Visualisoi ja valvo tietojasi käyttämällä työkirjoja Microsoft Sentinel

Kun olet yhdistänut tietolähteet Microsoft Sentinel, visualisoi ja valvo tietoja työkirjojen avulla Microsoft Sentinel. Microsoft Sentinel työkirjat perustuvat Azure Työkirjojen valvontaan ja lisäävät taulukoita ja kaavioita, joissa on analyysia lokeillesi ja kyselyillesi, työkaluihin, jotka ovat jo käytettävissä Azure.

Microsoft Sentinel avulla voit luoda mukautettuja työkirjoja tiedoistasi tai käyttää olemassa olevia työkirjamalleja, jotka ovat käytettävissä paketoitujen ratkaisujen kanssa tai sisältökeskuksen erillisenä sisältönä. Jokainen työkirja on Azure resurssi, kuten mikä tahansa muu, ja voit määrittää sen roolipohjaisella Azure käyttöoikeuksien hallinnalla (RBAC), jolla voit määrittää ja rajoittaa käyttäjien käyttöoikeuksia.

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Ennakkovaatimukset

• Sinulla on oltava vähintään työkirjan lukijan tai työkirjan osallistujan oikeudet Microsoft Sentinel työtilan resurssiryhmään.

  Microsoft Sentinel näkyvät työkirjat tallennetaan Microsoft Sentinel työtilan resurssiryhmään, ja ne on merkitty työtilassa, jossa ne on luotu.

• Jos haluat käyttää työkirjamallia, asenna työkirjan sisältävä ratkaisu tai asenna työkirja erillisenä kohteena sisältökeskuksesta. Lisätietoja on ohjeaiheessa Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta.

• Jos käytät Defender-portaalissa Azure Data Explorer-tietolähdettä, varmista, että määrität Azure Data Explorer ja todennat sen Defender-portaalista.

Luo työkirja mallista

Luo työkirja sisältökeskuksesta asennetun mallin avulla.

1. Valitse Microsoft Sentinel Uhkien hallintaTyökirjat>.

2. Valitse Työkirjat-sivullaMallit-välilehti , niin näkyviin tulee luettelo asennetuista työkirjamalleista. Valitse malli, jos haluat tarkastella sen tietoja.

   Jotkin työkirjat edellyttävät tiettyjä tietoyhteyksiä toimiakseen. Ennen kuin tallennat työkirjan, tarkista Pakolliset tietotyypit -kenttä ja varmista, että kyseiseen tietotyyppiin on liitetty tietoja.

   Esimerkki:

   Defender-portaali

   

   Azure-portaali

   

3. Valitse tietoruudusta Tallenna ja valitse sitten sijainti, johon haluat tallentaa työkirjan. Tämä toiminto luo Azure resurssin valittuun sijaintiin asianmukaisen mallin perusteella. Vain työkirjan JSON-tiedosto tallennetaan tähän sijaintiin, mutta ei tietoja.

4. Valitse tiedot-ruudussa Näytä tallennettu työkirja , jolloin se avautuu muokattavaksi.

5. Kun työkirja on avoinna, valitse Muokkaa , jos haluat mukauttaa työkirjaa tarpeittesi mukaan.

   Defender-portaali

   

   Kun työskentelet Defender-portaalissa, joitakin visualisointeja voi tarkastella vain Azure-portaali. Tällaisissa tapauksissa avaa työkirja Azure-portaali valitsemalla Avaa Azure.

   Azure-portaali

   

   Valitse esimerkiksi TimeRange-suodatin , jos haluat tarkastella tietoja, jotka ovat eri aika-alueella kuin nykyinen valinta. Jos haluat muokata tiettyä työkirja-aluetta, valitse Muokkaa tai valitse kolme pistettä (...), jos haluat lisätä elementtejä, tai siirrä, kloonaa tai poista alue.

   Kloonaa työkirja valitsemalla Tallenna nimellä. Tallenna klooni toisella nimellä samaan tilaukseen ja resurssiryhmään. Kloonatut työkirjat näkyvät myös Omat työkirjat -välilehdellä uhkien hallinnan > Työkirjat Microsoft Sentinel-sivulla>.

6. Kun olet valmis, tallenna muutokset valitsemalla Valmis muokkaaminen .

Lisätietoja on seuraavissa artikkeleissa:

• Vuorovaikutteisten raporttien luominen Azure työkirjojen valvonta
• Opetusohjelma: Visuaaliset tiedot Log Analyticsissa

Luo uusi työkirja

Luo työkirja alusta alkaen Microsoft Sentinel.

