Összegyűjtött adatok vizualizációja

Ebből a cikkből megtudhatja, hogyan tekintheti meg és figyelheti meg gyorsan a környezetében zajló eseményeket Microsoft Sentinel használatával. Miután csatlakoztatta az adatforrásokat Microsoft Sentinelhez, azonnal megjelenítheti és elemezheti az adatokat, hogy megtudja, mi történik az összes csatlakoztatott adatforrásban. Microsoft Sentinel olyan munkafüzeteket biztosít, amelyek az Azure-ban már elérhető eszközök teljes körű kihasználását biztosítják, valamint beépített táblákat és diagramokat, amelyek elemzést biztosítanak a naplókhoz és a lekérdezésekhez. Használhat beépített munkafüzeteket, vagy egyszerűen hozhat létre új munkafüzetet az alapoktól kezdve vagy egy meglévő munkafüzet alapján.

Vizualizáció lekérése

A környezetében zajló események megjelenítéséhez és elemzéséhez először tekintse meg az áttekintő irányítópultot, hogy képet kapjon a szervezet biztonsági helyzetéről. A zaj csökkentése és a felülvizsgálandó és kivizsgálandó riasztások számának minimalizálása érdekében Microsoft Sentinel fúziós technikával korrelálja a riasztásokat az incidensekkel. Az incidensek kapcsolódó riasztások csoportjai, amelyek együttesen létrehoznak egy végrehajtható incidenst, amelyet kivizsgálhat és megoldhat.

A Azure Portal válassza Microsoft Sentinel elemet, majd válassza ki a figyelni kívánt munkaterületet.

Képernyőkép a Microsoft Sentinel áttekintési oldaláról.

Ha frissíteni szeretné az irányítópult összes szakaszának adatait, válassza az irányítópult tetején található Frissítés lehetőséget. A teljesítmény javítása érdekében a rendszer előre kiszámítja az irányítópult egyes szakaszainak adatait, és az egyes szakaszok tetején láthatja a frissítés idejét.

Incidensadatok megtekintése

Az Incidensek területen különböző típusú incidensadatok láthatók.

Képernyőkép a Microsoft Sentinel áttekintési oldalán található Incidensek szakaszról.

  • A bal felső sarokban látható az új, aktív és lezárt incidensek száma az elmúlt 24 órában.
  • A jobb felső sarokban az incidensek súlyosság szerint, a lezárt incidensek pedig a besorolás lezárása alapján jelennek meg.
  • A bal alsó sarokban egy gráf négy órás időközönként, létrehozási idő szerint bontja fel az incidens állapotát.
  • A jobb alsó sarokban látható az incidensek nyugtázásának átlagos ideje és a lezárás átlagos ideje, az SOC-hatékonysági munkafüzetre mutató hivatkozással.

Automatizálási adatok megtekintése

Az Automation területen különböző típusú automatizálási adatok láthatók.

Képernyőkép a Microsoft Sentinel áttekintési oldalán található Automation szakaszról.

  • Felül megjelenik az automatizálási szabályok tevékenységeinek összegzése: Az automatizálás által bezárt incidensek, az automatizálás mentésének időpontja és a kapcsolódó forgatókönyvek állapota.
  • Az összefoglalás alatt egy grafikon összegzi az automatizálás által végrehajtott műveletek számát művelettípus szerint.
  • Alul található az aktív automatizálási szabályok száma az Automation panelre mutató hivatkozással.

Adatrekordok, adatgyűjtők és fenyegetésfelderítés állapotának megtekintése

Az Adatok területen különböző típusú adatok láthatók az adatrekordokon, adatgyűjtőkön és fenyegetésfelderítésen.

Képernyőkép a Microsoft Sentinel áttekintési oldalán található Adatok szakaszról.

