व्यायाम - Microsoft Sentinel कार्यपुस्तिकाओं का उपयोग करके डेटा की कल्पना करें

  • 8 मिनट्स

Contoso के लिए काम कर रहे एक सुरक्षा इंजीनियर के रूप में, आप अपनी Azure सदस्यता में संदिग्ध गतिविधियों को नोटिस करते हैं और आप Microsoft Sentinel कार्यपुस्तिकाओं का उपयोग करके इस गतिविधि का विश्लेषण करने का निर्णय लेते हैं.

अभ्यास: Microsoft Sentinel कार्यपुस्तिकाओं के साथ डेटा को क्वेरी और विज़ुअलाइज़ करें

आप Azure गतिविधि कनेक्टर से Microsoft Sentinel में लॉग का विश्लेषण करना चाहते हैं। आप इस डेटा का विज़ुअलाइज़ेशन और कार्यान्वित करना चाहते हैं और इसे किसी अनुकूलित कार्यपुस्तिका में सहेजना चाहते हैं.

इस अभ्यास में, लॉग और Microsoft Sentinel कार्यपुस्तिकाओं का अन्वेषण करें। आप निम्न कार्य करें:

  • Microsoft Sentinel लॉग पृष्ठ में लॉग डेटा के साथ सहभागिता।
  • महत्वपूर्ण डेटा विज़ुअलाइज़ करने के लिए कोई कस्टम कार्यपुस्तिका बनाएँ और संपादित करें.

नोट

इससे पहले कि आप यह अभ्यास पूरा कर सकें, आपको क्वेरी पूरी करनी होगी और Microsoft Sentinel कार्यपुस्तिका इकाई के साथ डेटा विज़ुअलाइज़ करना होगा. यदि आपने ऐसा नहीं किया है, तो इसे अभी पूरा करें, और फिर व्यायाम चरणों के साथ जारी रखें।

कार्य 1: Microsoft Sentinel में लॉग्स के साथ कार्य करना

  1. Azure पोर्टल में, Microsoft Sentinel खोजें और चुनें, और उसके बाद पहले बनाए गए Microsoft Sentinel कार्यस्थान का चयन करें।

  2. Microsoft Sentinel पृष्ठ पर, सामान्य अनुभाग में, लॉग्स का चयन करें.

    नोट

    जब आप पहली बार लॉग पृष्ठ खोलते हैं, तो आपको क्वेरीज़ विंडो पर पुनर्निर्देशित किया जा सकता है. क्वेरीज़ विंडो बंद करें और नई क्वेरी 1 अनुभाग पर वापस लौटें.

  3. माइक्रोसॉफ्ट सेंटिनल पर | लॉग्स पृष्ठ, तालिकाएँ फलक में, इसके द्वारा समूहीकृत करें: समाधान ड्रॉपडाउन मेनू से, श्रेणी का चयन करें.

  4. तालिकाएँ फलक में, तालिकाओं की सूची से, Azure संसाधन श्रेणी विस्तृत करें, कर्सर को Azure गतिविधि तालिका पर ले जाएँ या तालिका पर नेविगेट करने के लिए Tab कुंजी का उपयोग करें और फिर डेटा का पूर्वावलोकन करें चुनें.

  5. AzureActivity विंडो में, क्वेरी संपादक में देखें का चयन करें. यह विकल्प आपको डेटा का पूर्वावलोकन करने और यह जांचने में सक्षम करता है कि परिणाम वास्तव में इसके साथ कोई क्वेरी चलाने से पहले आपकी अपेक्षा के अनुरूप हैं या नहीं.

    तालिकाएँ फलक का स्क्रीनशॉट.

    क्वेरी अनुभाग में, आप क्वेरी संरचना का निरीक्षण कर सकते हैं। यह क्वेरी Azure गतिविधि लॉग से अंतिम 10 इवेंट खोजती है और प्रस्तुत करती है. क्वेरी में पहली पंक्ति, AzureActivity क्वेरी में उपयोग की गई तालिका निर्दिष्ट करती है. दूसरी पंक्ति में एक where कथन होता है जो पिछले दिन के रिकॉर्ड को फ़िल्टर करता है। तीसरी पंक्ति में केवल अंतिम 10 घटनाओं को फ़िल्टर करने के लिए एक और कथन है।

    क्वेरी परिणाम अनुभाग क्वेरी के परिणाम प्रस्तुत करता है. तालिका में मानों की समीक्षा करने के लिए आप किसी भी रिकॉर्ड को विस्तृत कर सकते हैं. परिणामों को उस स्तंभ के आधार पर सॉर्ट करने के लिए किसी भी स्तंभ के नाम का चयन करें.

