תרגיל - הצגה חזותית של נתונים באמצעות חוברות עבודה של Microsoft Sentinel

הושלם

כמהנדסת אבטחה שעובדת עבור Contoso, אתה מבחין בפעילויות חשודות במנוי Azure שלך ואתה מחליט לנתח פעילות זו באמצעות חוברות עבודה של Microsoft Sentinel.

תרגיל: ביצוע שאילתה והמחשה של נתונים באמצעות חוברות עבודה של Microsoft Sentinel

ברצונך לנתח את יומני הרישום ב- Microsoft Sentinel מתוך המחבר פעילות Azure. ברצונך להמשיך ליישם תצוגה חזותית של נתונים אלה ולשמור אותם בחוברת עבודה מותאמת אישית.

בתרגיל זה, עיין ביומני הרישום וב- Microsoft Sentinel Workbooks. עליך לבצע את המשימות הבאות:

• קיים אינטראקציה עם נתוני יומני רישום בדף יומני Microsoft Sentinel.
• צור וערוך חוברת עבודה מותאמת אישית כדי להציג נתונים חשובים באופן חזותי.

הערה

עליך להשלים את השאילתה ולהמחיש נתונים באמצעות יחידת חוברות העבודה של Microsoft Sentinel לפני שתוכל להשלים תרגיל זה. אם לא עשית זאת, השלם אותה כעת ולאחר מכן המשך לשלבי ההתעמלות.

משימה 1: עבודה עם יומני רישום ב- Microsoft Sentinel

1. בפורטל Azure, חפש ובחר Microsoft Sentinel ולאחר מכן בחר את סביבת העבודה Microsoft Sentinel שנוצרה בעבר.

2. בדף Microsoft Sentinel , במקטע כללי , בחר יומני רישום.

   הערה

   בעת פתיחת הדף Logs בפעם הראשונה, ייתכן שתנותב מחדש לחלון שאילתות . סגור את חלון השאילתות וחזור למקטע שאילתה חדשה 1 .

3. ב - Microsoft Sentinel | הדף יומני רישום, בחלונית טבלאות , מהתפריט הנפתח קבץ לפי: פתרון, בחר קטגוריה.

4. בחלונית טבלאות , מתוך רשימת הטבלאות, הרחב את הקטגוריה משאבים של Azure , הזז את הסמן מעל הטבלה Azure Activity או השתמש במקש Tab כדי לנווט אל הטבלה ולאחר מכן בחר הצג נתונים בתצוגה מקדימה.

5. בחלון AzureActivity , בחר הצג בעורך השאילתות. אפשרות זו מאפשרת לך להציג את הנתונים בתצוגה מקדימה ולבדוק אם התוצאות הן כצפוי לפני הפעלת שאילתה איתם בפועל.

   

   במקטע שאילתה , באפשרותך לבחון את מבנה השאילתה. שאילתה זו מחפש ומציגה את 10 האירועים האחרונים מ יומן הפעילות של Azure. השורה הראשונה בשאילתה מציינת AzureActivity את הטבלה המשמשת בשאילתה. השורה השניה מכילה where משפט המסנן את הרשומות מהיום האחרון. השורה השלישית מכילה משפט אחר לסינון 10 האירועים האחרונים בלבד.

   מקטע תוצאות השאילתה מציג את תוצאות השאילתה. באפשרותך להרחיב כל אחת מהרשומות כדי לסקור את הערכים בטבלה. בחר את השם של עמודה כלשהי כדי למיין את התוצאות לפי עמודה זו.

6. בחר את סמל המסנן שלצדו כדי לספק תנאי סינון. גישה זו דומה להוספת תנאי סינון לשאילתה עצמה, פרט לכך שמסנן זה מנוקה אם אתה מפעיל שוב את השאילתה. אם תבחר את התפריט הנפתח עמודות, תוכל לסנן את העמודות מהטבלה שברצונך להציג. על-ידי בחירת קיבוץ עמודות, באפשרותך לקבץ רשומות לפי עמודה מסוימת.

   

7. הכרטיסיה 'שאילתות ' בחלונית הימנית. חלונית זו כוללת שאילתות לדוגמה שניתן להוסיף לחלון השאילתה. אם אתה משתמש בסביבת עבודה משלך, אמורות להיות לך שאילתות שונות בקטגוריות מרובות. אם אתה משתמש בסביבת ההדגמה, ייתכן שתראה רק קטגוריית סביבות עבודה בודדות של ניתוח יומן רישום.

   הערה

   באפשרותך לנסות לתרגל כתיבת שאילתות בסביבות ההדגמה הבאות.

משימה 2: עבודה עם חוברות עבודה ב- Microsoft Sentinel

1. בדף Microsoft Sentinel , במקטע ניהול איומים , בחר חוברות עבודה.

2. ב - Microsoft Sentinel | הדף חוברות עבודה, בחר בכרטיסיה תבניות.