  • A bal oldali gráf az elmúlt 24 órában gyűjtött, a Sentinel Microsoft rekordjainak számát jeleníti meg az előző 24 órához képest, valamint az adott időszakban észlelt rendellenességeket.
  • A jobb felső sarokban megjelenik az adatösszekötő állapotának összegzése, nem kifogástalan és aktív összekötőkkel osztva. A nem kifogástalan állapotú összekötők azt jelzik , hogy hány összekötőnek van hibája. Az aktív összekötők Microsoft Sentinelbe adatfolyamattal rendelkező összekötők, amelyeket az összekötőben található lekérdezés mér.
  • A jobb alsó sarokban a fenyegetésfelderítési rekordok láthatók Microsoft Sentinelben, a biztonsági rés jelzése alapján.

Elemzési adatok megtekintése

Az elemzési szabályok adatait az Elemzés területen tekintheti meg.

Képernyőkép a Microsoft Sentinel áttekintési oldalán található Elemzés szakaszról.

Az elemzési szabályok száma Microsoft Sentinelben engedélyezve, letiltva vagy automatikusan letiltva állapotban jelenik meg.

Beépített munkafüzetek használata

A beépített munkafüzetek integrált adatokat biztosítanak a csatlakoztatott adatforrásokból, így részletesen megismerheti az ezekben a szolgáltatásokban létrehozott eseményeket. A beépített munkafüzetek közé tartoznak a Azure AD, az Azure-tevékenységesemények és a helyszíni események, amelyek a Windows-események kiszolgálóiról, a belső riasztásokból, bármely külső féltől származó adatok lehetnek, beleértve a tűzfal forgalmi naplóit, a Office 365 és a Windows-eseményeken alapuló nem biztonságos protokollokat. A munkafüzetek Azure Monitor-munkafüzeteken alapulnak, így nagyobb testreszabhatóságot és rugalmasságot biztosítanak a saját munkafüzetek tervezésében. További információ: Munkafüzetek.

  1. A Beállítások területen válassza a Munkafüzetek lehetőséget. A Telepített területen láthatja az összes telepített munkafüzetet. A Mind területen láthatja a telepíthető beépített munkafüzetek teljes katalógusát.
  2. Keressen rá egy adott munkafüzetre az egyes ajánlatok teljes listájának és leírásának megtekintéséhez.
  3. Feltételezve, hogy Azure AD használja a Microsoft Sentinel használatához, javasoljuk, hogy telepítse legalább a következő munkafüzeteket:
    • Azure AD: Használja az alábbiak egyikét vagy mindkettőt:

      • Azure AD bejelentkezések idővel elemzik a bejelentkezéseket, és ellenőrzik, hogy vannak-e anomáliák. Ez a munkafüzet alkalmazások, eszközök és helyek sikertelen bejelentkezéseit biztosítja, így egy pillantással észreveheti, ha valami szokatlan történik. Figyeljen több sikertelen bejelentkezésre.
      • Azure AD auditnaplók elemzik a rendszergazdai tevékenységeket, például a felhasználók módosításait (hozzáadás, eltávolítás stb.), csoportlétrehozásokat és módosításokat.
    • Vegyen fel egy munkafüzetet a tűzfalhoz. Adja hozzá például a Palo Alto munkafüzetet. A munkafüzet elemzi a tűzfal forgalmát, összefüggéseket biztosít a tűzfaladatok és a fenyegetésesemények között, és kiemeli a gyanús eseményeket az entitások között. A munkafüzetek információt nyújtanak a forgalom trendjeiről, és lehetővé teszik az eredmények részletes elemzését és szűrését.

      Palo Alto-irányítópult

A munkafüzeteket a fő lekérdezésszerkesztő gomb szerkesztésével szabhatja testre. A Log Analytics gombra kattintva megnyithatja a Log Analyticset a lekérdezés szerkesztéséhez, és kiválaszthatja a három pontot (...), majd a Csempeadatok testreszabása lehetőséget, amellyel szerkesztheti a fő időszűrőt, vagy eltávolíthatja az adott csempéket a munkafüzetből.

A lekérdezések használatával kapcsolatos további információkért lásd : Oktatóanyag: Vizualizációs adatok a Log Analyticsben

Új csempe hozzáadása

Ha új csempét szeretne hozzáadni, hozzáadhatja egy meglévő munkafüzethez, akár egy létrehozott munkafüzethez, akár egy Microsoft Sentinel beépített munkafüzethez.

