Udostępnij za pośrednictwem

Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Po połączeniu źródeł danych z usługą Microsoft Sentinel wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel. Skoroszyty usługi Microsoft Sentinel są oparte na skoroszytach usługi Azure Monitor i dodają tabele i wykresy z analizą dzienników i zapytań do narzędzi dostępnych już na platformie Azure.

Usługa Microsoft Sentinel umożliwia tworzenie niestandardowych skoroszytów między danymi lub używanie istniejących szablonów skoroszytów dostępnych z spakowanych rozwiązań lub jako zawartości autonomicznej z centrum zawartości. Każdy skoroszyt jest zasobem platformy Azure, podobnie jak każdy inny, i możesz przypisać go za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zdefiniować i ograniczyć, kto może uzyskać dostęp.

W tym artykule opisano sposób wizualizowania danych w usłudze Microsoft Sentinel przy użyciu skoroszytów.

Ważne

Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

  • Musisz mieć co najmniej uprawnienia czytelnika skoroszytu lub współautora skoroszytu w grupie zasobów obszaru roboczego usługi Microsoft Sentinel.

    Skoroszyty widoczne w usłudze Microsoft Sentinel są zapisywane w grupie zasobów obszaru roboczego usługi Microsoft Sentinel i są oznaczane przez obszar roboczy, w którym zostały utworzone.

  • Aby użyć szablonu skoroszytu, zainstaluj rozwiązanie zawierające skoroszyt lub zainstaluj skoroszyt jako autonomiczny element z centrum zawartości. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Tworzenie skoroszytu na podstawie szablonu

Użyj szablonu zainstalowanego z centrum zawartości, aby utworzyć skoroszyt.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Skoroszyty.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Skoroszyty zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>

  2. Przejdź do pozycji Skoroszyty , a następnie wybierz pozycję Szablony , aby wyświetlić listę zainstalowanych szablonów skoroszytów.

    Aby sprawdzić, które szablony są istotne dla połączonych typów danych, zapoznaj się z polem Wymagane typy danych w każdym skoroszycie, jeśli jest dostępny.

  3. Wybierz pozycję Zapisz w okienku szczegółów szablonu i lokalizację, w której chcesz zapisać plik JSON dla szablonu. Ta akcja powoduje utworzenie zasobu platformy Azure na podstawie odpowiedniego szablonu i zapisanie pliku JSON skoroszytu, a nie danych.

  4. Wybierz pozycję Wyświetl zapisany skoroszyt w okienku szczegółów szablonu.

  5. Wybierz przycisk Edytuj na pasku narzędzi skoroszytu, aby dostosować skoroszyt zgodnie z potrzebami.

    Zrzut ekranu przedstawiający zapisany skoroszyt.

    Na przykład wybierz filtr TimeRange , aby wyświetlić dane dla innego zakresu czasu niż bieżący wybór. Aby edytować konkretny obszar skoroszytu, wybierz pozycję Edytuj lub wybierz wielokropek (...), aby dodać elementy lub przenieść, sklonować lub usunąć obszar.

    Aby sklonować skoroszyt, wybierz pozycję Zapisz jako. Zapisz klon pod inną nazwą w ramach tej samej subskrypcji i grupy zasobów. Sklonowane skoroszyty są wyświetlane na karcie Moje skoroszyty .

  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz , aby zapisać zmiany.

Aby uzyskać więcej informacji, zobacz:

Tworzenie nowego skoroszytu

Utwórz skoroszyt od podstaw w usłudze Microsoft Sentinel.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Skoroszyty.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Skoroszyty zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>

  2. Wybierz pozycję Dodaj skoroszyt.

  3. Aby edytować skoroszyt, wybierz pozycję Edytuj, a następnie w razie potrzeby dodaj tekst, zapytania i parametry. Aby uzyskać więcej informacji na temat dostosowywania skoroszytu, zobacz jak tworzyć interaktywne raporty za pomocą skoroszytów usługi Azure Monitor.

    Zrzut ekranu przedstawiający nowy skoroszyt.

  4. Podczas tworzenia zapytania ustaw źródło danych na Dzienniki i typ zasobu na Log Analytics, a następnie wybierz co najmniej jeden obszar roboczy.

    Zalecamy użycie analizatora advanced Security Information Model (ASIM), a nie wbudowanej tabeli. Zapytanie będzie następnie obsługiwać dowolne bieżące lub przyszłe odpowiednie źródło danych, a nie jedno źródło danych.

  5. Po utworzeniu skoroszytu zapisz skoroszyt w ramach subskrypcji i grupy zasobów obszaru roboczego usługi Microsoft Sentinel.

  6. Jeśli chcesz zezwolić innym osobom w organizacji na korzystanie ze skoroszytu, w obszarze Zapisz wybierz pozycję Udostępnione raporty. Jeśli chcesz, aby ten skoroszyt był dostępny tylko dla Ciebie, wybierz pozycję Moje raporty.

  7. Aby przełączyć się między skoroszytami w obszarze roboczym, wybierz pozycję OtwórzIkona otwierania skoroszytu. na pasku narzędzi dowolnego skoroszytu. Ekran przełącza się na listę innych skoroszytów, do których można się przełączyć.

    Wybierz skoroszyt, który chcesz otworzyć:

    Przełącz skoroszyty.

Tworzenie nowych kafelków dla skoroszytów

Aby dodać kafelek niestandardowy do skoroszytu usługi Microsoft Sentinel, najpierw utwórz kafelek w usłudze Log Analytics. Aby uzyskać więcej informacji, zobacz Dane wizualne w usłudze Log Analytics.

