My workbooks (Meine Arbeitsmappen) angezeigt.

  6. Wenn Sie fertig sind, wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

Weitere Informationen finden Sie unter:

Erstellen einer neuen Arbeitsmappe

Erstellen Sie in Microsoft Sentinel eine Arbeitsmappe von Grund auf neu.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Arbeitsmappen aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Arbeitsmappen aus.

  2. Wählen Sie Arbeitsmappe hinzufügen aus.

  3. Um die Arbeitsmappe zu bearbeiten, wählen Sie Edit (Bearbeiten) aus, und fügen Sie dann nach Bedarf Text, Abfragen und Parameter hinzu. Weitere Informationen zum Anpassen der Arbeitsmappe finden Sie unter Erstellen interaktiver Berichte mit Azure Monitor-Arbeitsmappen.

    Screenshot: Neue Arbeitsmappe.

  4. Legen Sie beim Erstellen einer Abfrage die Datenquelle auf Protokolle und Ressourcentyp auf Log Analytics fest, und wählen Sie dann einen oder mehrere Arbeitsbereiche aus.

    Es wird empfohlen, dass Ihre Abfrage einen ASIM-Parser (Advanced Security Information Model) und keine integrierte Tabelle verwendet. Die Abfrage unterstützt dann alle aktuellen oder zukünftigen relevanten Datenquellen statt einer einzelnen Datenquelle.

  5. Nachdem Sie Ihre Arbeitsmappe erstellt haben, speichern Sie sie unter dem Abonnement und der Ressourcengruppe Ihres Microsoft Sentinel-Arbeitsbereichs.

  6. Wenn Sie möchten, dass andere Personen in Ihrer Organisation die Arbeitsmappe verwenden, wählen Sie unter Save to (Speichern in) die Option Shared reports (Freigegebene Berichte) aus. Wenn Sie möchten, dass diese Arbeitsmappe nur für Sie verfügbar ist, wählen Sie My reports (Meine Berichte) aus.

  7. Um zwischen Arbeitsmappen in Ihrem Arbeitsbereich zu wechseln, klicken Sie auf der Symbolleiste einer beliebigen Arbeitsmappe auf ÖffnenSymbol zum Öffnen einer Arbeitsmappe. Der Bildschirm wechselt zu einer Liste von anderen Arbeitsmappen, zu denen Sie wechseln können.

    Öffnen Sie die Arbeitsmappe, die Sie aktualisieren möchten:

    Arbeitsmappen wechseln.

Erstellen neuer Kacheln für Ihre Arbeitsmappen

Um einer Microsoft Sentinel-Arbeitsmappe eine benutzerdefinierte Kachel hinzuzufügen, erstellen Sie die Kachel zuerst in Log Analytics. Weitere Informationen finden Sie unter Visuelle Daten in Log Analytics.

Nachdem Sie eine Kachel erstellt haben, wählen Sie Anheften und dann die Arbeitsmappe aus, in der die Kachel angezeigt werden soll.

Aktualisieren Sie Ihre Arbeitsmappendaten

Aktualisieren Sie die Arbeitsmappe, um aktualisierte Daten anzuzeigen. Wählen Sie in der Symbolleiste eine der folgenden Optionen aus:

  • Aktualisieren, um die Arbeitsmappendaten manuell zu aktualisieren

  • Automatische Aktualisierung, um die automatische Aktualisierung der Arbeitsmappe in einem konfigurierten Intervall festzulegen

    • Die unterstützten Aktualisierungsintervalle reichen von 5 Minuten bis zu 1 Tag.

    • Die automatische Aktualisierung wird angehalten, während Sie eine Arbeitsmappe bearbeiten, und die Intervalle werden jedes Mal neu gestartet, wenn Sie vom Bearbeitungsmodus zurück in den Ansichtsmodus wechseln.

    • Automatische Aktualisierungsintervalle werden ebenfalls neu gestartet, wenn Sie Ihre Daten manuell aktualisieren.

    Die automatische Aktualisierung ist standardmäßig deaktiviert. Um die Leistung zu optimieren, wird die automatische Aktualisierung jedes Mal deaktiviert, wenn Sie eine Arbeitsmappe schließen. Sie wird nicht im Hintergrund ausgeführt. Aktivieren Sie die automatische Aktualisierung ggf. wieder, wenn Sie die Arbeitsmappe das nächste Mal öffnen.

Verwenden Sie das Optionsmenü rechts neben dem Titel der Arbeitsmappe, um eine Arbeitsmappe zu drucken oder als PDF zu speichern.

  1. Klicken Sie auf das Optionsmenü >Inhalt drucken.

  2. Passen Sie bei Bedarf die Druckeinstellungen auf der entsprechenden Seite an, oder klicken Sie auf Save as PDF( Als PDF speichern), um die Datei lokal zu speichern.