1. Valitse Microsoft Sentinel Uhkien hallintaTyökirjat >ja valitse sitten Lisää työkirja.

2. Jos haluat muokata työkirjaa, valitse Muokkaa ja lisää sitten tekstiä, kyselyitä ja parametreja tarpeen mukaan.

   Lisätietoja työkirjan mukauttamisesta on artikkelissa Vuorovaikutteisten raporttien luominen Azure työkirjojen valvonta.

   

3. Kun luot kyselyä, määritä tietolähteeksiLokit ja ResurssityyppiLokianalyysi ja valitse sitten yksi tai useampi työtila.

   Suosittelemme, että kysely käyttää ASIM (Advanced Security Information Model) -jäsennintä , ei sisäistä taulukkoa. Kysely tukee sitten mitä tahansa nykyistä tai tulevaa olennaista tietolähdettä yksittäisen tietolähteen sijaan.

4. Kun olet tehnyt haluamasi muokkaukset, valitse Valmis muokkaaminen ja sitten Tallenna. Kirjoita sivuruutuun työkirjalle merkityksellinen nimi ja valitse työtilasi tilaus ja resurssiryhmä.

5. Kun käsittelet Azure-portaali, siirry työtilan työkirjojen välillä valitsemalla Avaa Voit tehdä tämän minkä tahansa työkirjan työkalurivillä. Näyttö vaihtaa muiden työkirjojen luetteloon, jonka voit vaihtaa.

   Valitse työkirja, jonka haluat avata:

   

Luo uusia ruutuja työkirjoihin

Jos haluat lisätä mukautetun ruudun Microsoft Sentinel työkirjaan, luo ruutu ensin Log Analyticsissa. Lisätietoja on artikkelissa Visuaaliset tiedot Log Analyticsissa.

Kun olet luonut ruudun, valitse Kiinnitä ja valitse sitten työkirja, jossa haluat ruudun näkyvän.

Työkirjan tietojen päivittäminen

Päivitä työkirja, jotta näet päivitetyt tiedot. Valitse työkalurivillä jokin seuraavista vaihtoehdoista:

• Päivitä työkirjan tiedot manuaalisesti päivittämistä varten.

• Automaattinen päivitys, jotta työkirja päivittyy automaattisesti määritetyllä aikavälillä.

  • Tuetut automaattisen päivityksen välit vaihtelevat 5 minuutista1 päivään.

  • Automaattinen päivitys on keskeytetty työkirjaa muokatessasi, ja välit käynnistetään uudelleen aina, kun vaihdat takaisin tarkastelutilaan muokkaustilasta.

  • Automaattisen päivityksen välit käynnistetään uudelleen myös, jos päivität tiedot manuaalisesti.

  Automaattinen päivitys on oletusarvoisesti poistettu käytöstä. Jos olet ottanut automaattisen päivityksen käyttöön, se poistetaan käytöstä aina, kun suljet muistikirjan, jotta se voidaan optimoida ja se ei toimi taustalla. Ota automaattinen päivitys uudelleen käyttöön tarpeen mukaan, kun avaat työkirjan seuraavan kerran.

Tulosta työkirja tai tallenna PDF-tiedostona (vain Azure-portaali)

Jos haluat tulostaa työkirjan tai tallentaa sen PDF-tiedostona, käytä työkirjan otsikon oikealla puolella olevaa asetusvalikkoa. Nämä asetukset ovat käytettävissä vain Azure-portaali. Jos työskentelet Defender-portaalissa, avaa työkirja Azure-portaali valitsemalla Avaa Azure.

1. Valitse asetukset >Tulosta sisältö.

2. Säädä tulostusasetuksia tarvittaessa tulostusnäytössä tai tallenna ne paikallisesti valitsemalla Tallenna PDF-tiedostona .

   Esimerkki:

   

Poista yksi tai useampi työkirja

Voit poistaa sekä tallennetut mallit että mukautetut työkirjat Omat työkirjat -välilehdestä. Itse malleja ei voi poistaa.

Jos haluat poistaa työkirjan, valitse työkirja Omat työkirjat -välilehdestä ja valitse sitten Poista. Tämä toiminto poistaa työkirjaresurssin ja malliin tekemäsi muutokset. Alkuperäinen malli on edelleen käytettävissä.

