Menggunakan Buku Kerja Microsoft Sentinel default

  • 5 menit

Microsoft Sentinel menyediakan beberapa template yang siap digunakan. Anda dapat menggunakan templat ini untuk membuat buku kerja Anda sendiri lalu memodifikasinya sesuai kebutuhan Contoso.

Buku Kerja Microsoft Sentinel

Sebagian besar konektor data yang digunakan Microsoft Sentinel untuk menyerap data dilengkapi dengan buku kerja mereka sendiri. Anda bisa mendapatkan wawasan tentang data yang sedang diserap dengan menggunakan tabel dan visualisasi, termasuk bagan batang dan pai. Anda juga bisa membuat buku kerja Anda sendiri dari awal alih-alih menggunakan templat yang telah ditentukan sebelumnya.

Halaman buku kerja

Anda bisa mengakses halaman Buku Kerja untuk Microsoft Azure Sentinel dari panel navigasi. Di halaman Buku Kerja , Anda bisa menambahkan buku kerja baru dan meninjau buku kerja dan templat tersimpan yang tersedia.

Anda bisa mengakses templat buku kerja yang sudah ada pada tab Templat . Anda bisa menyimpan beberapa buku kerja untuk akses cepat. Buku kerja muncul di tab Buku kerja saya.

Dari tab Templat , Anda bisa memilih buku kerja yang sudah ada untuk menampilkan panel detail untuk buku kerja tersebut, yang berisi informasi tambahan untuk templat. Panel detail juga berisi informasi tentang tipe data dan konektor data yang diperlukan yang harus tersambung ke Microsoft Sentinel. Anda juga dapat meninjau bagaimana laporan ditampilkan.

Meninjau templat buku kerja yang sudah ada

Seperti yang disebutkan sebelumnya, Contoso memperhatikan identitas yang dikompromikan. Sebagai administrator keamanan, Anda dapat memeriksa buku kerja log masuk Microsoft Entra yang sudah ada dengan memilih templat tersebut di bagian Templat. Lalu pilih Tampilkan templat di panel detail.

Buku kerja log masuk Microsoft Entra berisi bagan, grafik, dan tabel yang telah ditentukan sebelumnya yang dapat memberikan wawasan penting tentang aktivitas masuk di ID Microsoft Entra. Anda dapat menemukan informasi tentang masuk dan lokasi pengguna, alamat email, dan alamat IP pengguna Anda. Anda juga dapat meninjau informasi tentang aktivitas yang gagal dan kesalahan yang memicu kegagalan.

Pada halaman log masuk Microsoft Entra, Anda dapat memperluas rentang waktu atau memfilter aplikasi dan pengguna yang memiliki hak istimewa masuk di ID Microsoft Entra. Misalnya, Contoso ingin mengidentifikasi pengguna yang dapat masuk ke portal Azure, sehingga Anda dapat memfilter data sebagai berikut.

Screenshot that displays Sign-in Analysis with filtering of the users that sign-in to the Azure portal.

Contoso tertarik untuk mengidentifikasi upaya masuk yang gagal. Anda dapat menampilkan akun ini dengan memilih petak peta informasi, lalu memilih petak peta atau baris untuk menampilkan informasi selengkapnya seperti:

  • Masuk berdasarkan lokasi. Bagian ini menunjukkan lokasi tempat pengguna masuk ke ID Microsoft Entra.
  • Detail masuk lokasi. Bagian ini menampilkan pengguna, status masuk mereka, dan waktu upaya masuk.
  • Masuk dengan perangkat. Bagian ini mencantumkan perangkat yang digunakan oleh pengguna untuk masuk ke ID Microsoft Entra.
  • Detail masuk perangkat. Bagian ini menampilkan pengguna yang masuk di perangkat tertentu dan waktu mereka masuk.

Petak peta informasi di latar belakang ini dikonfigurasi untuk menjalankan kueri dan memfilter data yang dikumpulkan dari konektor Microsoft Entra. Microsoft Sentinel kemudian memvisualisasikan dan menyajikan data yang dikumpulkan dengan menggunakan tabel, yang lebih bermakna dan memberikan wawasan yang berguna tentang upaya masuk pengguna.

Buku kerja berisi petak peta lain yang menunjukkan pengguna yang masuk menggunakan Akses Bersyarat. Dari tabel status akses bersyarat, Anda dapat meninjau pengguna yang memerlukan autentikasi multifaktor untuk memvalidasi identitas mereka.

Screenshot of Conditional Access activity.

