Alapértelmezett Microsoft Sentinel-munkafüzetek használata
A Microsoft Sentinel számos használatra kész sablont kínál. Ezekkel a sablonokkal saját munkafüzetet hozhat létre, majd szükség szerint módosíthatja a Contosóhoz.
Microsoft Sentinel-munkafüzetek
A Microsoft Sentinel által az adatok betöltésére használt adatösszekötők többsége saját munkafüzetekkel rendelkezik. A betöltendő adatokra táblák és vizualizációk, köztük sáv- és kördiagramok használatával kaphat betekintést. Saját munkafüzeteket is készíthet az alapoktól az előre definiált sablonok használata helyett.
Munkafüzet lap
A Microsoft Sentinel Munkafüzetek lapját a navigációs panelen érheti el. A Munkafüzetek lapon hozzáadhat egy új munkafüzetet, és áttekintheti az elérhető mentett munkafüzeteket és sablonokat.
A meglévő munkafüzetsablonokat a Sablonok lapon érheti el. A munkafüzetek egy részét mentheti a gyors hozzáférés érdekében. Ezek megjelennek a Saját munkafüzetek lapon.
A Sablonok lapon kiválaszthat egy meglévő munkafüzetet, hogy megjelenítse a hozzá tartozó részleteket tartalmazó panelt, amely további információkat tartalmaz a sablonról. A részletek panel a Microsoft Sentinelhez csatlakoztatandó adattípusokról és adatösszekötőkről is tartalmaz információkat. Azt is áttekintheti, hogyan jelenik meg a jelentés.
Meglévő munkafüzetsablon áttekintése
Ahogy korábban említettük, a Contosónak a sérült identitásokkal kapcsolatos aggodalmai vannak. Biztonsági rendszergazdaként megvizsgálhatja a Meglévő Microsoft Entra bejelentkezési naplók munkafüzetét , ha kiválasztja a sablont a Sablonok szakaszban. Ezután válassza a Sablon megtekintése lehetőséget a részletek panelen.
A Microsoft Entra bejelentkezési naplók munkafüzete előre definiált diagramokat, grafikonokat és táblázatokat tartalmaz, amelyek fontos betekintést nyújtanak a Microsoft Entra ID bejelentkezési tevékenységébe. A felhasználói bejelentkezésekkel és helyekkel, a felhasználók e-mail-címeivel és IP-címeivel kapcsolatos információkra kereshet. A sikertelen tevékenységekre és a hibákat kiváltó hibákra vonatkozó információkat is áttekintheti.
A Microsoft Entra bejelentkezési naplók lapján kibonthatja az időtartományt, vagy szűrheti azokat az alkalmazásokat és felhasználókat, amelyek bejelentkezési jogosultságokkal rendelkeznek a Microsoft Entra-azonosítóban. A Contoso például azonosítani szeretné azOkat a felhasználókat, akik bejelentkezhetnek az Azure Portalra, így a következőképpen szűrheti az adatokat.
A Contoso szeretné azonosítani a sikertelen bejelentkezési kísérleteket. Ezeket a fiókokat az információs csempék kiválasztásával jelenítheti meg, majd kijelölhet egy csempét vagy egy sort, hogy további információkat jelenítsen meg, például:
- Bejelentkezések hely szerint. Ez a szakasz azt a helyet jelzi, ahonnan a felhasználó bejelentkezett a Microsoft Entra-azonosítóba.
- A hely bejelentkezési adatai. Ez a szakasz a felhasználókat, a bejelentkezési állapotukat, valamint a bejelentkezési kísérlet időpontját jeleníti meg.
- Bejelentkezés eszköz szerint. Ez a szakasz a felhasználók által a Microsoft Entra-azonosítóba való bejelentkezéshez használt eszközöket sorolja fel.
- Az eszköz bejelentkezési adatai. Ez a szakasz egy adott eszközön bejelentkezett felhasználókat és a bejelentkezések időpontját jeleníti meg.
Ez az információs csempe a háttérben úgy van konfigurálva, hogy futtassa a lekérdezést, és szűrje a Microsoft Entra-összekötőből gyűjtött adatokat. A Microsoft Sentinel ezután megjeleníti és bemutatja a táblák használatával gyűjtött adatokat, amelyek jelentéssel bírnak, és hasznos betekintést nyújtanak a felhasználói bejelentkezési kísérletekbe.
