Gyakorlat – Adatok vizualizációja Microsoft Sentinel-munkafüzetek használatával
A Contoso biztonsági mérnökeként gyanús tevékenységeket észlel az Azure-előfizetésében, és Úgy dönt, hogy Microsoft Sentinel-munkafüzetek használatával elemzi ezt a tevékenységet.
Gyakorlat: Adatok lekérdezése és vizualizációja Microsoft Sentinel-munkafüzetekkel
Elemezni szeretné a Microsoft Sentinel naplóit az Azure Activity-összekötőből. Az adatok vizualizációját tovább szeretné implementálni, és egy testre szabott munkafüzetbe menteni.
Ebben a gyakorlatban megismerheti a naplókat és a Microsoft Sentinel-munkafüzeteket. A következő feladatokat hajtja végre:
- A Naplók adatainak használata a Microsoft Sentinel-naplók lapon.
- Testreszabott munkafüzet létrehozása és szerkesztése fontos adatok megjelenítéséhez.
Megjegyzés:
A gyakorlat elvégzéséhez be kell fejeznie a lekérdezést, és meg kell jelenítenie az adatokat a Microsoft Sentinel-munkafüzetek egységével. Ha ezt még nem tette meg, teljesítse most, majd haladjon tovább a gyakorlat lépéseivel.
1. feladat: Naplók használata a Microsoft Sentinelben
Az Azure Portalon keresse meg és válassza ki a Microsoft Sentinelt, majd válassza ki a korábban létrehozott Microsoft Sentinel-munkaterületet.
A Microsoft Sentinel lap Általános szakaszában válassza a Naplók lehetőséget.
Megjegyzés:
A Naplók lap első megnyitásakor előfordulhat, hogy a rendszer átirányítja a Lekérdezések ablakba. Zárja be a Lekérdezések ablakot, és térjen vissza az Új lekérdezés 1 szakaszhoz.
A Microsoft Sentinelen | Naplók lap a Táblák panelEn, a Csoportosítás szempontja: Megoldás legördülő menüben válassza a Kategória lehetőséget.
A Táblák panelen a táblák listájában bontsa ki az Azure-erőforrások kategóriát, vigye a kurzort az Azure Activity tábla fölé, vagy a Tab billentyű használatával navigáljon a táblázatra, majd válassza az Adatok előnézete lehetőséget.
Az Azure-tevékenységek ablakban kattintson a Megtekintés a lekérdezésszerkesztőben elemre. Ezzel a beállítással megtekintheti az adatokat, és ellenőrizheti, hogy az eredmények a vártnak megfelelően vannak-e, mielőtt ténylegesen lekérdezést futtatna vele.
A Lekérdezés szakaszban megtekintheti a lekérdezési struktúrát. Ez a lekérdezés az Azure-tevékenységnapló legutolsó 10 eseményét keresi és listázza. A lekérdezés
AzureActivity
első sora határozza meg a lekérdezésben használt táblát. A második sor egy olyan utasítástwhere
tartalmaz, amely az utolsó nap rekordjait szűri. A harmadik sor egy másik utasítást tartalmaz, amely csak az utolsó 10 eseményt szűri.A lekérdezés eredményei szakaszban a lekérdezés eredményei láthatók. Bármelyik rekordot kibonthatja a táblázat értékeinek áttekintéséhez. Jelölje ki bármelyik oszlop nevét, ha az eredményeket az adott oszlop alapján szeretné rendezni.
A szűrési feltételek beállításához kattintson az oszlop melletti szűrő ikonra. Ez a módszer hasonló ahhoz, hogy szűrőfeltételt adjon hozzá magához a lekérdezéshez, azzal a kivétellel, hogy ez a szűrő törlődik, ha újra futtatja a lekérdezést. Ha az Oszlopok legördülő menüt választja, szűrheti a megjeleníteni kívánt táblázat oszlopait. Az Oszlopok csoportosítása elem kiválasztásával a rekordokat egy adott oszlop alapján csoportosíthatja.
A bal oldali panelen kattintson a Lekérdezések lapra. Ez a panel példalekérdezéseket tartalmaz, amelyeket hozzáadhat a lekérdezési ablakhoz. Ha saját munkaterületet használ, több kategóriában kell különböző lekérdezéseket használnia. Ha a bemutató környezetet használja, előfordulhat, hogy csak egyetlen Log Analytics-munkaterület-kategória jelenik meg.
Megjegyzés:
A lekérdezések írását a következő bemutató környezetben gyakorolhatja.
2. feladat: Munkafüzetek használata a Microsoft Sentinelben
A Microsoft Sentinel lap Veszélyforrások kezelése szakaszában válassza a Munkafüzetek lehetőséget.
A Microsoft Sentinelen | Munkafüzetek lap, válassza a Sablonok lapot.