    Zum Beispiel:

    Screenshot, der zeigt, wie Sie Ihre Arbeitsmappe drucken oder als PDF speichern können.

Löschen von Arbeitsmappen

Um eine gespeicherte Arbeitsmappe (entweder eine gespeicherte Vorlage oder eine angepasste Arbeitsmappe) zu löschen, wählen Sie diese aus, und wählen Sie Löschen aus. Durch diese Aktion wird die gespeicherte Arbeitsmappe entfernt. Außerdem werden die Arbeitsmappenressource und alle Änderungen, die Sie an der Vorlage vorgenommen haben, entfernt. Die ursprüngliche Vorlage bleibt verfügbar.

Arbeitsmappenempfehlungen

In diesem Abschnitt werden unsere grundlegenden Empfehlungen für die Verwendung von Microsoft Sentinel-Arbeitsmappen besprochen.

Microsoft Entra ID-Workbooks hinzufügen

Wenn Sie Microsoft Entra ID mit Microsoft Sentinel verwenden, empfehlen wir Ihnen, die Microsoft Entra-Lösung für Microsoft Sentinel zu installieren und die folgenden Arbeitsmappen zu verwenden:

  • Microsoft Entra-Anmeldungen analysieren Anmeldungen im Zeitverlauf, um auf Anomalien zu überprüfen. In dieser Arbeitsmappe werden fehlgeschlagene Anmeldungen nach Anwendungen, Geräten und Orten sortiert angezeigt, sodass Sie auf einen Blick sehen können, ob etwas Ungewöhnliches geschieht. Achten Sie besonders auf mehrmals fehlgeschlagene Anmeldungen.
  • Microsoft Entra-Überwachungsprotokolle analysieren Administratoraktivitäten, z. B. Änderungen von Benutzern (Hinzufügen, Entfernen usw.), die Erstellung von Gruppen und andere Änderungen.

Hinzufügen von Firewall-Arbeitsmappen

Wir empfehlen Ihnen, die entsprechende Lösung über den Inhaltshub zu installieren, um eine Arbeitsmappe für Ihre Firewall hinzuzufügen.

Installieren Sie beispielsweise die Palo Alto-Firewalllösung für Microsoft Sentinel, um die Palo Alto-Arbeitsmappen hinzuzufügen. Die Arbeitsmappen analysieren Ihren Firewalldatenverkehr, zeigen Korrelationen zwischen Ihren Firewalldaten und Bedrohungsereignissen auf und heben verdächtige Ereignisse entitätsübergreifend hervor.

Screenshot der Palo Alto-Arbeitsmappe.

Erstellen unterschiedlicher Arbeitsmappen für unterschiedliche Zwecke

Wir empfehlen, unterschiedliche Visualisierungen für jeden Personatyp zu erstellen, der Arbeitsmappen verwendet, basierend auf der Rolle der Persona und dem, wonach sie suchen. Beispiel: Erstellen Sie eine Arbeitsmappe für Ihren Netzwerkadministrator erstellen, die Firewalldaten enthält.

Alternativ können Sie Arbeitsmappen basierend darauf erstellen, wie häufig Sie diese betrachten möchten, ob es Dinge gibt, die Sie täglich überprüfen möchten, und andere Elemente, die Sie einmal pro Stunde überprüfen möchten. Sie möchten beispielsweise jede Stunde Ihre Microsoft Entra-Anmeldungen anzeigen, um nach Anomalien zu suchen.

Verwenden Sie die folgende Abfrage, um eine Visualisierung zu erstellen, die Datenverkehrstrends über Wochen hinweg vergleicht. Wechseln Sie je nach Umgebung den Geräteanbieter und die Datenquelle, auf der Sie die Abfrage ausführen.

Die folgende Beispielabfrage verwendet die SecurityEvent-Tabelle aus Windows. Möglicherweise möchten Sie dies umstellen, um auf der AzureActivity- oder CommonSecurityLog-Tabelle auf einer anderen Firewall ausgeführt zu werden.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Beispielabfrage mit Daten aus mehreren Quellen

Möglicherweise möchten Sie eine Abfrage erstellen, die Daten aus mehreren Quellen umfasst. Beispiel: Erstellen Sie eine Abfrage, die in Microsoft Entra-Überwachungsprotokollen nach neuen Benutzern sucht und dann in Ihren Azure-Protokollen überprüft, ob der jeweilige Benutzer innerhalb von 24 Stunden nach der Erstellung begonnen hat, Änderungen an Rollenzuweisungen vorzunehmen. Diese verdächtige Aktivität würde in einer Visualisierung mit der folgenden Abfrage auftauchen:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Weitere Informationen finden Sie unter: