Monitorar e visualizar dados

  • 5 minutos

Os Logs do Microsoft Sentinel fornecem acesso aos vários logs coletados dos conectores de segurança. O Microsoft Sentinel coleta esses logs de seus conectores integrados e os armazena no workspace do Azure Log Analytics.

Espaço de trabalho do Log Analytics

O workspace do Log Analytics é um repositório que armazena dados e informações de configuração. Você pode criar consultas para filtrar informações importantes, que podem ser usadas para criar regras de análise e detectar ameaças. Por exemplo, você pode usar Logs do Microsoft Sentinel para pesquisar dados de várias fontes, agregar grandes conjuntos de dados e executar operações complexas para localizar possíveis ameaças à segurança e vulnerabilidades.

Explorar a página de Logs do Microsoft Sentinel

Você pode procurar logs específicos na página Logs do Microsoft Sentinel. Veja a página selecionando Logs no painel de navegação no Microsoft Sentinel.

A página Logs tem estas partes principais:

  • O cabeçalho da página contém links para Consultas, Gerenciador de consultas, configurações e seção de ajuda.
  • O painel Tabelas exibe dados coletados dos logs em tabelas, cada uma contendo várias colunas.
  • No painel de consulta, você escreve suas próprias expressões de consulta.
  • O painel de resultado da consulta exibe os resultados de suas consultas.

Screenshot of the default Logs page that shows four elements: the Header bar, the Tables pane, the Queries pane, and the Query results/history pane.

Consultas

Quando você seleciona o link Consultas no cabeçalho da página, é aberta uma nova janela na qual você pode selecionar entre algumas consultas de exemplo predefinidas. No menu suspenso Consultas, você pode filtrar essas consultas com base em:

  • Categoria
  • Tipo de consulta
  • Tipo de recurso
  • Solução
  • Tópico

Selecione Executar para iniciar uma consulta predefinida. Essa ação redireciona você ao painel de consulta. Você pode observar a estrutura de consulta e os resultados. Para resolver a preocupação da Contoso com usuários não autorizados, execute a consulta predefinida Usuários não autorizados.

Screenshot that presents unauthorized users.

Gerenciador de Consultas

Use o Gerenciador de Consultas para acessar as consultas já salvas. Você também pode acessar algumas Consultas de Solução, que basicamente filtram as consultas mais comuns que você pode usar para filtrar os dados. Na lista Consultas de Solução, você pode executar a consulta ou organizá-la na seção de favoritos selecionando o símbolo de estrela.

Painel Tabelas

O painel Tabelas agrupa logs de diferentes soluções em tabelas. Você pode expandir o grupo de soluções e observar todos os logs coletados. Você também pode selecionar um dos logs no painel de tabelas. Você pode visualizar os dados ou adicionar esse log à seção Favoritos.

A captura de tela a seguir exibe os logs coletados na solução Microsoft Sentinel.

Screenshot displaying the Tables view.

Painel Consultas

Use o painel Consultas para criar consultas que recuperam dados com base na expressão fornecida. O painel Consultas ajuda você a escrever uma consulta precisa fornecendo sugestões e preenchendo automaticamente os elementos esperados da consulta.

Aproveite as funcionalidades da KQL (Linguagem de Consulta Kusto) para escrever uma consulta que recupera dados dos logs. O exemplo a seguir ilustra como usar código KQL em suas consultas para identificar máquinas virtuais excluídas.

AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

Barra de ferramentas de cabeçalho

A barra de ferramentas de cabeçalho fornece mais interação com a consulta, conforme exibido na captura de tela a seguir.

Screenshot of the header toolbar, with options described in the text following the image.

  • Salve a consulta do painel Consulta selecionando Salvar. Essa ação abre uma nova janela, solicitando que você insira o nome e a categoria da consulta salva. As consultas salvas aparecem no gerenciador de consultas.

  • No campo Intervalo de Tempo, você pode fornecer um horário diferente para alterar o intervalo de tempo referente ao qual deseja exibir os resultados da consulta.

  • Crie um link para a consulta e compartilhe-o com outros membros da equipe selecionando Copiar link para consulta. Também é possível pode copiar o texto da consulta.

  • Na barra de ferramentas de cabeçalho no painel Consulta, você pode criar um Alerta do Azure Monitor ou um Alerta do Microsoft Sentinel. Se optar por criar um alerta do Microsoft Sentinel, você será direcionado para as próximas etapas para criar uma regra de análise.

  • Exporte a consulta para um dos seguintes formatos:

    • Exportar para CSV. Exporte todas as colunas, visíveis e ocultas, para um arquivo CSV que você pode abrir com o Microsoft Excel.
    • Exportar para CSV – Colunas exibidas. Exporte somente as colunas exibidas nas janelas de resultados da consulta.
    • Exportar para o Power BI (consulta M). Crie e baixe um arquivo PowerBIQuery.txt que pode ser aberto com o aplicativo Microsoft Power BI.

    Você pode fixar os resultados da consulta em um dashboard privado ou compartilhado para examiná-los rapidamente.

  • Use Formatar consulta na barra de ferramentas do cabeçalho para tornar a consulta mais legível.

Observação

Você poderá exportar ou fixar a consulta somente se a expressão de consulta gerar dados na seção de resultados da consulta.

Resultados da consulta

Em Resultados, você pode observar os resultados da consulta. Você também pode apresentar os resultados usando um gráfico ou ocultar e exibir outras colunas para filtrar os resultados da consulta.

Verificar seu conhecimento

1.

Um administrador quer abrir uma consulta salva anteriormente. Após abrir a página de Logs no Microsoft Sentinel, qual das opções a seguir o administrador deve selecionar?

2.

O administrador quer criar uma regra de análise com base na consulta criada. Qual opção do painel de consultas ele deve selecionar?