  6. फ़िल्टर स्थिति प्रदान करने के लिए इसके आगे फ़िल्टर आइकन का चयन करें। यह प्रकिया क्वेरी में ही फ़िल्टर शर्त जोड़ने के समान है, सिवाय इसके कि यदि आप क्वेरी को फिर से चलाते हैं तो यह फ़िल्टर साफ़ हो जाता है. यदि आप स्तंभ ड्रॉप-डाउन मेनू चुनते हैं, तो आप उस तालिका के स्तंभों को फ़िल्टर कर सकते हैं जिन्हें आप प्रदर्शित करना चाहते हैं. समूह स्तंभों का चयन करके, आप रिकॉर्ड्स को किसी विशेष स्तंभ के आधार पर समूहीकृत कर सकते हैं.

    पिछले आइटम के साथ क्वेरी परिणामों का स्क्रीनशॉट।

  7. बाएँ फलक में क्वेरी टैब का चयन करें। इस फलक में उदाहरण क्वेरीज़ शामिल हैं जिन्हें आप क्वेरी विंडो में जोड़ सकते हैं. यदि आप अपने स्वयं के कार्यक्षेत्र का उपयोग कर रहे हैं, तो आपके पास कई श्रेणियों में विभिन्न प्रश्न होने चाहिए। यदि आप प्रदर्शन परिवेश का उपयोग कर रहे हैं, तो हो सकता है कि आपको केवल एकल लॉग Analytics कार्यस्थान श्रेणी दिखाई दे.

    नोट

    आप निम्नलिखित प्रदर्शन वातावरण में क्वेरी लिखने का अभ्यास करने का प्रयास कर सकते हैं।

कार्य 2: Microsoft Sentinel में कार्यपुस्तिकाओं के साथ कार्य करना

  1. Microsoft Sentinel पृष्ठ पर, खतरा प्रबंधन अनुभाग में, कार्यपुस्तिकाओं का चयन करें.

  2. माइक्रोसॉफ्ट सेंटिनल पर | कार्यपुस्तिकाएँ पृष्ठ, टेम्पलेट्स टैब का चयन करें.

  3. खोज फ़ील्ड में, Azure गतिविधि दर्ज करें और चुनें.

  4. विवरण फलक में, टेम्पलेट के लिए प्रदान की गई जानकारी की समीक्षा करें और फिर सहेजें का चयन करें. इसमें कार्यपुस्तिका सहेजें... विंडो में, उसी स्थान का चयन करें जिसे आपने तैयारी अभ्यास में चुना था और फिर ठीक का चयन करें.

  5. माइक्रोसॉफ्ट सेंटिनल पर | कार्यपुस्तिकाएँ पृष्ठ, मेरी कार्यपुस्तिकाएँ टैब का चयन करें. सहेजे गए टेम्पलेट की सूची से, Azure गतिविधि चुनें. फिर विवरण फलक में, सहेजी गई कार्यपुस्तिका देखें चुनें।

  6. Azure Activity-sentinelname पृष्ठ पर, कार्यपुस्तिका के सभी तत्वों की समीक्षा करें. आप कुछ तत्वों का चयन करके कार्यपुस्तिका के साथ सहभागिता कर सकते हैं.

  7. Azure गतिविधि तालिका में प्रस्तुत रिकॉर्ड के लिए एक भिन्न समय सीमा का चयन करने के लिए समय श्रेणी फ़ील्ड का चयन करें. ईवेंट जेनरेट करने वाले उपयोगकर्ता या सेवा के आधार पर रिकॉर्ड फ़िल्टर करने के लिए कॉलर ड्रॉपडाउन मेनू का चयन करें. किसी विशिष्ट संसाधन समूह के आधार पर ईवेंट फ़िल्टर करने के लिए संसाधन समूह ड्रॉपडाउन मेनू का चयन करें.

    Azure गतिविधि पृष्ठ का स्क्रीनशॉट, जिसमें पिछले तत्वों को कॉल किया गया हो.

  8. कॉलर गतिविधियाँ तालिका तक नीचे स्क्रॉल करें, जो आपके उपयोगकर्ताओं या सुरक्षा प्रिंसिपलों द्वारा संचालित गतिविधियों को प्रदर्शित करती है. स्तंभ शीर्ष लेख में तीरों का चयन करके प्रत्येक स्तंभ में तालिका डेटा सॉर्ट करें.