  1. A Log Analyticsben hozzon létre egy csempét az Oktatóanyag: Vizuális adatok a Log Analyticsben című témakörben található utasítások alapján.
  2. A csempe létrehozása után a Rögzítés területen jelölje ki azt a munkafüzetet, amelyben meg szeretné jeleníteni a csempét.

Új munkafüzetek létrehozása

Létrehozhat új munkafüzetet az alapoktól, vagy használhat egy beépített munkafüzetet az új munkafüzet alapjaként.

  1. Ha teljesen új munkafüzetet szeretne létrehozni, válassza a Munkafüzetek , majd az +Új munkafüzet lehetőséget.
  2. Válassza ki azt az előfizetést, amelyben a munkafüzet létrejön, és adjon neki egy leíró nevet. Minden munkafüzet egy Azure-erőforrás, mint bármely más, és szerepkörök (Azure RBAC) hozzárendelésével meghatározhatja és korlátozhatja, hogy ki férhet hozzá.
  3. Ahhoz, hogy megjelenjen a munkafüzetekben a vizualizációk rögzítéséhez, meg kell osztania. Kattintson a Megosztás , majd a Felhasználók kezelése elemre.
  4. Használja a Hozzáférés és szerepkör-hozzárendelések ellenőrzése lehetőséget, ahogyan bármely más Azure-erőforrás esetében tenné. További információ: Azure-munkafüzetek megosztása az Azure RBAC használatával.

Új munkafüzetpéldák

Az alábbi mintalekérdezés lehetővé teszi a hetek közötti forgalom trendjeinek összehasonlítását. Egyszerűen válthat, hogy melyik eszköz gyártóján és adatforrásán futtatja a lekérdezést. Ez a példa a SecurityEvent parancsot használja a Windowsból, és átválthatja úgy, hogy bármely más tűzfalon futtassa az AzureActivity vagy a CommonSecurityLog használatával.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Érdemes lehet olyan lekérdezést létrehozni, amely több forrásból származó adatokat tartalmaz. Létrehozhat egy lekérdezést, amely megvizsgálja az újonnan létrehozott felhasználók Azure Active Directory-auditnaplóit, majd ellenőrzi az Azure-naplókat, és ellenőrzi, hogy a felhasználó a létrehozást követő 24 órán belül megkezdte-e a szerepkör-hozzárendelési módosítások elvégzését. Ez a gyanús tevékenység jelenik meg ezen az irányítópulton:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Különböző munkafüzeteket hozhat létre az adatok és a keresett adatok alapján. Létrehozhat például egy munkafüzetet a hálózati rendszergazdának, amely tartalmazza a tűzfaladatokat. Munkafüzeteket is létrehozhat az alapján, hogy milyen gyakran szeretné megtekinteni őket, hogy vannak-e olyan dolgok, amelyeket naponta szeretne áttekinteni, és hogy vannak-e olyan elemek, amelyeket óránként egyszer szeretne ellenőrizni, például óránként érdemes lehet megtekintenie a Azure AD bejelentkezéseket, hogy rendellenességeket keressen.

Új észlelések létrehozása

Észleléseket hozhat létre az Microsoft Sentinelhez csatlakoztatott adatforrásokon a szervezeten belüli fenyegetések kivizsgálásához.

Új észlelés létrehozásakor használja ki az Microsoft biztonsági kutatók által készített beépített észleléseket, amelyek a csatlakoztatott adatforrásokra vannak szabva.

Az összes beépített észlelés megtekintéséhez lépjen az Elemzés , majd a Szabálysablonok elemre. Ez a lap az összes beépített Sentinel-szabályt tartalmazza Microsoft.

Beépített észlelések használata fenyegetések kereséséhez Microsoft Sentinellel

További információ a beépített észlelésekről: Beépített elemzések beszerzése.

Következő lépések

Ebben a rövid útmutatóban megtanulta, hogyan kezdheti el használni Microsoft Sentinelt. Folytassa a fenyegetések észleléséről szóló cikkel.

Egyéni fenyegetésészlelési szabályok létrehozásával automatizálhatja a fenyegetésekre adott válaszokat.