Gyakorlat – Adatok vizualizációja Microsoft Sentinel-munkafüzetek használatával

  • 8 perc

A Contoso biztonsági mérnökeként gyanús tevékenységeket észlel az Azure-előfizetésében, és Úgy dönt, hogy Microsoft Sentinel-munkafüzetek használatával elemzi ezt a tevékenységet.

Gyakorlat: Adatok lekérdezése és vizualizációja Microsoft Sentinel-munkafüzetekkel

Elemezni szeretné a Microsoft Sentinel naplóit az Azure Activity-összekötőből. Az adatok vizualizációját tovább szeretné implementálni, és egy testre szabott munkafüzetbe menteni.

Ebben a gyakorlatban megismerheti a naplókat és a Microsoft Sentinel-munkafüzeteket. A következő feladatokat hajtja végre:

  • A Naplók adatainak használata a Microsoft Sentinel-naplók lapon.
  • Testreszabott munkafüzet létrehozása és szerkesztése fontos adatok megjelenítéséhez.

Megjegyzés:

A gyakorlat elvégzéséhez be kell fejeznie a lekérdezést, és meg kell jelenítenie az adatokat a Microsoft Sentinel-munkafüzetek egységével. Ha ezt még nem tette meg, teljesítse most, majd haladjon tovább a gyakorlat lépéseivel.

1. feladat: Naplók használata a Microsoft Sentinelben

  1. Az Azure Portalon keresse meg és válassza ki a Microsoft Sentinelt, majd válassza ki a korábban létrehozott Microsoft Sentinel-munkaterületet.

  2. A Microsoft Sentinel lap Általános szakaszában válassza a Naplók lehetőséget.

    Megjegyzés:

    A Naplók lap első megnyitásakor előfordulhat, hogy a rendszer átirányítja a Lekérdezések ablakba. Zárja be a Lekérdezések ablakot, és térjen vissza az Új lekérdezés 1 szakaszhoz.

  3. A Microsoft Sentinelen | Naplók lap a Táblák panelEn, a Csoportosítás szempontja: Megoldás legördülő menüben válassza a Kategória lehetőséget.

  4. A Táblák panelen a táblák listájában bontsa ki az Azure-erőforrások kategóriát, vigye a kurzort az Azure Activity tábla fölé, vagy a Tab billentyű használatával navigáljon a táblázatra, majd válassza az Adatok előnézete lehetőséget.

  5. Az Azure-tevékenységek ablakban kattintson a Megtekintés a lekérdezésszerkesztőben elemre. Ezzel a beállítással megtekintheti az adatokat, és ellenőrizheti, hogy az eredmények a vártnak megfelelően vannak-e, mielőtt ténylegesen lekérdezést futtatna vele.

    Screenshot of the Tables pane.

    A Lekérdezés szakaszban megtekintheti a lekérdezési struktúrát. Ez a lekérdezés az Azure-tevékenységnapló legutolsó 10 eseményét keresi és listázza. A lekérdezés AzureActivity első sora határozza meg a lekérdezésben használt táblát. A második sor egy olyan utasítást where tartalmaz, amely az utolsó nap rekordjait szűri. A harmadik sor egy másik utasítást tartalmaz, amely csak az utolsó 10 eseményt szűri.

    A lekérdezés eredményei szakaszban a lekérdezés eredményei láthatók. Bármelyik rekordot kibonthatja a táblázat értékeinek áttekintéséhez. Jelölje ki bármelyik oszlop nevét, ha az eredményeket az adott oszlop alapján szeretné rendezni.

  6. A szűrési feltételek beállításához kattintson az oszlop melletti szűrő ikonra. Ez a módszer hasonló ahhoz, hogy szűrőfeltételt adjon hozzá magához a lekérdezéshez, azzal a kivétellel, hogy ez a szűrő törlődik, ha újra futtatja a lekérdezést. Ha az Oszlopok legördülő menüt választja, szűrheti a megjeleníteni kívánt táblázat oszlopait. Az Oszlopok csoportosítása elem kiválasztásával a rekordokat egy adott oszlop alapján csoportosíthatja.

    Screenshot of the Query results with the previous items called out.

  7. A bal oldali panelen kattintson a Lekérdezések lapra. Ez a panel példalekérdezéseket tartalmaz, amelyeket hozzáadhat a lekérdezési ablakhoz. Ha saját munkaterületet használ, több kategóriában kell különböző lekérdezéseket használnia. Ha a bemutató környezetet használja, előfordulhat, hogy csak egyetlen Log Analytics-munkaterület-kategória jelenik meg.

    Megjegyzés:

    A lekérdezések írását a következő bemutató környezetben gyakorolhatja.

2. feladat: Munkafüzetek használata a Microsoft Sentinelben

  1. A Microsoft Sentinel lap Veszélyforrások kezelése szakaszában válassza a Munkafüzetek lehetőséget.

  2. A Microsoft Sentinelen | Munkafüzetek lap, válassza a Sablonok lapot.

  3. A Keresőmezőbe írja be az Azure-tevékenységek kifejezést, majd kattintson rá.

  4. A részletek panelen ellenőrizze a sablonhoz megadott információt, majd kattintson a Mentés elemre. A Munkafüzet mentése a... ablakban válassza ki ugyanazt a helyet, amelyet az előkészítési gyakorlatban kijelölt, majd kattintson az OK gombra.

  5. A Microsoft Sentinelen | Munkafüzetek lap, válassza a Saját munkafüzetek lapot. A mentett sablonok listájában válassza az Azure-tevékenység lehetőséget. Ezután a részletek panelen válassza a Mentett munkafüzet megtekintése lehetőséget.

  6. Az Azure Activity-sentinelname lapon tekintse át a munkafüzet összes elemét. Néhány elem kiválasztásával műveleteket végezhet a munkafüzettel.

  7. Az Időtartomány mező kiválasztásával másik időtartományt választhat az Azure Activity táblában bemutatott rekordokhoz. A Hívó legördülő menüben szűrheti a rekordokat az eseményeket létrehozó felhasználó vagy szolgáltatás alapján. Az Erőforráscsoport legördülő menüt választva szűrheti az eseményeket egy adott erőforráscsoport alapján.

    Screenshot of the Azure Activity page, with the previous elements called out.

  8. Görgessen le a Hívótevékenységek táblázathoz, amely megjeleníti a felhasználók vagy rendszerbiztonsági tagok által futtatott tevékenységeket. A táblázat egyes oszlopainak adatait az oszlopfejlécben található nyilakra kattintva rendezheti.

  9. Görgessen fel az Azure Activity-sentinelname oldal fejlécsávjához. A munkafüzetben a szerkesztő módra való váltáshoz kattintson a Szerkesztés elemre. Nézze át az oldalon megjelenő különböző Szerkesztés lehetőségeket.

  10. Kattintson az első Szerkesztés lehetőségre. Ez a művelet megjeleníti a munkafüzet egyik lépésének szerkesztési panelét. Az elemek megjelenítését testre szabhatja a stílus módosításával és átrendezésével különböző sorrendben.

  11. Más paramétereket is hozzáadhat különböző típusokkal, például szöveggel, legördülő listával, többértékűsel vagy hasonlóval.

  12. Válassza a Paraméterek hozzáadása lehetőséget.

  13. Az Új paraméter oldalon adja meg az alábbi értékeket:

    Name Leírás
    Paraméter neve Szint
    Megjelenített név Szint
    Paramétertípus A legördülő menüben válassza a Legördülő menüt.
    Kötelező? Jelölje be ezt a jelölőnégyzetet.
    Többelemű kijelölés engedélyezése Jelölje be ezt a jelölőnégyzetet.
    Többelemű kijelölés korlátozása Ne jelölje be ezt a jelölőnégyzetet.
    Elválasztókarakter Ne módosítsa az alapértelmezett értékeket.
    Idézet ezzel: Ne módosítsa az alapértelmezett értékeket.
    Explanation Ez a paraméter a szint alapján szűri az eseményeket.
    Paraméter elrejtése olvasási módban Ne jelölje be ezt a jelölőnégyzetet.
    Adatok beolvasása innen: Query

  14. A Log Analytics-munkaterület Naplók lekérdezése szakaszában írja be a következő lekérdezést, majd kattintson a Lekérdezés futtatása elemre.

    AzureActivity
|summarize by Level

  15. Győződjön meg arról, hogy a lekérdezés eredménye két típusú eseményt ad vissza a szint alapján: Tájékoztató és Figyelmeztetés.

    Screenshot of the New Parameter pane, with steps for adding a new parameter. The Save, Query, Run query options and the AzureActivity section are highlighted in the screenshot.

  16. A módosítások véglegesítéséhez válassza a Mentés lehetőséget, és figyelje meg, hogy a paraméter lépése tartalmaz egy Szint nevű paramétert.

    Tipp.

    Szerkesztési módban a Szerkesztés lehetőség melletti három pontra kattintva megjelenítheti az új legördülő menüt. Ebből a menüből ezt a lépést áthelyezheti a munkafüzet különböző részeibe. Klónozhatja vagy el is távolíthatja a munkafüzetből ezt a lépést.

  17. A testreszabott munkafüzet mentéséhez a fejlécben kattintson a Mentés másként ikonra.

  18. A Cím mezőben nevezze el az új munkafüzetet, majd kattintson a Mentés ikonra.

  19. Ha végzett a módosításokkal, válassza a Kész szerkesztés lehetőséget.

    Tipp.

    Az új munkafüzet a Microsoft Sentinelből érhető el | A Munkafüzetek panel a Saját munkafüzetek lapon. Ha az új munkafüzet nem szerepel a listában, válassza a Frissítés lehetőséget.

Az erőforrások eltávolítása

  1. Az Azure Portalon keressen rá az Erőforráscsoportok elemre.
  2. Válassza az azure-sentinel-rg elemet.
  3. A fejlécsávon válassza az Erőforráscsoport törlése lehetőséget.
  4. Az ÍRJA BE AZ ERŐFORRÁSCSOPORT NEVÉT: mezőbe írja be az azure-sentinel-rg erőforráscsoport-nevet, majd válassza a Törlés lehetőséget.