Visualizzare i dati raccolti

  • Articolo

In questo articolo si apprenderà come visualizzare e monitorare rapidamente le operazioni eseguite nell'ambiente usando Microsoft Sentinel. Dopo aver connesso le origini dati a Microsoft Sentinel, si ottengono visualizzazioni e analisi istantanee dei dati in modo da poter sapere cosa accade in tutte le origini dati connesse. Microsoft Sentinel offre cartelle di lavoro che offrono la massima potenza degli strumenti già disponibili in Azure, nonché tabelle e grafici integrati per fornire analisi per i log e le query. È possibile usare modelli di cartella di lavoro o creare facilmente una nuova cartella di lavoro, da zero o in base a una cartella di lavoro esistente.

Ottenere visualizzazioni

Per visualizzare e ottenere analisi di ciò che accade nell'ambiente, in primo luogo esaminare il dashboard di panoramica per avere un'idea delle condizioni di sicurezza dell'organizzazione. Per ridurre il rumore e ridurre al minimo il numero di avvisi da esaminare e analizzare, Microsoft Sentinel usa una tecnica di fusione per correlare gli avvisi in eventi imprevisti. Gli eventi imprevisti sono gruppi di avvisi correlati che insieme creano un evento imprevisto di utilità pratica ai fini delle indagini e della risoluzione.

Nella portale di Azure selezionare Microsoft Sentinel e quindi selezionare l'area di lavoro da monitorare.

Screenshot of the Microsoft Sentinel overview page.

Per aggiornare i dati per tutte le sezioni del dashboard, selezionare Aggiorna nella parte superiore del dashboard. Per migliorare le prestazioni, i dati per ogni sezione del dashboard vengono precalcosi ed è possibile visualizzare l'ora di aggiornamento nella parte superiore di ogni sezione.

Visualizzare i dati degli eventi imprevisti

I diversi tipi di dati degli eventi imprevisti sono visualizzati in Eventi imprevisti.

Screenshot of the Incidents section in the Microsoft Sentinel Overview page.

  • In alto a sinistra viene visualizzato il numero di eventi imprevisti nuovi, attivi e chiusi nelle ultime 24 ore.
  • In alto a destra sono visualizzati gli eventi imprevisti organizzati per gravità e gli eventi imprevisti chiusi chiudendo la classificazione.
  • In basso a sinistra, un grafico suddivide lo stato dell'evento imprevisto in base all'ora di creazione, in intervalli di quattro ore.
  • In basso a destra è possibile visualizzare il tempo medio per confermare un evento imprevisto e il tempo medio di chiusura, con un collegamento alla cartella di lavoro di efficienza SOC.

Visualizzare i dati di automazione

In Automazione vengono visualizzati diversi tipi di dati di automazione.

Screenshot of the Automation section in the Microsoft Sentinel Overview page.

  • Nella parte superiore viene visualizzato un riepilogo dell'attività delle regole di automazione: eventi imprevisti chiusi dall'automazione, ora in cui l'automazione è stata salvata e l'integrità dei playbook correlati.
  • Sotto il riepilogo, un grafico riepiloga i numeri di azioni eseguite dall'automazione, in base al tipo di azione.
  • Nella parte inferiore è possibile trovare un conteggio delle regole di automazione attive con un collegamento al pannello di automazione.

Visualizzare lo stato dei record di dati, gli agenti di raccolta dati e l'intelligence sulle minacce

Vengono visualizzati diversi tipi di dati su record di dati, agenti di raccolta dati e intelligence sulle minacce in Dati.

Screenshot of the Data section in the Microsoft Sentinel Overview page.

  • A sinistra, un grafico mostra il numero di record raccolti da Microsoft Sentinel nelle ultime 24 ore, rispetto alle 24 ore precedenti e le anomalie rilevate in tale periodo di tempo.
  • In alto a destra viene visualizzato un riepilogo dello stato del connettore dati, diviso per connettori non integri e attivi. I connettori non integri indicano il numero di connettori con errori. I connettori attivi sono connettori con flusso di dati in Microsoft Sentinel, come misurato da una query inclusa nel connettore.
  • In basso a destra è possibile visualizzare i record di Intelligence per le minacce in Microsoft Sentinel, in base all'indicatore di compromissione.

Visualizzare i dati di analisi

I dati per le regole di analisi sono visualizzati in Analisi.

Screenshot of the Analytics section in the Microsoft Sentinel Overview page.

Viene visualizzato il numero di regole di analisi in Microsoft Sentinel, abilitate, disabilitate o disabilitate automaticamente.

Usare modelli di cartelle di lavoro

I modelli di cartella di lavoro forniscono dati integrati dalle origini dati connesse per approfondire gli eventi generati in tali servizi. I modelli di cartella di lavoro includono Microsoft Entra ID, eventi di attività di Azure e locali, che possono essere dati provenienti da eventi di Windows dai server, da avvisi di prima parte, da qualsiasi terza parte, inclusi i log del traffico del firewall, Office 365 e protocolli non sicuri basati su eventi di Windows. Le cartelle di lavoro sono basate sulle cartelle di lavoro di Monitoraggio di Azure per offrire una maggiore personalizzazione e flessibilità durante la progettazione di una cartella di lavoro personalizzata. Per altre informazioni, vedere l'articolo sulle cartelle di lavoro.

  1. In Impostazioni selezionare Cartelle di lavoro. In Cartelle di lavoro personali è possibile visualizzare tutta la cartella di lavoro salvata. In Modelli è possibile visualizzare i modelli di cartelle di lavoro installati. Per trovare altri modelli di cartella di lavoro, passare all'hub contenuto in Microsoft Sentinel per installare soluzioni di prodotto o contenuto autonomo.
  2. Cercare una cartella di lavoro specifica per visualizzare l'elenco completo e una descrizione delle caratteristiche di ognuna.
  3. Supponendo di usare Microsoft Entra ID, per iniziare a usare Microsoft Sentinel, è consigliabile installare la soluzione Microsoft Entra per Microsoft Sentinel e usare le cartelle di lavoro seguenti:

    • Microsoft Entra ID: usare o entrambe le opzioni seguenti:

      • Gli accessi di Microsoft Entra analizzano gli accessi nel tempo per verificare se sono presenti anomalie. Questa cartella di lavoro segnala i tentativi di accesso non riusciti da parte di applicazioni, dispositivi e posizioni in modo, permettendo di notare immediatamente eventuali attività insolite. Prestare attenzione alla presenza di più accessi non riusciti.
      • I log di controllo di Microsoft Entra analizzano le attività di amministratore, ad esempio le modifiche apportate agli utenti (aggiunta, rimozione e così via), la creazione di gruppi e le modifiche.

    • Installare la soluzione appropriata per aggiungere una cartella di lavoro per il firewall. Ad esempio, installare la soluzione firewall Palo Alto per Microsoft Sentinel per aggiungere le cartelle di lavoro di Palo Alto. Le cartelle di lavoro analizzano il traffico del firewall, fornendo correlazioni tra i dati del firewall e gli eventi di minaccia ed evidenzia gli eventi sospetti tra le entità. Le cartelle di lavoro forniscono informazioni sulle tendenze del traffico e consentono di eseguire il drill-down e filtrare i risultati.

      Palo Alto dashboard

È possibile personalizzare le cartelle di lavoro modificando la query query edit buttonprincipale . È possibile fare clic sul pulsante Log Analytics button per passare a Log Analytics per modificare la query e selezionare i puntini di sospensione (...) e selezionare Personalizza dati riquadro, che consente di modificare il filtro ora principale o rimuovere i riquadri specifici dalla cartella di lavoro.

Per altre informazioni sull'uso delle query, vedere Esercitazione: Dati visivi in Log Analytics

Aggiungere un nuovo riquadro

Se si vuole aggiungere un nuovo riquadro, è possibile aggiungerlo a una cartella di lavoro esistente, ovvero una cartella di lavoro predefinita di Microsoft Sentinel.

  1. In Log Analytics creare un riquadro usando le istruzioni disponibili in Dati visivi in Log Analytics.
  2. Dopo aver creato il riquadro, in Aggiungi selezionare la cartella di lavoro in cui si vuole che compaia il riquadro.

Creare nuove cartelle di lavoro

È possibile creare una nuova cartella di lavoro da zero o usare un modello di cartella di lavoro come base per la nuova cartella di lavoro.

  1. Per creare una nuova cartella di lavoro da zero, selezionare Cartelle di lavoro e quindi +Nuova cartella di lavoro.
  2. Selezionare la sottoscrizione in cui creare la cartella di lavoro e assegnargli un nome descrittivo. Ogni cartella di lavoro è una normale risorsa di Azure ed è possibile assegnarle ruoli di controllo degli accessi in base al ruolo di Azure per definire e limitare gli accessi.
  3. Per fare in modo che sia visualizzata tra le cartelle di lavoro disponibili e potervi aggiungere visualizzazioni, è necessario condividerla. Fare clic su Condividi e quindi su Gestisci utenti.
  4. Usare Verifica l'accesso e le Assegnazioni di ruolo come si farebbe per qualsiasi altra risorsa di Azure. Per altre informazioni, vedere Condividere le cartelle di lavoro di Azure tramite il controllo degli accessi in base al ruolo di Azure.

Esempi di nuove cartelle di lavoro

La query di esempio seguente consente di confrontare le tendenze del traffico tra le varie settimane. È possibile cambiare facilmente il fornitore di dispositivi e l'origine dati su cui eseguire la query. Questo esempio usa SecurityEvent di Windows, è possibile modificarlo per eseguirlo su AzureActivity o CommonSecurityLog su qualsiasi altro firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Si potrebbe voler creare una query che incorpora i dati da più origini. È possibile creare una query che esamina i log di controllo di Microsoft Entra per i nuovi utenti appena creati e quindi controlla i log di Azure per verificare se l'utente ha iniziato a apportare modifiche all'assegnazione di ruolo entro 24 ore dalla creazione. Questa attività sospetta verrebbe mostrata in questo dashboard:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

È possibile creare cartelle di lavoro diverse in base al ruolo della persona che sta esaminando i dati e a ciò che sta cercando. Ad esempio, si può creare per l'amministratore di rete una cartella di lavoro che includa i dati del firewall. È anche possibile creare cartelle di lavoro in base alla frequenza con cui si desidera esaminarle, se sono presenti elementi che si desidera esaminare ogni giorno e altri elementi che si desidera controllare una volta all'ora, ad esempio, è possibile esaminare gli accessi di Microsoft Entra ogni ora per cercare anomalie.

Creare nuovi rilevamenti

Generare rilevamenti sulle origini dati connesse a Microsoft Sentinel per analizzare le minacce nell'organizzazione.

Quando si crea un nuovo rilevamento, sfruttare i rilevamenti creati dai ricercatori di sicurezza Microsoft su misura per le origini dati connesse.

Per visualizzare i rilevamenti predefiniti installati, passare ad Analisi e quindi Modelli di regola. Questa scheda contiene tutti i modelli di regole di Microsoft Sentinel installati. Per trovare altri modelli di regole, passare all'hub del contenuto in Microsoft Sentinel per installare soluzioni di prodotto o contenuto autonomo.

Use built-in detections to find threats with Microsoft Sentinel

Per altre informazioni su come ottenere rilevamenti predefiniti, vedere Ottenere analisi predefinite.

Passaggi successivi

Rilevare le minacce predefinite e creare regole di rilevamento delle minacce personalizzate per automatizzare le risposte alle minacce.