Megosztás a következőn keresztül:


Adatok vizualizációja és monitorozása munkafüzetek használatával a Microsoft Sentinelben

Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, vizualizálja és monitorozza az adatokat a Microsoft Sentinel munkafüzetei segítségével. A Microsoft Sentinel-munkafüzetek Azure Monitor-munkafüzeteken alapulnak, és táblákat és diagramokat adnak hozzá a naplókhoz és lekérdezésekhez az Azure-ban már elérhető eszközökhöz.

A Microsoft Sentinel lehetővé teszi egyéni munkafüzetek létrehozását az adatok között, illetve a csomagolt megoldásokkal elérhető meglévő munkafüzetsablonokat vagy a tartalomközpontból származó különálló tartalmakat. Minden munkafüzet egy Azure-erőforrás, mint bármely más, és hozzárendelheti az Azure szerepköralapú hozzáférés-vezérléssel (RBAC) annak meghatározásához és korlátozásához, hogy ki férhet hozzá.

Ez a cikk azt ismerteti, hogyan jelenítheti meg az adatokat a Microsoft Sentinelben munkafüzetek használatával.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

  • Legalább munkafüzet-olvasói vagy munkafüzet-közreműködői engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterület erőforráscsoportján.

    A Microsoft Sentinelben látható munkafüzetek a Microsoft Sentinel-munkaterület erőforráscsoportjában vannak mentve, és a munkaterület címkézi őket, amelyben létrehozták őket.

  • Munkafüzetsablon használatához telepítse a munkafüzetet tartalmazó megoldást, vagy telepítse a munkafüzetet önálló elemként a Content Hubról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Munkafüzet létrehozása sablonból

Munkafüzet létrehozásához használjon a tartalomközpontból telepített sablont.

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Munkafüzetek lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>munkafüzetek lehetőséget.

  2. Lépjen a Munkafüzetek elemre, majd válassza a Sablonok lehetőséget a telepített munkafüzetsablonok listájának megtekintéséhez.

    Ha meg szeretné tekinteni, hogy mely sablonok relevánsak a csatlakoztatott adattípusokhoz, tekintse át az egyes munkafüzetek Kötelező adattípusok mezőjét, ahol elérhető.

  3. Válassza a Mentés lehetőséget a sablon részletei panelről, valamint a sablon JSON-fájljának mentési helyéről. Ez a művelet létrehoz egy Azure-erőforrást a megfelelő sablon alapján, és nem az adatokat, hanem a munkafüzet JSON-fájlját menti.

  4. Válassza a Mentett munkafüzet megtekintése lehetőséget a sablon részletei panelen.

  5. Válassza a Szerkesztés gombot a munkafüzet eszköztárán, hogy igényeinek megfelelően testre szabja a munkafüzetet.

    Képernyőkép a mentett munkafüzetről.

    Válassza például a TimeRange szűrőt az aktuális kijelölésnél eltérő időtartomány adatainak megtekintéséhez. Egy adott munkafüzetterület szerkesztéséhez válassza a Szerkesztés vagy a három pont (...) lehetőséget elemek hozzáadásához, illetve a terület áthelyezéséhez, klónozásához vagy eltávolításához.

    A munkafüzet klónozásához válassza a Mentés másként lehetőséget. Mentse a klónt egy másik névvel, ugyanabban az előfizetésben és erőforráscsoportban. A klónozott munkafüzetek a Saját munkafüzetek lapon jelennek meg.

  6. Ha elkészült, a módosítások mentéséhez válassza a Mentés lehetőséget.

További információk:

Új munkafüzet létrehozása

Hozzon létre egy munkafüzetet az alapoktól a Microsoft Sentinelben.

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Munkafüzetek lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>munkafüzetek lehetőséget.

  2. Válassza a Munkafüzet hozzáadása lehetőséget.

  3. A munkafüzet szerkesztéséhez válassza a Szerkesztés lehetőséget, majd szükség szerint adjon hozzá szöveget, lekérdezéseket és paramétereket. A munkafüzet testreszabásával kapcsolatos további információkért tekintse meg, hogyan hozhat létre interaktív jelentéseket az Azure Monitor-munkafüzetekkel.

    Új munkafüzetet bemutató képernyőkép.

  4. Lekérdezés létrehozásakor állítsa az adatforrást Naplók és erőforrástípusra Log Analytics értékre, majd válasszon ki egy vagy több munkaterületet.

    Javasoljuk, hogy a lekérdezés az Advanced Security Information Model (ASIM) elemzőt használja, és ne egy beépített táblát. A lekérdezés ezután egyetlen adatforrás helyett minden aktuális vagy jövőbeli releváns adatforrást támogat.

  5. A munkafüzet létrehozása után mentse a munkafüzetet a Microsoft Sentinel-munkaterület előfizetése és erőforráscsoportja alá.

  6. Ha engedélyezni szeretné, hogy a szervezet más tagjai is használják a munkafüzetet, a Mentés csoportban válassza a Megosztott jelentések lehetőséget. Ha azt szeretné, hogy ez a munkafüzet csak Ön számára legyen elérhető, válassza a Saját jelentések lehetőséget.

  7. Ha váltani szeretne a munkaterületen lévő munkafüzetek között, válassza a Megnyitás A munkafüzet megnyitásának ikonja. gombot bármelyik munkafüzet eszköztárán. A képernyő más munkafüzetek listájára vált, amelyre válthat.

    Jelölje ki a megnyitni kívánt munkafüzetet:

    Munkafüzetek váltása.

Új csempék létrehozása a munkafüzetekhez

Ha egyéni csempét szeretne hozzáadni egy Microsoft Sentinel-munkafüzethez, először hozza létre a csempét a Log Analyticsben. További információ: Vizualizációadatok a Log Analyticsben.

