Összegyűjtött adatok vizualizációja

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és a következő hetekben frissítjük ezeket az oldalakat. További információ a Microsoft legújabb biztonsági fejlesztéseiről.

Ebből a cikkből megtudhatja, hogyan tekintheti meg és figyelheti gyorsan a környezetében zajló eseményeket a Microsoft Sentinel használatával. Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, azonnal megjelenítheti és elemezheti az adatokat, hogy megtudja, mi történik az összes csatlakoztatott adatforrásban. A Microsoft Sentinel olyan munkafüzeteket biztosít, amelyek az Azure-ban már elérhető eszközök teljes körű kihasználását biztosítják, valamint beépített táblákat és diagramokat, amelyek elemzést biztosítanak a naplókhoz és lekérdezésekhez. Használhat beépített munkafüzeteket, vagy egyszerűen létrehozhat új munkafüzetet az alapoktól kezdve, vagy egy meglévő munkafüzet alapján.

Vizualizáció lekérése

A környezeten zajló események megjelenítéséhez és elemzéséhez először tekintse meg az áttekintő irányítópultot, hogy képet kapjon a szervezet biztonsági helyzetéről. A csempék egyes elemeire kattintva részletezheti azokat a nyers adatokat, amelyekből létrehozták őket. A zaj csökkentése és a felülvizsgálandó és kivizsgálandó riasztások számának minimalizálása érdekében a Microsoft Sentinel egy fúziós technikával korrelálja a riasztásokat incidensekkel. Az incidensek kapcsolódó riasztások csoportjai, amelyek együttesen létrehoznak egy végrehajtható incidenst, amelyet kivizsgálhat és megoldhat.

  • A Azure Portal válassza ki a Microsoft Sentinelt, majd válassza ki a figyelni kívánt munkaterületet.

    Microsoft Sentinel overview

  • A felső eszköztáron látható, hogy hány eseményt kapott a kiválasztott időszakban, és összehasonlítja azt az előző 24 órával. Az eszköztár tájékoztatja az eseményekről, az aktivált riasztásokról (a kis szám az elmúlt 24 óra változását jelzi), majd megmutatja, hogy hány esemény van megnyitva, folyamatban és lezárva. Ellenőrizze, hogy nincs-e drámai növekedés vagy csökkenés az események számában. Ha megszakad a kapcsolat, előfordulhat, hogy egy kapcsolat leállt a Microsoft Sentinel felé történő jelentéskészítésben. Ha növekedés tapasztalható, valami gyanús dolog történhetett. Ellenőrizze, hogy vannak-e új riasztásai.

    Microsoft Sentinel counters

Az áttekintő oldal törzse egy pillantással betekintést nyújt a munkaterület biztonsági állapotába:

  • Események és riasztások idővel: Felsorolja az események számát és azt, hogy hány riasztás jött létre ezekből az eseményekből. Ha szokatlan kiugrást lát, riasztásokat kell látnia– ha valami szokatlan történik az eseményekben, de nem látja a riasztásokat, az aggodalomra adhat okot.

  • Lehetséges rosszindulatú események: Ha a rendszer rosszindulatúnak vélt forrásokból észleli a forgalmat, a Microsoft Sentinel riasztást küld a térképen. Ha narancssárga, bejövő forgalom jelenik meg: valaki egy ismert rosszindulatú IP-címről próbál hozzáférni a szervezethez. Ha kimenő (piros) tevékenységet lát, az azt jelenti, hogy a hálózatról származó adatokat a rendszer egy ismert rosszindulatú IP-címre streameli a szervezetből.

    Malicious traffic map

  • Legutóbbi incidensek: A legutóbbi incidensek, azok súlyosságának és az incidenshez társított riasztások számának megtekintéséhez. Ha egy adott típusú riasztás hirtelen csúcspontját látja, az azt jelentheti, hogy jelenleg aktív támadás fut. Ha például a Microsoft Defender for Identity (korábbi nevén Azure ATP) 20 pass-the-hash eseményének hirtelen csúcsértéke van, lehetséges, hogy valaki éppen támadni próbál.

