Superviser et visualiser les données
Les journaux Microsoft Sentinel vous permettent d’accéder aux différents journaux collectés à partir des connecteurs de sécurité. Microsoft Sentinel collecte ces journaux à partir de ses connecteurs intégrés et les stocke dans l’espace de travail Azure Log Analytics.
Espace de travail Log Analytics
L’espace de travail Log Analytics est un référentiel qui stocke des informations sur les données et la configuration. Vous pouvez créer des requêtes pour filtrer des informations importantes, que vous pouvez ensuite utiliser pour créer des règles d’analytique et détecter des menaces. Par exemple, vous pouvez utiliser les journaux Microsoft Sentinel pour rechercher des données provenant de plusieurs sources, agréger de grands jeux de données et effectuer des opérations complexes afin de localiser les menaces de sécurité potentielles et les vulnérabilités.
Explorer la page des journaux Microsoft Sentinel
Vous pouvez rechercher des journaux spécifiques dans la page Journaux Microsoft Sentinel. Affichez la page en sélectionnant Journaux dans le volet de navigation de Microsoft Sentinel.
La page Journaux comporte les parties principales suivantes :
- L’en-tête de page contient des liens vers les Requêtes, les paramètres et la section d’aide.
- Le volet Tables affiche les données collectées des journaux dans des tables, chacune contenant plusieurs colonnes.
- Le volet des requêtes vous permet d’écrire vos propres expressions de requête.
- Le volet des résultats des requêtes affiche les résultats de vos requêtes.
Requêtes
Quand vous sélectionnez le lien Requêtes sur l’en-tête de page, une nouvelle fenêtre s’ouvre, où vous pouvez sélectionner certains des exemples de requêtes prédéfinies. Dans le menu déroulant Requêtes, vous pouvez filtrer ces requêtes en fonction des éléments suivants :
- Catégorie
- Type de requête
- Type de ressource
- Solution
- Rubrique
Sélectionnez Exécuter pour démarrer une requête prédéfinie. Cela vous redirige vers le volet de requêtes. Vous pouvez observer la structure de la requête et les résultats. Pour répondre aux préoccupations de Contoso concernant les utilisateurs non autorisés, exécutez la requête prédéfinie Utilisateurs non autorisés.
Explorateur de requêtes
Utilisez l’Explorateur de requêtes pour accéder à vos requêtes enregistrées. Vous pouvez également accéder à certaines Requêtes de solution qui filtrent les requêtes les plus courantes et que vous pouvez utiliser pour filtrer les données. Dans la liste Requêtes de solution, vous pouvez exécuter la requête ou la placer dans la section Favoris en sélectionnant le symbole d’étoile.
Volet Tables
Le volet Tables regroupe les journaux des différentes solutions dans des tables. Vous pouvez développer le groupe de solutions et observer tous les journaux qui sont collectés. Vous pouvez également sélectionner l’un des journaux dans le volet Tables. Vous pouvez afficher un aperçu des données ou ajouter ce journal à la section Favoris.
La capture d’écran suivante montre les journaux collectés dans la solution Microsoft Sentinel.
Volet Requêtes
Utilisez le volet Requêtes pour créer des requêtes qui extraient des données en fonction de l’expression que vous fournissez. Le volet Requêtes vous aide à écrire une requête précise en fournissant des suggestions et en remplissant automatiquement les éléments attendus de la requête.
Tirez parti des fonctionnalités du langage de requête Kusto (KQL) pour écrire une requête qui récupère les données auprès des journaux. L’exemple suivant illustre l’utilisation du code KQL dans vos requêtes pour identifier les machines virtuelles supprimées.
AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
Barre d’outils d’en-tête
La barre d’outils d’en-tête permet une interaction plus poussée avec la requête, comme le montre la capture d’écran suivante.
Enregistrez la requête dans le volet Requête en sélectionnant Enregistrer. Cette action ouvre une nouvelle fenêtre, où vous êtes invité à entrer le nom de la requête enregistrée et sa catégorie. Les requêtes enregistrées apparaissent dans l’Explorateur de requêtes.
Dans le champ Plage horaire, vous pouvez fournir une autre date/heure de façon à changer la plage horaire pour laquelle vous voulez afficher les résultats de la requête.
Créez un lien pour la requête et partagez avec d’autres membres de l’équipe en sélectionnant Copier le lien vers la requête. Vous pouvez également copier le texte de la requête.
À partir de la barre d’outils d’en-tête dans le volet Requête, vous pouvez créer une Nouvelle alerte Azure Monitor ou une Nouvelle alerte Microsoft Sentinel. Si vous choisissez de créer une alerte Microsoft Sentinel, vous êtes redirigé vers les étapes suivantes de création d’une règle d’analytique.
Exportez la requête dans un des formats suivants :
- Exporter au format CSV. Exportez toutes les colonnes (les colonnes visibles et les colonnes masquées) dans un fichier CSV que vous pouvez ouvrir avec Microsoft Excel.
- Exporter au format CSV – Colonnes affichées. Exportez seulement les colonnes qui sont affichées dans les fenêtres de résultats de la requête.
- Exporter vers Power BI (requête M). Créez et téléchargez un fichier PowerBIQuery.txt que vous pouvez ouvrir avec l’application Microsoft Power BI.
Vous pouvez épingler les résultats de la requête dans un tableau de bord privé ou partagé pour examiner rapidement les résultats de la requête.
Vous pouvez utiliser Mettre en forme la requête dans la barre d’outils d’en-tête pour rendre la requête plus lisible.
Notes
Vous pouvez exporter ou épingler la requête seulement si l’expression de requête génère des données dans la section des résultats des requêtes.
Résultats de la requête
Sous Résultats, vous pouvez observer les résultats de la requête. Vous pouvez également présenter les résultats en utilisant un graphique ou masquer et afficher d’autres colonnes pour filtrer les résultats de la requête.