Miután létrehozott egy csempét, válassza a Rögzítés lehetőséget, majd jelölje ki azt a munkafüzetet, amelyben meg szeretné jeleníteni a csempét.

A munkafüzet adatainak frissítése

Frissítse a munkafüzetet a frissített adatok megjelenítéséhez. Az eszköztáron válassza az alábbi lehetőségek egyikét:

  • Frissítés a munkafüzet adatainak manuális frissítéséhez.

  • Automatikus frissítés, ha a munkafüzetet konfigurált időközönként automatikus frissítésre szeretné állítani.

    • A támogatott automatikus frissítési időközök 5 perctől 1 napig terjednek.

    • A munkafüzet szerkesztése közben az automatikus frissítés szünetel, és az időközök minden alkalommal újraindulnak, amikor visszaáll a megtekintési módra szerkesztési módról.

    • Az automatikus frissítési időközök is újraindulnak, ha manuálisan frissíti az adatokat.

    Alapértelmezés szerint az automatikus frissítés ki van kapcsolva. A teljesítmény optimalizálása érdekében az automatikus frissítés minden alkalommal ki van kapcsolva, amikor bezár egy munkafüzetet. Nem fut a háttérben. A munkafüzet következő megnyitásakor szükség szerint kapcsolja vissza az automatikus frissítést.

Munkafüzet nyomtatásához vagy PDF-fájlként való mentéséhez használja a munkafüzet címétől jobbra található Beállítások menüt.

  1. Válassza a Beállítások Tartalom nyomtatása lehetőséget>.

  2. A nyomtatási képernyőn szükség szerint módosítsa a nyomtatási beállításokat, vagy válassza a Mentés PDF-ként lehetőséget a helyi mentéshez.

    Példa:

    Képernyőkép a munkafüzet nyomtatásáról vagy PDF-fájlként való mentésről.

Munkafüzetek törlése

Mentett munkafüzet, mentett sablon vagy testreszabott munkafüzet törléséhez jelölje ki a törölni kívánt mentett munkafüzetet, és válassza a Törlés lehetőséget. Ez a művelet eltávolítja a mentett munkafüzetet. Emellett eltávolítja a munkafüzet-erőforrást és a sablonon végzett módosításokat is. Az eredeti sablon továbbra is elérhető marad.

Munkafüzet-javaslatok

Ez a szakasz áttekinti a Microsoft Sentinel-munkafüzetek használatához szükséges alapvető javaslatokat.

Microsoft Entra ID-munkafüzetek hozzáadása

Ha a Microsoft Entra ID-t a Microsoft Sentinellel használja, javasoljuk, hogy telepítse a Microsoft Sentinelhez készült Microsoft Entra-megoldást, és használja a következő munkafüzeteket:

  • A Microsoft Entra-bejelentkezések idővel elemzik a bejelentkezéseket, hogy kiderüljön, vannak-e rendellenességek. Ez a munkafüzet alkalmazások, eszközök és helyek sikertelen bejelentkezéseit biztosítja, hogy egy pillantással észrevehesse, ha valami szokatlan történik. Figyeljen több sikertelen bejelentkezésre.
  • A Microsoft Entra naplózási naplói elemzik a rendszergazdai tevékenységeket, például a felhasználók módosításait (hozzáadás, eltávolítás stb.), a csoportlétrehozásokat és a módosításokat.

Tűzfal-munkafüzetek hozzáadása

Javasoljuk, hogy telepítse a megfelelő megoldást a Content Hubról, hogy munkafüzetet adjon hozzá a tűzfalhoz.

Telepítse például a Microsoft Sentinel Palo Alto tűzfalmegoldását a Palo Alto-munkafüzetek hozzáadásához. A munkafüzetek elemzik a tűzfal forgalmát, összefüggéseket biztosítanak a tűzfaladatok és a fenyegetésesemények között, és kiemelik a gyanús eseményeket az entitások között.

Képernyőkép a Palo Alto-munkafüzetről.

Különböző munkafüzetek létrehozása különböző célokra

Javasoljuk, hogy a munkafüzeteket használó személytípusokhoz különböző vizualizációkat hozzon létre a személy szerepköre és a keresett személy alapján. Hozzon létre például egy munkafüzetet a hálózati rendszergazdának, amely tartalmazza a tűzfaladatokat.

Másik lehetőségként hozzon létre munkafüzeteket attól függően, hogy milyen gyakran szeretné megtekinteni őket, vannak-e naponta áttekinteni kívánt elemek, és hogy vannak-e óránként egyszer ellenőrizni kívánt elemek. Előfordulhat például, hogy óránként meg szeretné nézni a Microsoft Entra-bejelentkezéseket, hogy rendellenességeket keressen.

Az alábbi lekérdezéssel olyan vizualizációt hozhat létre, amely összehasonlítja a heteken át tartó forgalom trendjeit. A környezettől függően váltson a lekérdezést futtató eszköz gyártójára és adatforrására.

Az alábbi minta lekérdezés a Windows SecurityEvent táblát használja. Előfordulhat, hogy az AzureActivity vagy a CommonSecurityLog táblában való futtatásra szeretné váltani bármely más tűzfalon.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Minta lekérdezés több forrásból származó adatokkal

Érdemes lehet olyan lekérdezést létrehozni, amely több forrásból származó adatokat tartalmaz. Hozzon létre például egy lekérdezést, amely megvizsgálja a Létrehozott új felhasználók Microsoft Entra-naplóit, majd ellenőrzi az Azure-naplókat, hogy a felhasználó a létrehozást követő 24 órán belül megkezdte-e a szerepkör-hozzárendelés módosítását. Ez a gyanús tevékenység a következő lekérdezéssel jelenik meg egy vizualizációban:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

További információk: