Alapértelmezett Microsoft Sentinel-munkafüzetek használata

  • 5 perc

A Microsoft Sentinel számos használatra kész sablont kínál. Ezekkel a sablonokkal saját munkafüzetet hozhat létre, majd szükség szerint módosíthatja a Contosóhoz.

Microsoft Sentinel-munkafüzetek

A Microsoft Sentinel által az adatok betöltésére használt adatösszekötők többsége saját munkafüzetekkel rendelkezik. A betöltendő adatokra táblák és vizualizációk, köztük sáv- és kördiagramok használatával kaphat betekintést. Saját munkafüzeteket is készíthet az alapoktól az előre definiált sablonok használata helyett.

Munkafüzet lap

A Microsoft Sentinel Munkafüzetek lapját a navigációs panelen érheti el. A Munkafüzetek lapon hozzáadhat egy új munkafüzetet, és áttekintheti az elérhető mentett munkafüzeteket és sablonokat.

A meglévő munkafüzetsablonokat a Sablonok lapon érheti el. A munkafüzetek egy részét mentheti a gyors hozzáférés érdekében. Ezek megjelennek a Saját munkafüzetek lapon.

A Sablonok lapon kiválaszthat egy meglévő munkafüzetet, hogy megjelenítse a hozzá tartozó részleteket tartalmazó panelt, amely további információkat tartalmaz a sablonról. A részletek panel a Microsoft Sentinelhez csatlakoztatandó adattípusokról és adatösszekötőkről is tartalmaz információkat. Azt is áttekintheti, hogyan jelenik meg a jelentés.

Meglévő munkafüzetsablon áttekintése

Ahogy korábban említettük, a Contosónak a sérült identitásokkal kapcsolatos aggodalmai vannak. Biztonsági rendszergazdaként megvizsgálhatja a Meglévő Microsoft Entra bejelentkezési naplók munkafüzetét , ha kiválasztja a sablont a Sablonok szakaszban. Ezután válassza a Sablon megtekintése lehetőséget a részletek panelen.

A Microsoft Entra bejelentkezési naplók munkafüzete előre definiált diagramokat, grafikonokat és táblázatokat tartalmaz, amelyek fontos betekintést nyújtanak a Microsoft Entra ID bejelentkezési tevékenységébe. A felhasználói bejelentkezésekkel és helyekkel, a felhasználók e-mail-címeivel és IP-címeivel kapcsolatos információkra kereshet. A sikertelen tevékenységekre és a hibákat kiváltó hibákra vonatkozó információkat is áttekintheti.

A Microsoft Entra bejelentkezési naplók lapján kibonthatja az időtartományt, vagy szűrheti azokat az alkalmazásokat és felhasználókat, amelyek bejelentkezési jogosultságokkal rendelkeznek a Microsoft Entra-azonosítóban. A Contoso például azonosítani szeretné azOkat a felhasználókat, akik bejelentkezhetnek az Azure Portalra, így a következőképpen szűrheti az adatokat.

Screenshot that displays Sign-in Analysis with filtering of the users that sign-in to the Azure portal.

A Contoso szeretné azonosítani a sikertelen bejelentkezési kísérleteket. Ezeket a fiókokat az információs csempék kiválasztásával jelenítheti meg, majd kijelölhet egy csempét vagy egy sort, hogy további információkat jelenítsen meg, például:

  • Bejelentkezések hely szerint. Ez a szakasz azt a helyet jelzi, ahonnan a felhasználó bejelentkezett a Microsoft Entra-azonosítóba.
  • A hely bejelentkezési adatai. Ez a szakasz a felhasználókat, a bejelentkezési állapotukat, valamint a bejelentkezési kísérlet időpontját jeleníti meg.
  • Bejelentkezés eszköz szerint. Ez a szakasz a felhasználók által a Microsoft Entra-azonosítóba való bejelentkezéshez használt eszközöket sorolja fel.
  • Az eszköz bejelentkezési adatai. Ez a szakasz egy adott eszközön bejelentkezett felhasználókat és a bejelentkezések időpontját jeleníti meg.

Ez az információs csempe a háttérben úgy van konfigurálva, hogy futtassa a lekérdezést, és szűrje a Microsoft Entra-összekötőből gyűjtött adatokat. A Microsoft Sentinel ezután megjeleníti és bemutatja a táblák használatával gyűjtött adatokat, amelyek jelentéssel bírnak, és hasznos betekintést nyújtanak a felhasználói bejelentkezési kísérletekbe.

A munkafüzet más csempéket tartalmaz, amelyek jelzik a feltételes hozzáféréssel bejelentkezett felhasználókat. A feltételes hozzáférés állapottáblájából áttekintheti azokat a felhasználókat, akik többtényezős hitelesítést igényelnek az identitásuk érvényesítéséhez.

Screenshot of Conditional Access activity.

A lap többi része interaktív táblákat és diagramokat is tartalmaz. A megjelenített adatok szűréséhez válasszon ki néhány sort vagy csempét. Néhány táblázatban a megfelelő naplókra mutató hivatkozások találhatók, ahogyan a következő képernyőképen is látható.

Screenshot of the links that can open the query in Azure Data Explorer or pin the query in dashboard.

Megjegyzés:

A gyors elérés érdekében a privát vagy a közös irányítópulton is rögzítheti a lekérdezési lépést.

A lekérdezés szerkesztése a munkafüzetből

A Contoso például további információkat szeretne keresni a naplókban, amelyek bemutatják a sikertelen felhasználói bejelentkezést. A rendszer átirányítja őket az Azure Data Explorerbe, ahol a Microsoft Sentinel végrehajtja a napló lekérdezést az információk szűréséhez.

Screenshot of Data Explorer.

Mentett munkafüzetek megismerése

A Sablonok lapon mentheti a munkafüzetet a meglévő sablonokból az egyik sablon kiválasztásával, majd a Mentés gombra kattintva. Meg kell adnia egy helyet, ahová menteni szeretné a munkafüzetet. Ez a folyamat létrehoz egy Azure-erőforrást a sablon JSON-fájljával rendelkező sablon alapján.

A mentett munkafüzetek a Saját munkafüzetek lapon érhetők el, ahol testre szabhatja őket. A mentett munkafüzeteket a Mentett munkafüzet megtekintése lehetőség kiválasztásával nyithatja meg. Ez a művelet ugyanazt a lapot nyitja meg, mint a sablonmunkafüzet oldala, de ezt a Contoso követelményei alapján testre is szabhatja.

A Szerkesztés gombra kattintva megnyithatja a munkafüzetet szerkesztési módban. Hozzáadhat vagy eltávolíthat elemeket, és további testreszabást végezhet. A szerkesztési mód megjeleníti a munkafüzet teljes tartalmát, beleértve azokat a lépéseket és paramétereket is, amelyek az olvasási módban el vannak rejtve.

A szerkesztési mód fejlécén számos beállítás közül választhat, ahogy az alábbi képernyőképen is látható.

Screenshot of the Editing mode that depicts the various editing options such as Save, Save As, Settings, Refresh, Share, Help, and more.

Amikor a szerkesztési módra vált, figyelje meg a munkafüzet egyes részeinek megfelelő szerkesztési lehetőségeket. Ha a szerkesztési beállítások egyikét választja, megvizsgálhatja azt a lekérdezést, amellyel a Microsoft Sentinel szűri az adatokat a megfelelő naplóból.

Amikor kiválasztja a beállítások ikont, megnyílik a Gépház lap, ahol más, a munkafüzetben használni kívánt erőforrásokat is megadhat. A munkafüzet stílusát is módosíthatja, címkézést adhat meg, vagy elemeket rögzíthet a munkafüzetben.

Screenshot of the Settings page.

A Rögzítési lehetőségek megjelenítése lehetőség kiválasztásával átrendezheti a munkafüzet különböző táblázatainak elhelyezését.

A speciális testreszabáshoz kiválaszthatja a Speciális szerkesztőt az aktuális munkafüzet JSON-leképezésének megnyitásához, majd a szövegszerkesztőben való további testreszabásához. A módosításokat mentheti a meglévő munkafüzetbe, vagy új munkafüzetként. Ha végzett az összes testreszabással, a Szerkesztés kész lehetőséget választva kiléphet a szerkesztési módból.

A Microsoft Sentinel-adattár felfedezése a GitHubon

A Microsoft Sentinel-adattár beépített észleléseket, felderítési lekérdezéseket, keresési lekérdezéseket, munkafüzeteket, forgatókönyveket és egyebeket tartalmaz, amelyek segítenek a környezet védelmében és a fenyegetések észlelésében. A Microsoft és a Microsoft Sentinel közössége hozzájárul ehhez az adattárhoz.

Az adattár a Microsoft Sentinel funkcióinak számos területén tartalmaz olyan mappákat, amelyekhez hozzá van juttatott tartalom, beleértve az észlelési lekérdezéseket is. Ezekből a lekérdezésekből származó kóddal egyéni lekérdezéseket hozhat létre a Microsoft Sentinel-munkaterületen.

Tesztelje tudását

1.

Az alábbi elemek közül melyik nem lehet része a munkafüzetnek?

2.

A Microsoft Entra bejelentkezési naplók munkafüzetének mely szakaszában a rendszergazdák olyan információkat találnak, amelyek alapján a felhasználók többtényezős hitelesítést (MFA) hajthatnak végre identitásuk érvényesítéséhez.