  • Adatforrás-anomáliák: A Microsoft adatelemzői olyan modelleket hoztak létre, amelyek folyamatosan keresik az adatforrások adatait, és anomáliákat keresnek. Ha nincsenek anomáliák, semmi sem jelenik meg. Ha anomáliákat észlel, érdemes alaposan utánalátni, hogy mi történt. Kattintson például az Azure-tevékenység csúcsára. A diagramra kattintva megtekintheti, hogy mikor történt a kiugrás, majd szűrhet az adott időszakban történt tevékenységekre, hogy lássa, mi okozta a csúcsot.

    Anomalous data sources

Beépített munkafüzetek használata

A beépített munkafüzetek integrált adatokat biztosítanak a csatlakoztatott adatforrásokból, így részletesen megismerheti az ezekben a szolgáltatásokban létrehozott eseményeket. A beépített munkafüzetek tartalmazzák az Azure AD-t, az Azure-tevékenységeseményeket és a helyszíni eseményeket, amelyek a kiszolgálókról származó Windows eseményekből, a belső riasztásokból, bármely harmadik féltől származó adatok lehetnek, beleértve a tűzfal forgalmi naplóit, Office 365 és a nem biztonságos protokollokat Windows események alapján. A munkafüzetek az Azure Monitor-munkafüzeteken alapulnak, így nagyobb testreszabhatóságot és rugalmasságot biztosítanak a saját munkafüzetek tervezésében. További információ: Munkafüzetek.

  1. A Gépház csoportban válassza a Munkafüzetek lehetőséget. A Telepített területen láthatja az összes telepített munkafüzetet. A Mind területen láthatja a telepíthető beépített munkafüzetek teljes katalógusát.
  2. Keressen rá egy adott munkafüzetre az egyes ajánlatok teljes listájának és leírásának megtekintéséhez.
  3. Feltételezve, hogy az Azure AD-t használja a Microsoft Sentinel használatához, javasoljuk, hogy telepítse legalább a következő munkafüzeteket:
    • Azure AD: Használja az alábbiak egyikét vagy mindkettőt:

      • Az Azure AD-bejelentkezések idővel elemzik a bejelentkezéseket, és ellenőrzik, hogy vannak-e anomáliák. Ez a munkafüzet alkalmazások, eszközök és helyek sikertelen bejelentkezéseit biztosítja, hogy egy pillantással észrevehesse, ha valami szokatlan történik. Figyeljen több sikertelen bejelentkezésre.
      • Az Azure AD auditnaplói elemzik a rendszergazdai tevékenységeket, például a felhasználók módosításait (hozzáadás, eltávolítás stb.), a csoportok létrehozását és a módosításokat.
    • Vegyen fel egy munkafüzetet a tűzfalhoz. Adja hozzá például a Palo Alto-munkafüzetet. A munkafüzet elemzi a tűzfal forgalmát, korrelációkat biztosít a tűzfaladatok és a fenyegetéses események között, és kiemeli a gyanús eseményeket az entitások között. A munkafüzetek információt nyújtanak a forgalom trendjeiről, és lehetővé teszik az eredmények részletes elemzését és szűrését.

      Palo Alto dashboard

A munkafüzeteket a fő lekérdezés query edit buttonszerkesztésével szabhatja testre. A gombra Log Analytics button kattintva megnyithatja a Log Analyticset a lekérdezés szerkesztéséhez, és kiválaszthatja a három pontot (...), és kiválaszthatja a Csempeadatok testreszabása lehetőséget, így szerkesztheti a fő időszűrőt, vagy eltávolíthatja az adott csempéket a munkafüzetből.

A lekérdezések használatával kapcsolatos további információkért lásd : Oktatóanyag: Vizualizációs adatok a Log Analyticsben

Új csempe hozzáadása

Ha új csempét szeretne hozzáadni, hozzáadhatja egy meglévő munkafüzethez, akár egy ön által létrehozott munkafüzethez, akár egy beépített Microsoft Sentinel-munkafüzethez.