Po utworzeniu kafelka wybierz pozycję Przypnij , a następnie wybierz skoroszyt, w którym ma zostać wyświetlony kafelek.

Odświeżanie danych skoroszytu

Odśwież skoroszyt, aby wyświetlić zaktualizowane dane. Na pasku narzędzi wybierz jedną z następujących opcji:

  • Odśwież, aby ręcznie odświeżyć dane skoroszytu.

  • Automatyczne odświeżanie, aby ustawić skoroszyt na automatyczne odświeżanie w skonfigurowanym interwale.

    • Obsługiwane interwały automatycznego odświeżania wahają się od 5 minut do 1 dnia.

    • Automatyczne odświeżanie jest wstrzymane podczas edytowania skoroszytu, a interwały są uruchamiane ponownie za każdym razem, gdy przełączysz się z powrotem do trybu wyświetlania z trybu edycji.

    • Interwały automatycznego odświeżania są również uruchamiane ponownie w przypadku ręcznego odświeżania danych.

    Domyślnie automatyczne odświeżanie jest wyłączone. Aby zoptymalizować wydajność, automatyczne odświeżanie jest wyłączane przy każdym zamknięciu skoroszytu. Nie działa w tle. Włącz automatyczne odświeżanie ponownie zgodnie z potrzebami przy następnym otwarciu skoroszytu.

Aby wydrukować skoroszyt lub zapisać go jako plik PDF, użyj menu opcji po prawej stronie tytułu skoroszytu.

  1. Wybierz opcje >Drukuj zawartość.

  2. Na ekranie wydruku dostosuj ustawienia drukowania zgodnie z potrzebami lub wybierz pozycję Zapisz jako plik PDF , aby zapisać go lokalnie.

    Na przykład:

    Zrzut ekranu przedstawiający sposób drukowania skoroszytu lub zapisywania go w formacie PDF.

Jak usunąć skoroszyty

Aby usunąć zapisany skoroszyt, zapisany szablon lub dostosowany skoroszyt, wybierz zapisany skoroszyt, który chcesz usunąć, a następnie wybierz pozycję Usuń. Ta akcja powoduje usunięcie zapisanego skoroszytu. Usuwa również zasób skoroszytu i wszelkie zmiany wprowadzone w szablonie. Oryginalny szablon pozostaje dostępny.

Zalecenia dotyczące skoroszytu

W tej sekcji przedstawiono podstawowe zalecenia dotyczące korzystania ze skoroszytów usługi Microsoft Sentinel.

Dodawanie skoroszytów identyfikatora Entra firmy Microsoft

Jeśli używasz identyfikatora Entra firmy Microsoft z usługą Microsoft Sentinel, zalecamy zainstalowanie rozwiązania Microsoft Entra dla usługi Microsoft Sentinel i użycie następujących skoroszytów:

  • Logowania firmy Microsoft Entra analizuje logowania w miarę upływu czasu, aby sprawdzić, czy występują anomalie. Ten skoroszyt zawiera nieudane logowania według aplikacji, urządzeń i lokalizacji, dzięki czemu można łatwo zauważyć, gdy wystąpi coś niezwykłego. Zwróć uwagę na wiele nieudanych logowania.
  • Dzienniki inspekcji firmy Microsoft Entra analizują działania administratora, takie jak zmiany użytkowników (dodawanie, usuwanie itp.), tworzenie grup i modyfikacje.

Dodawanie skoroszytów zapory

Zalecamy zainstalowanie odpowiedniego rozwiązania z centrum zawartości w celu dodania skoroszytu dla zapory.

Na przykład zainstaluj rozwiązanie zapory Palo Alto dla usługi Microsoft Sentinel, aby dodać skoroszyty Palo Alto. Skoroszyty analizują ruch zapory, zapewniając korelacje między danymi zapory i zdarzeniami zagrożenia oraz wyróżniają podejrzane zdarzenia między jednostkami.

Zrzut ekranu przedstawiający skoroszyt Palo Alto.

Tworzenie różnych skoroszytów dla różnych zastosowań

Zalecamy utworzenie różnych wizualizacji dla każdego typu osoby korzystającej ze skoroszytów na podstawie roli osoby i szukanych elementów. Na przykład utwórz skoroszyt dla administratora sieci, który zawiera dane zapory.

Alternatywnie utwórz skoroszyty na podstawie tego, jak często chcesz je przeglądać, czy są rzeczy, które chcesz przeglądać codziennie, a inne elementy, które chcesz sprawdzić raz na godzinę. Na przykład możesz sprawdzić logowania firmy Microsoft co godzinę, aby wyszukać anomalie.

Użyj następującego zapytania, aby utworzyć wizualizację, która porównuje trendy ruchu w tygodniach. Przełącz dostawcę urządzenia i źródło danych, na którym uruchamiasz zapytanie, w zależności od środowiska.

Poniższe przykładowe zapytanie używa tabeli SecurityEvent z systemu Windows. Możesz przełączyć go tak, aby był uruchamiany w tabeli AzureActivity lub CommonSecurityLog w dowolnej innej zaporze.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Przykładowe zapytanie z danymi z wielu źródeł

Możesz utworzyć zapytanie zawierające dane z wielu źródeł. Na przykład utwórz zapytanie, które analizuje dzienniki inspekcji firmy Microsoft Entra dla nowych użytkowników, którzy zostali utworzeni, a następnie sprawdza dzienniki platformy Azure, aby sprawdzić, czy użytkownik zaczął wprowadzać zmiany przypisania roli w ciągu 24 godzin od utworzenia. To podejrzane działanie zostanie wyświetlone w wizualizacji z następującym zapytaniem:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Aby uzyskać więcej informacji, zobacz: