Utiliser les workbooks Microsoft Sentinel par défaut
Microsoft Sentinel fournit plusieurs modèles prêts à l’emploi. Vous pouvez utiliser ces modèles pour créer votre propre workbook, puis le modifier en fonction des besoins pour Contoso.
Workbooks Microsoft Sentinel
La plupart des connecteurs de données utilisés par Microsoft Sentinel pour ingérer des données sont fournis avec leurs propres workbooks. Vous pouvez obtenir des insights sur les données qui sont ingérées en utilisant des tables et des visualisations, y compris des graphiques à barres et à secteurs. Vous pouvez également créer vos propres workbooks à partir de rien au lieu d’utiliser les modèles prédéfinis.
Page Workbook
Vous pouvez accéder à la page Workbooks de Microsoft Sentinel à partir du volet de navigation. Dans la page Workbooks, vous pouvez ajouter un nouveau workbook, et passer en revue les workbooks et les modèles enregistrés disponibles.
Vous pouvez accéder aux modèles de workbooks existants sous l’onglet Modèles. Vous pouvez enregistrer certains des workbooks pour y accéder rapidement. Ils apparaissent sous l’onglet Mes workbooks.
Sous l’onglet Modèles, vous pouvez sélectionner un workbook existant pour afficher un volet d’informations pour celui-ci, qui contient des informations supplémentaires pour le modèle. Le volet d’informations contient également des informations sur les types de données nécessaires et les connecteurs de données qui doivent être connectés à Microsoft Sentinel. Vous pouvez également voir comment le rapport s’affiche.
Passer en revue un modèle de workbook existant
Comme mentionné précédemment, Contoso s’inquiète des identités compromises. En tant qu’administrateur de la sécurité, vous pouvez examiner le classeur Journaux de connexion Microsoft Entra existant en sélectionnant le modèle dans la section Modèles. Sélectionnez ensuite Afficher le modèle dans le volet d’informations.
Le classeur Journaux de connexion Microsoft Entra contient des graphiques et des tables prédéfinis qui peuvent fournir des insights importants sur l’activité de connexion dans Microsoft Entra ID. Vous pouvez trouver des informations sur les connexions des utilisateurs, et sur les emplacements, les adresses e-mail et les adresses IP de vos utilisateurs. Vous pouvez également consulter des informations sur les activités ayant échoué et sur les erreurs qui ont déclenché les échecs.
Dans la page Journaux de connexion Microsoft Entra, vous pouvez étendre la plage horaire, ou filtrer les applications et les utilisateurs disposant de privilèges de connexion dans Microsoft Entra ID. Par exemple, Contoso veut identifier les utilisateurs qui peuvent se connecter au portail Azure : vous pouvez donc filtrer les données comme suit.
Contoso s’intéresse à l’identification des tentatives de connexion qui ont échoué. Vous pouvez afficher ces comptes en sélectionnant les vignettes d’informations, puis sélectionner une vignette ou une ligne pour afficher des informations supplémentaires, comme les suivantes :
- Connexions par emplacement. Cette section indique l’emplacement à partir duquel l’utilisateur s’est connecté à Microsoft Entra ID.
- Détails de connexion de l’emplacement. Cette section affiche les utilisateurs, leur état de connexion et l’heure de la tentative de connexion.
- Connexions par appareil. Cette section liste les appareils utilisés par les utilisateurs pour se connecter à Microsoft Entra ID.
- Détails de connexion de l’appareil. Cette section affiche les utilisateurs qui se sont connectés sur un appareil particulier et le moment où ils se sont connectés.
Cette vignette d’informations en arrière-plan est configurée pour exécuter la requête et filtrer les données collectées à partir du connecteur Microsoft Entra. Microsoft Sentinel visualise et présente ensuite les données collectées en utilisant des tables, qui sont plus significatives et fournissent des insights utiles sur les tentatives de connexion des utilisateurs.
Le workbook contient d’autres vignettes indiquant les utilisateurs qui se sont connectés en utilisant l’accès conditionnel. Dans la table État de l’accès conditionnel, vous pouvez voir les utilisateurs qui ont dû utiliser l’authentification multifacteur pour valider leur identité.
Le reste de la page contient également des tableaux et des graphiques interactifs. Sélectionnez certaines lignes ou vignettes pour filtrer les données présentées. Certaines tables sont créées avec des liens vers les journaux correspondants, comme illustré dans la capture d’écran suivante.
Remarque
Vous pouvez également épingler l’étape de requête dans le tableau de bord privé ou partagé pour la retrouver rapidement.
Modifier la requête à partir du workbook
Par exemple, Contoso souhaite rechercher dans les journaux des informations supplémentaires qui présentent les échecs de connexion des utilisateurs. L’utilisateur est redirigé vers Azure Data Explorer, où Microsoft Sentinel exécute la requête de journal pour filtrer les informations.
Explorer les workbooks enregistrés
Dans la page Modèles, vous pouvez enregistrer un workbook à partir de modèles existants en sélectionnant un des modèles, puis en sélectionnant Enregistrer. Vous devez fournir un emplacement pour indiquer où vous voulez enregistrer le workbook. Ce processus crée une ressource Azure basée sur le modèle avec le fichier JSON du modèle.
Les workbooks enregistrés sont disponibles sous l’onglet Mes workbooks, où vous pouvez les personnaliser. Vous pouvez ouvrir des workbooks enregistrés en sélectionnant Afficher le workbook enregistré. Cette action ouvre la même page que la page de modèle de workbook, mais vous pouvez personnaliser celui-ci en fonction des exigences de Contoso.
Sélectionnez Modifier pour ouvrir le workbook en mode d’édition. Vous pouvez ajouter ou supprimer des éléments et fournir une personnalisation plus poussée. Le mode d’édition affiche tout le contenu du workbook, y compris les étapes et les paramètres qui seraient masqués en mode de lecture.
La barre d’en-tête en mode d’édition contient plusieurs options, comme le montre la capture d’écran suivante.
Quand vous passez au mode d’édition, plusieurs options pour Modifier correspondant à chaque aspect individuel de votre workbook sont présentes. Si vous sélectionnez une de ces options d’édition, vous pouvez examiner la requête utilisée par Microsoft Sentinel pour filtrer les données du journal correspondant.
Quand vous sélectionnez l’icône Paramètres, la page Paramètres s’ouvre, où vous pouvez fournir d’autres ressources que vous voulez utiliser dans le workbook. Vous pouvez aussi modifier le style du workbook, fournir des étiquettes ou épingler un élément dans le workbook.
Vous pouvez réorganiser le placement de différentes tables dans le workbook en sélectionnant Afficher les options d’épinglage.
Pour une personnalisation avancée, vous pouvez sélectionner Éditeur avancé pour ouvrir la représentation JSON du workbook actif, puis la personnaliser plus en détail dans l’éditeur de texte. Vous pouvez enregistrer vos modifications dans le workbook existant ou les enregistrer sous la forme d’un autre workbook. Une fois toutes les personnalisations terminées, vous pouvez quitter le mode d’édition en sélectionnant Modification effectuée.
Explorer le dépôt Microsoft Sentinel sur GitHub
Le dépôt Microsoft Sentinel contient des éléments prêts à l’emploi (détections, requêtes d’exploration, requêtes de chasse, workbooks, playbooks, etc.) vous permettant de sécuriser votre environnement et de détecter les menaces. Microsoft et la communauté Microsoft Sentinel contribuent à ce dépôt.
Le dépôt contient des dossiers avec du contenu contribuant à plusieurs domaines des fonctionnalités de Microsoft Sentinel, notamment les requêtes de détection. Vous pouvez vous servir du code de ces requêtes pour créer des requêtes personnalisées dans votre espace de travail Microsoft Sentinel.