3. בשדה חיפוש, הזן ובחר פעילות Azure.

4. בחלונית הפרטים, סקור את המידע שסופק עבור התבנית ולאחר מכן בחר שמור. בחלון שמירת חוברת עבודה ב... בחר את המיקום שבחרת בתרגיל ההכנה ולאחר מכן בחר אישור.

5. ב - Microsoft Sentinel | הדף חוברות עבודה, בחר את הכרטיסיה חוברות העבודה שלי. מרשימת התבניות השמורות, בחר פעילות Azure. לאחר מכן, בחלונית הפרטים, בחר הצג חוברת עבודה שנשמרה.

6. בדף AzureActivity-sentinelname, סקור את כל הרכיבים של חוברת העבודה. באפשרותך לקיים אינטראקציה עם חוברת העבודה על-ידי בחירת חלק מהרכיבים.

7. בחר את השדה טווח זמן כדי לבחור טווח זמן אחר עבור הרשומות המוצגות בטבלה Azure Activity . בחר את התפריט הנפתח מתקשר כדי לסנן את הרשומות בהתבסס על המשתמש או השירות שיצר את האירועים. בחר את התפריט הנפתח קבוצת משאבים כדי לסנן את האירועים בהתבסס על קבוצת משאבים ספציפית.

   

8. גלול מטה אל הטבלה פעילויות מתקשר , המציגה את הפעילויות שיפעלו על-ידי המשתמשים או על-ידי מנהל האבטחה שלך. מיין את נתוני הטבלה בכל עמודה על-ידי בחירת החצים בכותרת העמודה.

9. גלול מעלה לפס הכותרת בדף Azure Activity-sentinelname. בחר באפשרות עריכה כדי להעביר את חוברת העבודה למצב עריכה. בדוק את אפשרויות העריכה השונות שמופיעות בדף.

10. בחר את אפשרות העריכה הראשונה. פעולה זו מציגה את חלונית העריכה עבור אחד השלבים בחוברת העבודה. באפשרותך להתאים אישית את המצגת של הרכיבים על-ידי התאמת הסגנון וסדר אותם מחדש בסדר שונה.

11. באפשרותך להוסיף פרמטרים אחרים עם סוגים שונים, כגון טקסט, רשימה נפתחת, ערכים מרובים או ערכים דומים.

12. בחר הוסף פרמטרים.

13. בדף פרמטר חדש , הזן את הערכים הבאים:

    שם	תיאור
    שם פרמטר	רמה
    שם תצוגה	רמה
    סוג פרמטר	מהתפריט הנפתח, בחר רשימה נפתחת.
    נדרש?	בחר תיבת סימון זו.
    אפשר בחירות מרובות	בחר תיבת סימון זו.
    הגבלת בחירות מרובות	אל תבחר תיבת סימון זו.
    מפריד	שמור את ערכי ברירת המחדל.
    ציטוט עם	שמור את ערכי ברירת המחדל.
    הסבר	פרמטר זה מסנן את האירועים בהתבסס על הרמה.
    הסתרת פרמטר במצב קריאה	אל תבחר תיבת סימון זו.
    קבל נתונים מ-	שאילתה

14. במקטע Log Analytics workspace Logs Query , הזן את השאילתה הבאה ולאחר מכן בחר הפעל שאילתה.

    AzureActivity
    |summarize by Level
    

15. ודא שתוצאת השאילתה מחזירה שני סוגי אירועים בהתבסס על הרמה: מידעואזהרה.

    

16. בחר שמור כדי לבצע את השינויים, ותבחין שצעד הפרמטר כולל כעת פרמטר שנקרא רמה.

    תשר

    במצב עריכה, באפשרותך לבחור את סמל שלוש הנקודות לצד האפשרות עריכה כדי להציג תפריט נפתח חדש. מתוך תפריט זה, באפשרותך להעביר שלב זה לחלקים שונים של חוברת העבודה. באפשרותך גם לשכפל או להסיר את השלב מתוך חוברת העבודה.

17. בשורת הכותרת, בחר את סמל שמירה בשם כדי לשמור את חוברת העבודה המותאמת אישית.

18. בשדה כותרת , ספק שם עבור חוברת העבודה החדשה ולאחר מכן בחר שמור.

19. לאחר שתסיים לבצע את השינויים, בחר סיום עריכה.

    תשר

    חוברת העבודה החדשה שלך נגישה מ - Microsoft Sentinel | החלונית 'חוברות עבודה' בכרטיסיה 'חוברות העבודה שלי '. אם חוברת העבודה החדשה שלך אינה מופיעה ברשימה, בחר באפשרות רענן .

ניקוי המשאבים

1. בפורטל Azure, חפש משאבים.
2. בחר azure-sentinel-rg.
3. בשורת הכותרת, בחר מחק קבוצת משאבים.
4. בשדה הקלד את שם קבוצת המשאבים: , הזן את שם קבוצת המשאבים azure-sentinel-rg ובחר מחק.