  1. A Log Analyticsben hozzon létre egy csempét az oktatóanyagban található utasítások alapján : Vizualizációs adatok a Log Analyticsben.
  2. A csempe létrehozása után a Rögzítés csoportban jelölje ki azt a munkafüzetet, amelyben meg szeretné jeleníteni a csempét.

Új munkafüzetek létrehozása

Létrehozhat új munkafüzetet az alapoktól, vagy használhat egy beépített munkafüzetet az új munkafüzet alapjaként.

  1. Ha új munkafüzetet szeretne létrehozni az alapoktól, válassza a Munkafüzetek , majd az +Új munkafüzet lehetőséget.
  2. Jelölje ki azt az előfizetést, amelyben a munkafüzet létrejön, és adjon neki egy leíró nevet. Minden munkafüzet egy Azure-erőforrás, mint bármely más, és hozzárendelheti a szerepköröket (Azure RBAC) annak meghatározásához és korlátozásához, hogy ki férhet hozzá.
  3. Ha engedélyezni szeretné, hogy megjelenjen a munkafüzetekben a vizualizációk rögzítéséhez, meg kell osztania. Kattintson a Megosztás , majd a Felhasználók kezelése elemre.
  4. A hozzáférés- és szerepkör-hozzárendelésekellenőrzése ugyanúgy használható, mint bármely más Azure-erőforrás esetében. További információ: Azure-munkafüzetek megosztása az Azure RBAC használatával.

Új munkafüzetpéldák

Az alábbi minta lekérdezés lehetővé teszi a hetek közötti forgalom trendjeinek összehasonlítását. Egyszerűen válthat arról, hogy melyik eszköz gyártóján és adatforrásán futtatja a lekérdezést. Ez a példa a SecurityEvent parancsot használja a Windows-ből, és átválthatja úgy, hogy bármely más tűzfalon futtassa az AzureActivity vagy a CommonSecurityLog szolgáltatásban.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Érdemes lehet olyan lekérdezést létrehozni, amely több forrásból származó adatokat tartalmaz. Létrehozhat egy lekérdezést, amely megvizsgálja Azure Active Directory újonnan létrehozott felhasználók naplóit, majd ellenőrzi az Azure-naplókat, és ellenőrzi, hogy a felhasználó a létrehozást követő 24 órán belül megkezdte-e a szerepkör-hozzárendelés módosítását. Ez a gyanús tevékenység jelenik meg ezen az irányítópulton:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Különböző munkafüzeteket hozhat létre az adatok és a keresett személyek szerepköre alapján. Létrehozhat például egy munkafüzetet a hálózati rendszergazdának, amely tartalmazza a tűzfaladatokat. Munkafüzeteket is létrehozhat annak alapján, hogy milyen gyakran szeretné megtekinteni őket, hogy vannak-e naponta áttekintendő dolgok, és más elemeket, amelyeket óránként egyszer szeretne ellenőrizni, például érdemes óránként megtekintenie az Azure AD-bejelentkezéseket az anomáliák kereséséhez.

Új észlelések létrehozása

Észleléseket hozhat létre a Microsoft Sentinelhez csatlakoztatott adatforrásokon a szervezet fenyegetéseinek kivizsgálásához.

Új észlelés létrehozásakor használja ki a Microsoft biztonsági kutatói által készített beépített észleléseket, amelyek a csatlakoztatott adatforrásokhoz vannak igazítva.

Az összes beépített észlelés megtekintéséhez lépjen az Elemzés , majd a Szabálysablonok elemre. Ez a lap az összes beépített Microsoft Sentinel-szabályt tartalmazza.

Use built-in detections to find threats with Microsoft Sentinel

A beépített észlelésekről további információt a Beépített elemzések beszerzése című témakörben talál.

Következő lépések

Ebben a rövid útmutatóban megtanulta, hogyan kezdheti el használni a Microsoft Sentinelt. Folytassa a fenyegetésészlelési cikkel.

Egyéni fenyegetésészlelési szabályok létrehozásával automatizálhatja a fenyegetésekre adott válaszokat.