Halaman lainnya juga berisi tabel dan bagan yang interaktif. Pilih beberapa baris atau petak peta untuk memfilter data yang disajikan. Beberapa tabel dibuat dengan tautan ke log terkait seperti yang ditampilkan dalam tangkapan layar berikut.

Screenshot of the links that can open the query in Azure Data Explorer or pin the query in dashboard.

Catatan

Anda juga dapat menyematkan langkah kueri di dasbor privat atau bersama untuk pengambilan cepat.

Mengedit kueri dari buku kerja

Misalnya, Contoso ingin mencari log untuk informasi selengkapnya yang menyajikan rincian masuk pengguna yang gagal. Mereka dialihkan ke Azure Data Explorer, di mana Microsoft Sentinel melakukan kueri log untuk memfilter informasi.

Screenshot of Data Explorer.

Menjelajahi buku kerja yang disimpan

Dari halaman templat, Anda dapat menyimpan buku kerja dari templat yang ada dengan memilih salah satu templat, lalu memilih Simpan. Anda harus menyediakan lokasi untuk menunjukkan di mana Anda ingin menyimpan buku kerja. Proses ini membuat sumber daya Azure berdasarkan templat dengan file JSON templat.

Buku kerja tersimpan tersedia di tab Buku Kerja Saya, tempat Anda bisa mengkustomisasinya . Anda dapat membuka buku kerja yang disimpan dengan memilih Tampilkan buku kerja yang disimpan. Tindakan ini membuka halaman yang sama dengan halaman buku kerja templat, tetapi Anda bisa mengkustomisasi yang satu ini berdasarkan persyaratan Contoso.

Pilih Edit untuk membuka buku kerja dalam mode edit. Anda dapat menambahkan atau menghapus item dan menyediakan lebih banyak kustomisasi. Mode pengeditan menampilkan semua konten dalam buku kerja, termasuk langkah-langkah dan parameter yang akan disembunyikan dalam mode baca.

Bilah header dalam mode pengeditan berisi beberapa opsi, yang digambarkan oleh cuplikan layar berikut.

Screenshot of the Editing mode that depicts the various editing options such as Save, Save As, Settings, Refresh, Share, Help, and more.

Saat Anda beralih ke mode pengeditan, perhatikan beberapa opsi Edit yang sesuai dengan setiap aspek individual buku kerja Anda. Jika Anda memilih salah satu opsi edit ini, Anda dapat memeriksa kueri yang digunakan Microsoft Sentinel untuk memfilter data dari log terkait.

Saat Anda memilih ikon pengaturan, halaman Pengaturan terbuka, di mana Anda bisa menyediakan sumber daya lain yang ingin Anda gunakan dalam buku kerja. Anda juga dapat mengubah gaya buku kerja, memberi tag, atau menyematkan item dalam buku kerja.

Screenshot of the Settings page.

Anda dapat menyusun ulang penempatan tabel yang berbeda dalam buku kerja dengan memilih Perlihatkan Opsi Pin.

Untuk kustomisasi lanjutan, Anda dapat memilih Editor Lanjutan untuk membuka representasi JSON dari buku kerja saat ini, lalu mengkustomisasinya lebih lanjut di editor teks. Anda dapat menyimpan perubahan Anda di buku kerja yang sudah ada atau menyimpan sebagai buku kerja lain. Setelah selesai dengan semua kustomisasi, Anda dapat keluar dari mode edit dengan memilih Selesai Mengedit.

Menjelajahi repositori Microsoft Sentinel di GitHub

Repositori Microsoft Azure Sentinel berisi deteksi siap pakai, kueri eksplorasi, kueri berburu, buku kerja, playbook, dan lainnya untuk membantu Anda mengamankan lingkungan dan mendeteksi ancaman. Microsoft dan komunitas Microsoft Sentinel berkontribusi pada repositori ini.

Repositori berisi folder dengan konten yang dikontribusikan untuk beberapa area fungsionalitas Microsoft Sentinel, termasuk kueri deteksi. Anda dapat menggunakan kode dari kueri ini untuk membuat kueri kustom di ruang kerja Microsoft Sentinel Anda.

Uji pengetahuan Anda

1.

Manakah dari elemen berikut ini yang tidak bisa menjadi bagian dari buku kerja?

2.

Di bagian buku kerja log masuk Microsoft Entra mana administrator dapat menemukan informasi bahwa pengguna diperlukan untuk melakukan autentikasi multifaktor (MFA) untuk memvalidasi identitas mereka.