A munkafüzet más csempéket tartalmaz, amelyek jelzik a feltételes hozzáféréssel bejelentkezett felhasználókat. A feltételes hozzáférés állapottáblájából áttekintheti azokat a felhasználókat, akik többtényezős hitelesítést igényelnek az identitásuk érvényesítéséhez.
A lap többi része interaktív táblákat és diagramokat is tartalmaz. A megjelenített adatok szűréséhez válasszon ki néhány sort vagy csempét. Néhány táblázatban a megfelelő naplókra mutató hivatkozások találhatók, ahogyan a következő képernyőképen is látható.
Megjegyzés:
A gyors elérés érdekében a privát vagy a közös irányítópulton is rögzítheti a lekérdezési lépést.
A lekérdezés szerkesztése a munkafüzetből
A Contoso például további információkat szeretne keresni a naplókban, amelyek bemutatják a sikertelen felhasználói bejelentkezést. A rendszer átirányítja őket az Azure Data Explorerbe, ahol a Microsoft Sentinel végrehajtja a napló lekérdezést az információk szűréséhez.
Mentett munkafüzetek megismerése
A Sablonok lapon mentheti a munkafüzetet a meglévő sablonokból az egyik sablon kiválasztásával, majd a Mentés gombra kattintva. Meg kell adnia egy helyet, ahová menteni szeretné a munkafüzetet. Ez a folyamat létrehoz egy Azure-erőforrást a sablon JSON-fájljával rendelkező sablon alapján.
A mentett munkafüzetek a Saját munkafüzetek lapon érhetők el, ahol testre szabhatja őket. A mentett munkafüzeteket a Mentett munkafüzet megtekintése lehetőség kiválasztásával nyithatja meg. Ez a művelet ugyanazt a lapot nyitja meg, mint a sablonmunkafüzet oldala, de ezt a Contoso követelményei alapján testre is szabhatja.
A Szerkesztés gombra kattintva megnyithatja a munkafüzetet szerkesztési módban. Hozzáadhat vagy eltávolíthat elemeket, és további testreszabást végezhet. A szerkesztési mód megjeleníti a munkafüzet teljes tartalmát, beleértve azokat a lépéseket és paramétereket is, amelyek az olvasási módban el vannak rejtve.
A szerkesztési mód fejlécén számos beállítás közül választhat, ahogy az alábbi képernyőképen is látható.
Amikor a szerkesztési módra vált, figyelje meg a munkafüzet egyes részeinek megfelelő szerkesztési lehetőségeket. Ha a szerkesztési beállítások egyikét választja, megvizsgálhatja azt a lekérdezést, amellyel a Microsoft Sentinel szűri az adatokat a megfelelő naplóból.
Amikor kiválasztja a beállítások ikont, megnyílik a Gépház lap, ahol más, a munkafüzetben használni kívánt erőforrásokat is megadhat. A munkafüzet stílusát is módosíthatja, címkézést adhat meg, vagy elemeket rögzíthet a munkafüzetben.
A Rögzítési lehetőségek megjelenítése lehetőség kiválasztásával átrendezheti a munkafüzet különböző táblázatainak elhelyezését.
A speciális testreszabáshoz kiválaszthatja a Speciális szerkesztőt az aktuális munkafüzet JSON-leképezésének megnyitásához, majd a szövegszerkesztőben való további testreszabásához. A módosításokat mentheti a meglévő munkafüzetbe, vagy új munkafüzetként. Ha végzett az összes testreszabással, a Szerkesztés kész lehetőséget választva kiléphet a szerkesztési módból.
A Microsoft Sentinel-adattár felfedezése a GitHubon
A Microsoft Sentinel-adattár beépített észleléseket, felderítési lekérdezéseket, keresési lekérdezéseket, munkafüzeteket, forgatókönyveket és egyebeket tartalmaz, amelyek segítenek a környezet védelmében és a fenyegetések észlelésében. A Microsoft és a Microsoft Sentinel közössége hozzájárul ehhez az adattárhoz.
Az adattár a Microsoft Sentinel funkcióinak számos területén tartalmaz olyan mappákat, amelyekhez hozzá van juttatott tartalom, beleértve az észlelési lekérdezéseket is. Ezekből a lekérdezésekből származó kóddal egyéni lekérdezéseket hozhat létre a Microsoft Sentinel-munkaterületen.