Bagikan melalui

Memvisualisasikan dan memantau data Anda dengan menggunakan buku kerja di Microsoft Azure Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Setelah Anda menyambungkan sumber data Anda ke Microsoft Azure Sentinel, visualisasikan dan pantau data menggunakan buku kerja di Microsoft Azure Sentinel. Buku kerja Microsoft Azure Sentinel didasarkan pada buku kerja Azure Monitor, dan menambahkan tabel dan bagan dengan analitik untuk log dan kueri Anda ke alat yang sudah tersedia di Azure.

Microsoft Azure Sentinel memungkinkan Anda membuat buku kerja kustom di seluruh data Anda atau menggunakan templat buku kerja yang sudah ada yang tersedia dengan solusi paket atau sebagai konten mandiri dari hub konten. Setiap buku kerja adalah sumber daya Azure seperti yang lain, dan Anda dapat menetapkannya dengan kontrol akses berbasis peran Azure (RBAC) untuk menentukan dan membatasi siapa yang dapat mengakses.

Artikel ini menjelaskan cara memvisualisasikan data Anda di Microsoft Azure Sentinel dengan menggunakan buku kerja.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari platform operasi keamanan terpadu di portal Pertahanan Microsoft. Microsoft Sentinel di portal Defender sekarang didukung untuk penggunaan produksi. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

  • Setidaknya Anda harus memiliki izin Pembaca buku kerja atau Kontributor buku kerja pada grup sumber daya ruang kerja Microsoft Azure Sentinel.

    Buku kerja yang Anda lihat di Microsoft Azure Sentinel disimpan dalam grup sumber daya ruang kerja Microsoft Azure Sentinel dan ditandai oleh ruang kerja tempat buku kerja dibuat.

  • Untuk menggunakan templat buku kerja, instal solusi yang berisi buku kerja atau instal buku kerja sebagai item mandiri dari Hub Konten. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.

Membuat buku kerja dari templat

Gunakan templat yang diinstal dari hub konten untuk membuat buku kerja.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Buku Kerja.
    Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Buku Kerja Manajemen>Ancaman Microsoft Sentinel>.

  2. Buka Buku Kerja lalu pilih Templat untuk melihat daftar templat buku kerja yang terinstal.

    Untuk melihat templat mana yang relevan dengan tipe data yang Anda sambungkan, tinjau bidang Tipe data yang diperlukan di setiap buku kerja jika tersedia.

  3. Pilih Simpan dari panel detail templat dan lokasi tempat Anda ingin menyimpan file JSON untuk templat. Tindakan ini membuat sumber daya Azure berdasarkan templat yang relevan dan menyimpan file JSON buku kerja bukan data.

  4. Pilih Tampilkan buku kerja yang disimpan dari panel detail templat.

  5. Pilih tombol Edit di toolbar buku kerja untuk mengkustomisasi buku kerja sesuai dengan kebutuhan Anda.

    Cuplikan layar yang memperlihatkan buku kerja yang disimpan.

    Misalnya, pilih filter TimeRange untuk melihat data untuk rentang waktu yang berbeda dari pilihan saat ini. Untuk mengedit area buku kerja tertentu, pilih Edit atau pilih elipsis (...) untuk menambahkan elemen, atau memindahkan, mengkloning, atau menghapus area.

    Untuk mengkloning buku kerja Anda, pilih Simpan sebagai. Simpan kloning dengan nama lain, di bawah langganan dan grup sumber daya yang sama. Buku kerja yang dikloningkan ditampilkan di bawah tab Buku Kerja saya.

  6. Setelah selesai, pilih Simpan untuk menyimpan perubahan Anda.

Untuk informasi selengkapnya, lihat:

Buat buku kerja baru

Buat buku kerja dari awal di Microsoft Azure Sentinel.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Buku Kerja.
    Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Buku Kerja Manajemen>Ancaman Microsoft Sentinel>.

  2. Pilih Tambahkan buku kerja.

  3. Untuk mengedit buku kerja, pilih Edit, lalu tambahkan teks, kueri, dan parameter seperlunya. Untuk informasi selengkapnya tentang cara mengkustomisasi buku kerja, lihat cara membuat laporan interaktif dengan Azure Monitor Workbooks.

    Cuplikan layar yang menunjukkan buku kerja baru.

  4. Saat membuat kueri, atur Sumber data ke Log dan Jenis sumber daya ke Analitik Log, lalu pilih satu atau beberapa ruang kerja.

    Kami menyarankan agar kueri Anda menggunakan pengurai Advanced Security Information Model (ASIM) dan bukan tabel bawaan. Kueri kemudian akan mendukung sumber data yang relevan saat ini atau di masa mendatang daripada satu sumber data.

  5. Setelah Anda membuat buku kerja, simpan buku kerja di bawah grup langganan dan sumber daya ruang kerja Microsoft Azure Sentinel Anda.

  6. Jika Anda ingin mengizinkan orang lain di organisasi Anda menggunakan buku kerja, di bawah Simpan ke pilih Laporan bersama. Jika Anda ingin buku kerja ini hanya tersedia untuk Anda, pilih Laporan saya.

  7. Untuk beralih antar buku kerja di ruang kerja Anda, pilih Buka Ikon untuk membuka buku kerja. di toolbar buku kerja apa pun. Layar beralih ke daftar buku kerja lainnya yang bisa Anda alihkan.

    Pilih buku kerja yang ingin Anda buka:

    Beralih buku kerja.

Membuat petak peta baru untuk buku kerja Anda

Untuk menambahkan petak peta kustom ke buku kerja Microsoft Azure Sentinel, pertama-tama buat petak peta di Analitik Log. Untuk informasi selengkapnya, lihat Data visual di Analitik Log.

Setelah Anda membuat petak peta, pilih Sematkan lalu pilih buku kerja tempat Anda ingin petak peta muncul.

Me-refresh data buku kerja Anda

Refresh buku kerja Anda untuk menampilkan data yang diperbarui. Di toolbar, pilih salah satu pilihan berikut ini:

  • Refresh, untuk merefresh data buku kerja Anda secara manual.

  • Refresh otomatis, untuk mengatur buku kerja Anda agar secara otomatis merefresh pada interval yang dikonfigurasi.

    • Interval refresh yang didukung memiliki rentang dari 5 menit sampai 1 hari.

    • Refresh otomatis dijeda selagi Anda mengedit buku kerja, dan interval dihidupkan ulang setiap kali Anda beralih kembali untuk menampilkan mode dari mode edit.

    • Interval refresh otomatis juga dihidupkan ulang jika Anda me-refresh data secara manual.

    Secara default, refresh otomatis dimatikan. Untuk mengoptimalkan performa, refresh otomatis dinonaktifkan setiap kali Anda menutup buku kerja. Ini tidak berjalan di latar belakang. Nyalakan kembali refresh otomatis sesuai kebutuhan saat Anda membuka buku kerja di kesempatan berikutnya.

Untuk mencetak buku kerja, atau menyimpannya sebagai PDF, gunakan menu pilihan di sebelah kanan judul buku kerja.

  1. Pilih opsi >Cetak konten.

  2. Di layar cetak, sesuaikan pengaturan pencetakan sesuai kebutuhan atau pilih Simpan sebagai PDF untuk menyimpannya secara lokal.

    Contohnya:

    Cuplikan layar yang memperlihatkan cara mencetak buku kerja Anda atau menyimpan sebagai PDF.

Cara menghapus buku kerja

Untuk menghapus buku kerja yang disimpan, templat yang disimpan atau buku kerja yang dikustomisasi, pilih buku kerja tersimpan yang ingin Anda hapus dan pilih Hapus. Tindakan ini menghapus buku kerja yang disimpan. Ini juga menghapus sumber daya buku kerja dan perubahan apa pun yang Anda buat pada templat. Templat asli tetap tersedia.

Rekomendasi buku kerja

Bagian ini meninjau rekomendasi dasar yang kami miliki untuk menggunakan buku kerja Microsoft Azure Sentinel.

Menambahkan buku kerja ID Microsoft Entra

Jika Anda menggunakan ID Microsoft Entra dengan Microsoft Sentinel, kami sarankan Anda menginstal solusi Microsoft Entra untuk Microsoft Azure Sentinel dan menggunakan buku kerja berikut:

  • Rincian masuk Microsoft Entra menganalisis rincian masuk dari waktu ke waktu untuk melihat apakah ada anomali. Buku kerja ini menyediakan proses masuk yang gagal oleh aplikasi, perangkat, dan lokasi sehingga Anda dapat melihat, sekilas jika terjadi sesuatu yang tidak biasa. Perhatikan beberapa {i>login
  • Log audit Microsoft Entra menganalisis aktivitas admin, seperti perubahan pengguna (menambahkan, menghapus, dll.), pembuatan grup, dan modifikasi.

Menambahkan buku kerja firewall

Kami menyarankan agar Anda menginstal solusi yang sesuai dari hub Konten untuk menambahkan buku kerja untuk firewall Anda.

Misalnya, instal solusi firewall Palo Alto untuk Microsoft Sentinel untuk menambahkan buku kerja Palo Alto. Buku kerja menganalisis lalu lintas firewall Anda, memberi Anda korelasi antara data firewall dan peristiwa ancaman Anda, dan menyoroti peristiwa mencurigakan di seluruh entitas.

Cuplikan layar buku kerja Palo Alto.

Membuat buku kerja yang berbeda untuk penggunaan yang berbeda

Sebaiknya buat visualisasi yang berbeda untuk setiap jenis persona yang menggunakan buku kerja, berdasarkan peran persona dan apa yang mereka cari. Misalnya, buat buku kerja untuk admin jaringan Anda yang menyertakan data firewall.

Secara bergantian, buat buku kerja berdasarkan seberapa sering Anda ingin melihatnya, apakah ada hal-hal yang ingin Anda tinjau setiap hari, dan item lain yang ingin Anda periksa satu jam sekali. Misalnya, Anda mungkin ingin melihat rincian masuk Microsoft Entra Setiap jam untuk mencari anomali.

Gunakan kueri berikut untuk membuat visualisasi yang membandingkan tren lalu lintas sepanjang minggu. Alihkan vendor perangkat dan sumber data tempat Anda menjalankan kueri, bergantung pada lingkungan Anda.

Contoh kueri berikut menggunakan tabel SecurityEvent dari Windows. Anda mungkin ingin mengalihkannya untuk dijalankan pada tabel AzureActivity atau CommonSecurityLog , pada firewall lainnya.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Kueri sampel dengan data dari beberapa sumber

Anda mungkin ingin membuat kueri yang menggabungkan data dari berbagai sumber. Misalnya, buat kueri yang melihat log audit Microsoft Entra untuk pengguna baru yang dibuat, lalu periksa log Azure Anda untuk melihat apakah pengguna mulai membuat perubahan penetapan peran dalam waktu 24 jam setelah pembuatan. Aktivitas mencurigakan itu akan muncul dalam visualisasi dengan kueri berikut:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Untuk informasi selengkapnya, lihat: