Share via

Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel

  • Artikel
  • Geldt voor:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, visualiseert en bewaakt u de gegevens met behulp van werkmappen in Microsoft Sentinel. Microsoft Sentinel-werkmappen zijn gebaseerd op Azure Monitor-werkmappen en voegen tabellen en grafieken met analyses voor uw logboeken en query's toe aan de hulpprogramma's die al beschikbaar zijn in Azure.

Met Microsoft Sentinel kunt u aangepaste werkmappen maken in uw gegevens of bestaande werkmapsjablonen gebruiken die beschikbaar zijn met verpakte oplossingen of als zelfstandige inhoud van de inhoudshub. Elke werkmap is een Azure-resource zoals elke andere, en u kunt deze toewijzen met op rollen gebaseerd toegangsbeheer van Azure (RBAC) om te definiëren en te beperken wie toegang heeft.

In dit artikel wordt beschreven hoe u uw gegevens in Microsoft Sentinel kunt visualiseren met behulp van werkmappen.

Belangrijk

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

  • U moet ten minste machtigingen voor werkmaplezer of Werkmapbijdrager hebben voor de resourcegroep van de Microsoft Sentinel-werkruimte.

    De werkmappen die u in Microsoft Sentinel ziet, worden opgeslagen in de resourcegroep van de Microsoft Sentinel-werkruimte en worden gelabeld door de werkruimte waarin ze zijn gemaakt.

  • Als u een werkmapsjabloon wilt gebruiken, installeert u de oplossing die de werkmap bevat of installeert u de werkmap als een zelfstandig item uit de Content Hub. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

Een werkmap maken op basis van een sjabloon

Gebruik een sjabloon die is geïnstalleerd vanuit de inhoudshub om een werkmap te maken.

  1. Selecteer Werkmappen voor Microsoft Sentinel in Azure Portal onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Workbooks.

  2. Ga naar Werkmappen en selecteer vervolgens Sjablonen om de lijst met werkmapsjablonen weer te geven die zijn geïnstalleerd.

    Als u wilt zien welke sjablonen relevant zijn voor de gegevenstypen die u hebt verbonden, bekijkt u het veld Vereiste gegevenstypen in elke werkmap, indien beschikbaar.

  3. Selecteer Opslaan in het detailvenster van de sjabloon en de locatie waar u het JSON-bestand voor de sjabloon wilt opslaan. Met deze actie wordt een Azure-resource gemaakt op basis van de relevante sjabloon en wordt het JSON-bestand van de werkmap niet de gegevens opgeslagen.

  4. Selecteer Opgeslagen werkmap weergeven in het detailvenster van de sjabloon.

  5. Selecteer de knop Bewerken op de werkbalk van de werkmap om de werkmap aan te passen aan uw behoeften.

    Schermopname van de opgeslagen werkmap.

    Selecteer bijvoorbeeld het filter TimeRange om gegevens voor een ander tijdsbereik weer te geven dan de huidige selectie. Als u een specifiek werkmapgebied wilt bewerken, selecteert u Bewerken of selecteert u het beletselteken (...) om elementen toe te voegen of het gebied te verplaatsen, te klonen of te verwijderen.

    Als u de werkmap wilt klonen, selecteert u Opslaan als. Sla de kloon op met een andere naam, onder hetzelfde abonnement en dezelfde resourcegroep. Gekloonde werkmappen worden weergegeven op het tabblad Mijn werkmappen .

  6. Wanneer u klaar bent, selecteert u Opslaan om uw wijzigingen op te slaan.

Zie voor meer informatie:

Nieuwe werkmap maken

Maak een volledig nieuwe werkmap in Microsoft Sentinel.

  1. Selecteer Werkmappen voor Microsoft Sentinel in Azure Portal onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Workbooks.

  2. Selecteer Werkmap toevoegen.

  3. Als u de werkmap wilt bewerken, selecteert u Bewerken en voegt u indien nodig tekst, query's en parameters toe. Zie hoe u interactieve rapporten maakt met Azure Monitor Workbooks voor meer informatie over het aanpassen van de werkmap.

    Schermopname van een nieuwe werkmap.

  4. Wanneer u een query maakt, stelt u de gegevensbron in op Logboeken en resourcetype op Log Analytics en kiest u vervolgens een of meer werkruimten.

    Het is raadzaam dat uw query gebruikmaakt van een ASIM-parser (Advanced Security Information Model) en niet van een ingebouwde tabel. De query ondersteunt vervolgens alle huidige of toekomstige relevante gegevensbronnen in plaats van één gegevensbron.

  5. Nadat u de werkmap hebt gemaakt, slaat u de werkmap op onder het abonnement en de resourcegroep van uw Microsoft Sentinel-werkruimte.

  6. Als u anderen in uw organisatie de werkmap wilt laten gebruiken, selecteert u onder Opslaan gedeelde rapporten. Als u wilt dat deze werkmap alleen voor u beschikbaar is, selecteert u Mijn rapporten.

  7. Als u wilt schakelen tussen werkmappen in uw werkruimte, selecteert u Openen Pictogram voor het openen van een werkmap. op de werkbalk van een werkmap. Het scherm schakelt over naar een lijst met andere werkmappen waarnaar u kunt overschakelen.

    Selecteer de werkmap die u wilt openen:

    Schakelen tussen werkmappen.

Nieuwe tegels maken voor uw werkmappen

Als u een aangepaste tegel wilt toevoegen aan een Microsoft Sentinel-werkmap, maakt u eerst de tegel in Log Analytics. Zie Visuele gegevens in Log Analytics voor meer informatie.