A Keresőmezőbe írja be az Azure-tevékenységek kifejezést, majd kattintson rá.
A részletek panelen ellenőrizze a sablonhoz megadott információt, majd kattintson a Mentés elemre. A Munkafüzet mentése a... ablakban válassza ki ugyanazt a helyet, amelyet az előkészítési gyakorlatban kijelölt, majd kattintson az OK gombra.
A Microsoft Sentinelen | Munkafüzetek lap, válassza a Saját munkafüzetek lapot. A mentett sablonok listájában válassza az Azure-tevékenység lehetőséget. Ezután a részletek panelen válassza a Mentett munkafüzet megtekintése lehetőséget.
Az Azure Activity-sentinelname lapon tekintse át a munkafüzet összes elemét. Néhány elem kiválasztásával műveleteket végezhet a munkafüzettel.
Az Időtartomány mező kiválasztásával másik időtartományt választhat az Azure Activity táblában bemutatott rekordokhoz. A Hívó legördülő menüben szűrheti a rekordokat az eseményeket létrehozó felhasználó vagy szolgáltatás alapján. Az Erőforráscsoport legördülő menüt választva szűrheti az eseményeket egy adott erőforráscsoport alapján.
Görgessen le a Hívótevékenységek táblázathoz, amely megjeleníti a felhasználók vagy rendszerbiztonsági tagok által futtatott tevékenységeket. A táblázat egyes oszlopainak adatait az oszlopfejlécben található nyilakra kattintva rendezheti.
Görgessen fel az Azure Activity-sentinelname oldal fejlécsávjához. A munkafüzetben a szerkesztő módra való váltáshoz kattintson a Szerkesztés elemre. Nézze át az oldalon megjelenő különböző Szerkesztés lehetőségeket.
Kattintson az első Szerkesztés lehetőségre. Ez a művelet megjeleníti a munkafüzet egyik lépésének szerkesztési panelét. Az elemek megjelenítését testre szabhatja a stílus módosításával és átrendezésével különböző sorrendben.
Más paramétereket is hozzáadhat különböző típusokkal, például szöveggel, legördülő listával, többértékűsel vagy hasonlóval.
Válassza a Paraméterek hozzáadása lehetőséget.
Az Új paraméter oldalon adja meg az alábbi értékeket:
Name Leírás Paraméter neve Szint Megjelenített név Szint Paramétertípus A legördülő menüben válassza a Legördülő menüt. Kötelező? Jelölje be ezt a jelölőnégyzetet. Többelemű kijelölés engedélyezése Jelölje be ezt a jelölőnégyzetet. Többelemű kijelölés korlátozása Ne jelölje be ezt a jelölőnégyzetet. Elválasztókarakter Ne módosítsa az alapértelmezett értékeket. Idézet ezzel: Ne módosítsa az alapértelmezett értékeket. Explanation Ez a paraméter a szint alapján szűri az eseményeket. Paraméter elrejtése olvasási módban Ne jelölje be ezt a jelölőnégyzetet. Adatok beolvasása innen: Query A Log Analytics-munkaterület Naplók lekérdezése szakaszában írja be a következő lekérdezést, majd kattintson a Lekérdezés futtatása elemre.
AzureActivity |summarize by Level
Győződjön meg arról, hogy a lekérdezés eredménye két típusú eseményt ad vissza a szint alapján: Tájékoztató és Figyelmeztetés.
A módosítások véglegesítéséhez válassza a Mentés lehetőséget, és figyelje meg, hogy a paraméter lépése tartalmaz egy Szint nevű paramétert.
Tipp.
Szerkesztési módban a Szerkesztés lehetőség melletti három pontra kattintva megjelenítheti az új legördülő menüt. Ebből a menüből ezt a lépést áthelyezheti a munkafüzet különböző részeibe. Klónozhatja vagy el is távolíthatja a munkafüzetből ezt a lépést.
A testreszabott munkafüzet mentéséhez a fejlécben kattintson a Mentés másként ikonra.
A Cím mezőben nevezze el az új munkafüzetet, majd kattintson a Mentés ikonra.
Ha végzett a módosításokkal, válassza a Kész szerkesztés lehetőséget.
Tipp.
Az új munkafüzet a Microsoft Sentinelből érhető el | A Munkafüzetek panel a Saját munkafüzetek lapon. Ha az új munkafüzet nem szerepel a listában, válassza a Frissítés lehetőséget.
Az erőforrások eltávolítása
- Az Azure Portalon keressen rá az Erőforráscsoportok elemre.
- Válassza az azure-sentinel-rg elemet.
- A fejlécsávon válassza az Erőforráscsoport törlése lehetőséget.
- Az ÍRJA BE AZ ERŐFORRÁSCSOPORT NEVÉT: mezőbe írja be az azure-sentinel-rg erőforráscsoport-nevet, majd válassza a Törlés lehetőséget.