הצגה חזותית וניטור של הנתונים שלך באמצעות חוברות עבודה ב- Microsoft Sentinel

  • חל על: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

לאחר שתחבר את מקורות הנתונים שלך ל- Microsoft Sentinel, הצג את הנתונים באופן חזותי ונטר אותם באמצעות חוברות עבודה ב- Microsoft Sentinel. Microsoft Sentinel העבודה מבוססות על Azure לנטר חוברות עבודה, ולהוסיף טבלאות ותרשימים עם ניתוחים עבור יומני הרישום והשאילתות שלך לכלים שכבר זמינים ב- Azure.

Microsoft Sentinel מאפשרת לך ליצור חוברות עבודה מותאמות אישית בכל הנתונים שלך או להשתמש בתבניות חוברת עבודה קיימות הזמינות עם פתרונות ארוזים או כתוכן עצמאי ממרכז התוכן. כל חוברת עבודה היא Azure כמו כל משאב אחר, ובאפשרותך להקצות אותה באמצעות בקרת גישה מבוססת Azure (RBAC) כדי להגדיר ולהגביל את האנשים שיכולים לגשת.

חשוב

לאחר 31 במרץ 2027, Microsoft Sentinel לא ייתמכו עוד בפורטל Azure והוא יהיה זמין רק בפורטל Microsoft Defender. כל הלקוחות Microsoft Sentinel ב- Azure הפורטל ינותבו מחדש לפורטל Defender וישתמשו ב- Microsoft Sentinel בפורטל Defender בלבד.

אם אתה עדיין משתמש ב- Microsoft Sentinel בפורטל Azure, מומלץ להתחיל לתכנן את המעבר לפורטל Defender כדי להבטיח מעבר חלק ולנצל את חוויית פעולות האבטחה המאוחדות המוצעת על-ידי Microsoft Defender.

דרישות מוקדמות

  • דרושות לך לפחות הרשאות של קורא חוברתעבודה או משתתף בחוברת עבודה בקבוצת המשאבים של סביבת Microsoft Sentinel העבודה.

    חוברות העבודה שאתה רואה ב- Microsoft Sentinel נשמרות בתוך קבוצת המשאבים של סביבת העבודה של Microsoft Sentinel והן מתויגות על-ידי סביבת העבודה שבה הן נוצרו.

  • כדי להשתמש בתבנית חוברת עבודה, התקן את הפתרון המכיל את חוברת העבודה או התקן את חוברת העבודה כפריט עצמאי ממרכז התוכן. לקבלת מידע נוסף, ראה גילוי וניהול Microsoft Sentinel תוכן שזמין לשימוש.

  • אם אתה עובד בפורטל Defender עם מקור נתונים של סייר Azure, הקפד לקבוע את התצורה של סייר Azure הנתונים ולבצע בו אימות בפורטל Defender.

יצירת חוברת עבודה מתבנית

השתמש בתבנית המותקנת ממרכז התוכן כדי ליצור חוברת עבודה.

  1. ב- Microsoft Sentinel, בחר ניהול איומים חוברות > עבודה.

  2. בדף חוברות עבודה , בחר בכרטיסיה תבניות כדי לראות את רשימת תבניות חוברת העבודה המותקנת. בחר תבנית כדי להציג את הפרטים שלה.

    חוברות עבודה מסוימות דורשות חיבורי נתונים ספציפיים כדי לתפקד. לפני שמירת חוברת עבודה, חפש שדה ' סוגי נתונים נדרשים' ודא שטבלת סוג נתונים זה.

    לדוגמה:

  3. בחלונית הפרטים, בחר שמור ולאחר מכן בחר את המיקום שבו ברצונך לשמור את חוברת העבודה. פעולה זו יוצרת Azure משאבים במיקום שנבחר בהתבסס על התבנית הרלוונטית. רק קובץ ה- JSON של חוברת העבודה נשמר במיקום זה, ללא נתונים.

  4. בחלונית הפרטים, בחר הצג חוברת עבודה שמורה כדי לפתוח אותה לעריכה.

  5. כאשר חוברת העבודה פתוחה, בחר ערוך כדי להתאים אישית את חוברת העבודה בהתאם לצרכים שלך.

    צילום מסך שמראה את חוברת העבודה שנשמרה.

    בעת עבודה בפורטל Defender, ניתן להציג פריטים חזותיים מסוימים בפורטל Azure בלבד. במקרים כאלה, בחר פתח ב- Azure כדי לפתוח את חוברת העבודה Azure הפורטל.

    לדוגמה, בחר את המסנן TimeRange כדי להציג נתונים עבור טווח זמן שונה מזה של הבחירה הנוכחית. כדי לערוך אזור חוברת עבודה ספציפי, בחר ערוך או בחר את שלוש הנקודות (...) כדי להוסיף רכיבים, או להעביר, לשכפל או להסיר את האזור.

    כדי לשכפל את חוברת העבודה, בחר שמירה בשם. שמור את השכפול בשם אחר, תחת אותה מנוי וקבוצת משאבים. חוברות עבודה משוכפלות מוצגות גם תחת הכרטיסיה חוברות העבודה שלי בדף Microsoft Sentinel > ניהול > איומים.

  6. לאחר שתסיים, בחר סיום עריכה כדי לשמור את השינויים.

לקבלת מידע נוסף, ראה:

יצירת חוברת עבודה חדשה

צור חוברת עבודה מאפס Microsoft Sentinel.

  1. ב Microsoft Sentinel, בחר ניהול איומים חוברות > עבודה ולאחר מכן בחר הוסף חוברת עבודה.

  2. כדי לערוך את חוברת העבודה, בחר ערוך ולאחר מכן הוסף טקסט, שאילתות ופרמטרים לפי הצורך.

    לקבלת מידע נוסף אודות אופן ההתאמה האישית של חוברת העבודה, ראה כיצד ליצור דוחות אינטראקטיביים באמצעות Azure עבודה של צג.

    צילום מסך שמראה חוברת עבודה חדשה.

  3. בעת בניית שאילתה, הגדר את מקור הנתוניםליומני רישום וסוג משאב ל'ניתוח יומן רישום' ולאחר מכן בחר סביבת עבודה אחת או יותר.

    מומלץ שהשאילתה תשתמש במנתח של מודל מידע אבטחה מתקדם (ASIM) ולא בטבלה מוכללת. לאחר מכן, השאילתה תתמוך בכל מקור נתונים רלוונטי נוכחי או עתידי ולא במקור נתונים יחיד.

  4. לאחר שתסיים לבצע את שינויי העריכה, בחר סיום עריכה ולאחר מכן שמור. בחלונית הצדדית, הזן שם בעל משמעות עבור חוברת העבודה ובחר את המנוי ואת קבוצת המשאבים עבור סביבת העבודה שלך.

  5. בעת עבודה בפורטל Azure, עבור בין חוברות עבודה בסביבת העבודה שלך על-ידי בחירה באפשרות פתח סמל לפתיחת חוברת עבודה. בסרגל הכלים של חוברת עבודה כלשהי. המסך עובר לרשימה של חוברות עבודה אחרות שבאפשרותך לעבור אליהן.

    בחר את חוברת העבודה שברצונך לפתוח:

    צילום מסך שמראה כיצד להחליף חוברות עבודה.

יצירת אריחים חדשים עבור חוברות העבודה שלך

כדי להוסיף אריח מותאם אישית לחוברת Microsoft Sentinel אישית, צור תחילה את האריח ב'ניתוח יומן רישום'. לקבלת מידע נוסף, ראה נתונים חזותיים בניתוח יומן רישום.

לאחר יצירת אריח, בחר הצמד ולאחר מכן בחר את חוברת העבודה שבה ברצונך שהאריח יופיע.

רענון נתוני חוברת העבודה שלך

רענן את חוברת העבודה כדי להציג נתונים מעודכנים. בסרגל הכלים, בחר אחת מהאפשרויות הבאות:

  • רענן, כדי לרענן את נתוני חוברת העבודה באופן ידני.

  • רענון אוטומטי, כדי להגדיר את הרענון האוטומטי של חוברת העבודה במרווח זמן שתצורתו נקבעה.

    • מרווחי הזמן הנתמכים לרענון אוטומטי בטווח 5 דקותעד יום אחד.

    • הרענון האוטומטי מושהה בעת עריכת חוברת עבודה, ומרווחי זמן מופעלים מחדש בכל פעם שאתה חוזר למצב תצוגה במצב עריכה.

    • מרווחי רענון אוטומטי יופעלו מחדש גם אם תרענן את הנתונים באופן ידני.

    כברירת מחדל, הרענון האוטומטי מבוטל. אם הפעלת רענון אוטומטי, הוא מבוטל שוב בכל פעם שאתה סוגר את המחברת כדי למטב את perforamnce ולמנוע את הפעלתה ברקע. הפעל שוב את הרענון האוטומטי לפי הצורך בפעם הבאה שתפתח את חוברת העבודה.

כדי להדפיס חוברת עבודה או לשמור אותה כ- PDF, השתמש בתפריט האפשרויות משמאל לכותרת חוברת העבודה. אפשרויות אלה זמינות רק בפורטל Azure שלך. אם אתה עובד בפורטל Defender, בחר פתח ב- Azure כדי לפתוח את חוברת העבודה בפורטל Azure.

  1. בחר אפשרויות >הדפסת תוכן.

  2. במסך ההדפסה, התאם את הגדרות ההדפסה לפי הצורך או בחר שמור כ- PDF כדי לשמור אותו באופן מקומי.

    לדוגמה:

    צילום מסך שמראה כיצד להדפיס את חוברת העבודה או לשמור כ- PDF.

מחיקת חוברת עבודה אחת או יותר

באפשרותך למחוק הן תבניות שמורות והן חוברות עבודה מותאמות אישית מהכרטיסיה חוברות העבודה שלי. לא ניתן למחוק תבניות עצמן.

כדי למחוק חוברת עבודה, בחר את חוברת העבודה בכרטיסיה חוברות העבודה שלי ולאחר מכן בחר מחק. פעולה זו מסירה את משאב חוברת העבודה ואת כל השינויים שביצעת בתבנית. התבנית המקורית נשארת זמינה.

המלצות על חוברת עבודה

סעיף זה סוקר המלצות בסיסיות שיש לנו לשימוש חוברות עבודה עם Microsoft Sentinel.

הוספת Microsoft Entra ID עבודה

אם אתה משתמש Microsoft Entra ID עם Microsoft Sentinel, מומלץ להתקין את פתרון Microsoft Entra עבור Microsoft Sentinel העבודה הבאות ולהשתמש בהן:

  • Microsoft Entra הכניסה מנתחת את הכניסה לאורך זמן כדי לראות אם קיימות חריגות. חוברת עבודה זו מספקת כניסות שנכשלו על-ידי יישומים, מכשירים ומיקומים כדי שתוכל בחין בכך, במבט מהיר אם מתרחש משהו חריג. שים לב לכניסה כושלת מרובה.
  • Microsoft Entra ביקורת מנתח פעילויות ניהול, כגון שינויים במשתמשים (הוספה, הסרה וכדומה), יצירת קבוצה ושינויים.

הוספת חוברות עבודה של חומת אש

מומלץ להתקין את הפתרון המתאים ממרכז התוכן כדי להוסיף חוברת עבודה עבור חומת האש שלך.

לדוגמה, התקן את פתרון חומת האש של פאלו אלטו Microsoft Sentinel כדי להוסיף את חוברות העבודה של פאלו אלטו. חוברות העבודה מנתחות את תעבורת חומת האש שלך, ומספקות לך מתאם בין נתוני חומת האש לאירועי איומים, ומדגישות אירועים חשודים בין ישויות.

צילום מסך של חוברת העבודה של פאלו אלטו.

יצירת חוברות עבודה שונות עבור שימושים שונים

אנו ממליצים ליצור פריטים חזותיים שונים עבור כל סוג של אדם שמשתמש חוברות עבודה, בהתבסס על התפקיד של האדם והפריטים המבוקשים. לדוגמה, צור חוברת עבודה עבור מנהל הרשת שלך הכוללת את נתוני חומת האש.

לחלופין, צור חוברות עבודה בהתבסס על התדירות שבה ברצונך לעיין בהן, בין אם ברצונך לסקור דברים מדי יום ופריטים אחרים שברצונך לבדוק פעם בשעה. לדוגמה, ייתכן שתרצה לעיין Microsoft Entra שלך מדי שעה כדי לחפש חריגות.

השתמש בשאילתה הבאה כדי ליצור פריט חזותי המשווה מגמות תעבורה בין שבועות. החלף את ספק המכשיר ואת מקור הנתונים שבהם אתה מפעיל את השאילתה, בהתאם לסביבה שלך.

השאילתה לדוגמה הבאה משתמשת בטבלה SecurityEvent מ- Windows. ייתכן שתרצה להעביר אותה להפעלה בטבלה AzureActivity או CommonSecurityLog , בכל חומת אש אחרת.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

שאילתה לדוגמה עם נתונים ממקורות מרובים

ייתכן שתרצה ליצור שאילתה המשלבת נתונים ממקורות מרובים. לדוגמה, צור שאילתה המציגה יומני ביקורת של Microsoft Entra עבור משתמשים חדשים שנוצרו ולאחר מכן בודקת את יומני הרישום של Azure כדי לראות אם המשתמש התחיל לבצע שינויים בהקצאת תפקידים תוך 24 שעות ממתחילת היצירה. פעילות חשודה זו תופיע בהצגה חזותית עם השאילתה הבאה:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

עיין במידע נוסף על הפריטים הבאים שבהם נעשה שימוש בדוגמאות הקדימות בתיעוד Kusto:

לקבלת מידע נוסף על KQL, ראה מבט כולל על Kusto Query Language (KQL).

משאבים אחרים:

לקבלת מידע נוסף, ראה:

  • Last updated on