  9. AzureActivity-sentinelname पृष्ठ में शीर्ष लेख पट्टी तक स्क्रॉल करें. कार्यपुस्तिका को संपादन मोड में स्विच करने के लिए संपादित करें विकल्प का चयन करें। पृष्ठ पर प्रदर्शित होने वाले विभिन्न संपादन विकल्पों का निरीक्षण करें।

  10. पहले संपादन विकल्प का चयन करें । यह क्रिया कार्यपुस्तिका में चरणों में से किसी एक के लिए संपादन फलक प्रदर्शित करती है. आप शैली को समायोजित करके और उन्हें अलग-अलग क्रम में पुन: व्यवस्थित करके तत्वों की प्रस्तुति को अनुकूलित कर सकते हैं।

  11. आप टेक्स्ट, ड्रॉपडाउन, मल्टीवैल्यूज या समान जैसे विभिन्न प्रकारों के साथ अन्य पैरामीटर जोड़ सकते हैं।

  12. पैरामीटर जोड़ें चुनें.

  13. नया पैरामीटर पृष्ठ में, निम्न मान दर्ज करें:

    नाम या क़िस्‍म
    पैरामीटर नाम लेवल
    प्रदर्शन नाम लेवल
    पैरामीटर प्रकार ड्रॉपडाउन मेनू से, ड्रॉप डाउन चुनें
    आवश्यक? इस चेकबॉक्स का चयन करें.
    एकाधिक चयनों की अनुमति दें इस चेकबॉक्स का चयन करें.
    एकाधिक चयन सीमित करें इस चेकबॉक्स का चयन न करें.
    सीमांकक डिफ़ॉल्ट मानों को बनाए रखें।
    के साथ उद्धरण डिफ़ॉल्ट मानों को बनाए रखें।
    स्पष्टीकरण यह पैरामीटर स्तर के आधार पर घटनाओं को फ़िल्टर करता है।
    पठन मोड में पैरामीटर छुपाएं इस चेकबॉक्स का चयन न करें.
    से डेटा प्राप्त करें सवाल

  14. लॉग Analytics कार्यस्थान लॉग क्वेरी अनुभाग में, निम्न क्वेरी दर्ज करें और फिर क्वेरी चलाएँ चुनें.

    AzureActivity
|summarize by Level

  15. पुष्टि करें कि क्वेरी परिणाम स्तर के आधार पर दो प्रकार के इवेंट लौटाता है: जानकारी और चेतावनी.

    नया पैरामीटर फलक का स्क्रीनशॉट, जिसमें नया पैरामीटर जोड़ने के चरण हैं. स्क्रीनशॉट में सहेजें, क्वेरी, चलाएँ क्वेरी विकल्प और AzureActivity अनुभाग हाइलाइट किए गए हैं।

  16. परिवर्तनों को करने के लिए सहेजें का चयन करें, और ध्यान दें कि पैरामीटर चरण में अब स्तर नामक एक पैरामीटर शामिल है।

    नोक

    संपादन मोड में, आप एक नया ड्रॉपडाउन मेनू प्रदर्शित करने के लिए संपादित करें विकल्प के बगल में दीर्घवृत्त आइकन का चयन कर सकते हैं। उस मेनू से, आप इस चरण को कार्यपुस्तिका के विभिन्न भागों में ले जा सकते हैं. आप कार्यपुस्तिका से चरण का क्लोन बना या निकाल भी सकते हैं.

  17. शीर्ष लेख पट्टी पर, अनुकूलित कार्यपुस्तिका सहेजने के लिए इस रूप में सहेजें चिह्न का चयन करें.

  18. शीर्षक फ़ील्ड में, नई कार्यपुस्तिका के लिए कोई नाम प्रदान करें और फिर सहेजें का चयन करें.

  19. जब आप परिवर्तन करना समाप्त कर लें, तो संपादन पूर्ण का चयन करें

    नोक

    आपकी नई कार्यपुस्तिका Microsoft Sentinel से पहुँच योग्य है | मेरीकार्यपुस्तिकाएँ टैब में कार्यपुस्तिकाएँ फलक. यदि आपकी नई कार्यपुस्तिका सूचीबद्ध नहीं है, तो ताज़ा करें विकल्प का चयन करें.

संसाधनों को साफ करें

  1. Azure पोर्टल में, संसाधन समूहखोजें.
  2. azure-sentinel-rg चुनें.
  3. शीर्ष लेख पट्टी पर, संसाधन समूह हटाएँ का चयन करें.
  4. संसाधन समूह का नाम लिखें: फ़ील्ड में, संसाधन समूह azure-sentinel-rg का नाम दर्ज करें और हटाएँ का चयन करें.