Työkirjasuositukset

Tässä osiossa tarkastellaan perussuosituksia, joita meillä on työkirjojen käyttämisestä Microsoft Sentinel kanssa.

Lisää Microsoft Entra ID työkirjoja

Jos käytät Microsoft Entra ID Microsoft Sentinel kanssa, suosittelemme asentamaan Microsoft Entra-ratkaisun Microsoft Sentinel ja käyttämään seuraavia työkirjoja:

• Microsoft Entra kirjautumiset analysoivat kirjautumisia ajan mittaan nähdäkseen, onko poikkeamia. Tämä työkirja sisältää sovellusten, laitteiden ja sijaintien epäonnistuneet kirjautumiset, jotta näet yhdellä silmäyksellä, tapahtuuko jotain epätavallista. Kiinnitä huomiota useisiin epäonnistuneihin kirjautumisiin.
• Microsoft Entra valvontalokeissa analysoidaan järjestelmänvalvojan toimia, kuten käyttäjien muutoksia (lisää, poista jne.), ryhmän luomista ja muokkauksia.

Lisää palomuurityökirjoja

Suosittelemme asentamaan asianmukaisen ratkaisun sisältökeskuksesta työkirjan lisäämiseksi palomuuriasi varten.

Asenna esimerkiksi Palo Alto -palomuuriratkaisu Microsoft Sentinel Palo Alto -työkirjojen lisäämiseksi. Työkirjat analysoivat palomuurin liikennettä, tarjoavat korrelaatioita palomuuritietoihisi ja uhkatapahtumiin sekä korostavat epäilyttäviä tapahtumia entiteeteissä.

Eri työkirjojen luominen eri käyttötarkoituksiin

Suosittelemme luomaan erilaisia visualisointeja kullekin työkirjaa käyttävälle persoonatyypille henkilön roolin ja sen perusteella, mitä he etsivät. Voit esimerkiksi luoda verkon järjestelmänvalvojalle työkirjan, joka sisältää palomuuritiedot.

Vaihtoehtoisesti voit luoda työkirjoja sen mukaan, kuinka usein haluat tarkastella niitä, haluatko tarkastella niitä päivittäin, ja muiden kohteiden perusteella, jotka haluat tarkistaa kerran tunnissa. Saatat esimerkiksi haluta tarkastella Microsoft Entra kirjautumisia tunnin välein poikkeamien etsimiseksi.

Esimerkkikysely, jonka avulla voit vertailla liikenteen trendejä viikkojen välillä

Seuraavan kyselyn avulla voit luoda visualisoinnin, joka vertaa liikenteen trendejä viikkojen välillä. Vaihda laitteen toimittajaa ja tietolähdettä, jossa suoritat kyselyn ympäristösi mukaan.

Seuraavassa mallikyselyssä käytetään Windowsin SecurityEvent-taulukkoa . Haluat ehkä vaihtaa sen suoritettavaksi AzureActivity - tai CommonSecurityLog-taulukossa missä tahansa muussa palomuurissa.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Esimerkkikysely, joka sisältää tietoja useista lähteistä

Haluat ehkä luoda kyselyn, joka sisältää tietoja useista lähteistä. Voit esimerkiksi luoda kyselyn, joka tarkastelee luotujen uusien käyttäjien Microsoft Entra valvontalokeja, ja tarkistaa sitten Azure lokitiedostoista, alkoiko käyttäjä tehdä roolimääritysten muutoksia 24 tunnin kuluessa luomisesta. Epäilyttävä toiminta näkyisi visualisoinnissa seuraavan kyselyn avulla:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Katso lisätietoja seuraavista edellisissä esimerkeissä käytetyistä kohteista Kusto-dokumentaatiosta:

• where-operaattori
• laajenna-operaattori
• projektioperaattori
• project-away-operaattori
• liitosoperaattori
• summarize-operaattori
• ago() -funktio
• bin() -funktio
• iff() -funktio
• tostring() -funktio
• count() -koostefunktio

Lisätietoja KQL:stä on Kusto Query Languagen (KQL) yleiskatsauksessa.

Muut resurssit:

• KQL-pikaopas
• Kusto-kyselyn kielenoppimisresurssit

Aiheeseen liittyviä artikkeleita

Lisätietoja on seuraavissa artikkeleissa:

• Usein käytetyt Microsoft Sentinel työkirjat

• Azure Työkirjojen valvonta