Nadat u een tegel hebt gemaakt, selecteert u Vastmaken en selecteert u vervolgens de werkmap waar u de tegel wilt weergeven.

De werkmapgegevens vernieuwen

Vernieuw uw werkmap om bijgewerkte gegevens weer te geven. Selecteer op de werkbalk een van de volgende opties:

  • Vernieuw deze om de werkmapgegevens handmatig te vernieuwen.

  • Automatisch vernieuwen, zodat uw werkmap automatisch wordt vernieuwd met een geconfigureerd interval.

    • Ondersteunde intervallen voor automatisch vernieuwen variëren van 5 minuten tot 1 dag.

    • Automatisch vernieuwen wordt onderbroken terwijl u een werkmap bewerkt en intervallen worden telkens opnieuw gestart wanneer u terugschakelt naar de weergavemodus vanuit de bewerkingsmodus.

    • Intervallen voor automatisch vernieuwen worden ook opnieuw gestart als u uw gegevens handmatig vernieuwt.

    Automatisch vernieuwen is standaard uitgeschakeld. Om de prestaties te optimaliseren, wordt automatisch vernieuwen uitgeschakeld telkens wanneer u een werkmap sluit. Het wordt niet op de achtergrond uitgevoerd. Schakel automatisch vernieuwen zo nodig weer in wanneer u de werkmap de volgende keer opent.

Als u een werkmap wilt afdrukken of als PDF wilt opslaan, gebruikt u het menu Opties rechts van de titel van de werkmap.

  1. Selecteer de opties >Inhoud afdrukken.

  2. Pas in het afdrukscherm de afdrukinstellingen zo nodig aan of selecteer Opslaan als PDF om het lokaal op te slaan.

    Voorbeeld:

    Schermopname van het afdrukken van uw werkmap of opslaan als PDF.

Werkmappen verwijderen

Als u een opgeslagen werkmap, een opgeslagen sjabloon of een aangepaste werkmap wilt verwijderen, selecteert u de opgeslagen werkmap die u wilt verwijderen en selecteert u Verwijderen. Met deze actie wordt de opgeslagen werkmap verwijderd. De werkmapresource en eventuele wijzigingen die u in de sjabloon hebt aangebracht, worden ook verwijderd. De oorspronkelijke sjabloon blijft beschikbaar.

Aanbevelingen voor werkmappen

In deze sectie worden de basisaanvelingen besproken die we hebben voor het gebruik van Microsoft Sentinel-werkmappen.

Microsoft Entra ID-werkmappen toevoegen

Als u Microsoft Entra ID met Microsoft Sentinel gebruikt, raden we u aan de Microsoft Entra-oplossing voor Microsoft Sentinel te installeren en de volgende werkmappen te gebruiken:

  • Met Microsoft Entra-aanmeldingen worden aanmeldingen in de loop van de tijd geanalyseerd om te zien of er afwijkingen zijn. Deze werkmap biedt mislukte aanmeldingen door toepassingen, apparaten en locaties, zodat u in één oogopslag kunt zien of er iets ongebruikelijks gebeurt. Let met name op meerdere mislukte aanmeldingen.
  • Auditlogboeken van Microsoft Entra analyseren beheeractiviteiten, zoals wijzigingen in gebruikers (toevoegen, verwijderen, enzovoort), het maken van groepen en wijzigingen.

Firewallwerkmappen toevoegen

U wordt aangeraden de juiste oplossing te installeren vanuit de Inhoudshub om een werkmap voor uw firewall toe te voegen.

Installeer bijvoorbeeld de Palo Alto-firewalloplossing voor Microsoft Sentinel om de Palo Alto-werkmappen toe te voegen. De werkmappen analyseren uw firewallverkeer, zodat u correlaties krijgt tussen uw firewallgegevens en bedreigingsevenementen en verdachte gebeurtenissen in entiteiten markeert.

Schermopname van de Palo Alto-werkmap.

Verschillende werkmappen maken voor verschillende toepassingen

U wordt aangeraden verschillende visualisaties te maken voor elk type persona dat gebruikmaakt van werkmappen, op basis van de rol van de persona en wat ze zoeken. Maak bijvoorbeeld een werkmap voor uw netwerkbeheerder die de firewallgegevens bevat.

U kunt ook werkmappen maken op basis van hoe vaak u ze wilt bekijken, of er dingen zijn die u dagelijks wilt bekijken en andere items die u eenmaal per uur wilt controleren. U kunt bijvoorbeeld elk uur uw Microsoft Entra-aanmeldingen bekijken om te zoeken naar afwijkingen.

Gebruik de volgende query om een visualisatie te maken waarmee verkeerstrends in weken worden vergeleken. Schakel over naar de leverancier van het apparaat en de gegevensbron waarop u de query uitvoert, afhankelijk van uw omgeving.

In de volgende voorbeeldquery wordt de tabel SecurityEvent uit Windows gebruikt. Mogelijk wilt u deze overschakelen om te worden uitgevoerd op de AzureActivity - of CommonSecurityLog-tabel op een andere firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Voorbeeldquery met gegevens uit meerdere bronnen

Mogelijk wilt u een query maken die gegevens uit meerdere bronnen combineert. Maak bijvoorbeeld een query die naar Microsoft Entra-auditlogboeken kijkt voor nieuwe gebruikers die zijn gemaakt en controleert vervolgens uw Azure-logboeken om te zien of de gebruiker binnen 24 uur na het maken van de roltoewijzing wijzigingen heeft aangebracht. Deze verdachte activiteit zou worden weergegeven in een visualisatie met de volgende query:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Zie voor meer informatie: