Visualizar e monitorizar os seus dados com livros no Microsoft Sentinel

Depois de ligar as origens de dados ao Microsoft Sentinel, visualize e monitorize os dados com livros no Microsoft Sentinel. Microsoft Sentinel livros baseiam-se em livros do Azure Monitor e adicionam tabelas e gráficos com análises para os seus registos e consultas às ferramentas já disponíveis no Azure.

Microsoft Sentinel permite-lhe criar livros personalizados nos seus dados ou utilizar modelos de livros existentes disponíveis com soluções em pacote ou como conteúdo autónomo do hub de conteúdos. Cada livro é um recurso Azure como qualquer outro e pode atribuí-lo com Azure controlo de acesso baseado em funções (RBAC) para definir e limitar quem pode aceder.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.

Pré-requisitos

• Tem de ter, pelo menos, permissões de leitor de livros ou contribuidor de livro no grupo de recursos da área de trabalho Microsoft Sentinel.

  Os livros que vê no Microsoft Sentinel são guardados no grupo de recursos da Microsoft Sentinel área de trabalho e etiquetados pela área de trabalho na qual foram criados.

• Para utilizar um modelo de livro, instale a solução que contém o livro ou instale o livro como um item autónomo a partir do Hub de Conteúdos. Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial.

• Se estiver a trabalhar no portal do Defender com uma origem de dados Azure Data Explorer, certifique-se de que configura e autentica para Azure Data Explorer a partir do portal do Defender.

Criar um livro a partir de um modelo

Utilize um modelo instalado a partir do hub de conteúdos para criar um livro.

1. Em Microsoft Sentinel, selecione Livros de gestão > de ameaças.

2. Na página Livros , selecione o separador Modelos para ver a lista de modelos de livros instalados. Selecione um modelo para ver os detalhes.

   Alguns livros requerem ligações de dados específicas para funcionar. Antes de guardar um livro, verifique se existe um campo Tipos de dados obrigatórios para garantir que tem esse tipo de dados ingeridos.

   Por exemplo:

   Portal do Defender

   

   portal do Azure

   

3. No painel de detalhes, selecione Guardar e, em seguida, selecione a localização onde pretende guardar o livro. Esta ação cria um recurso Azure na localização selecionada com base no modelo relevante. Apenas o ficheiro JSON do livro é guardado nesta localização e não existem dados.

4. No painel de detalhes, selecione Ver livro guardado para o abrir para edição.

5. Com o livro aberto, selecione Editar para personalizar o livro de acordo com as suas necessidades.

   Portal do Defender

   

   Ao trabalhar no portal do Defender, algumas visualizações só podem ser visualizadas no portal do Azure. Nestes casos, selecione Abrir no Azure para abrir o livro no portal do Azure.

   portal do Azure

   

   Por exemplo, selecione o filtro TimeRange para ver os dados de um intervalo de tempo diferente do da seleção atual. Para editar uma área de livro específica, selecione Editar ou selecione as reticências (...) para adicionar elementos ou mover, clonar ou remover a área.

   Para clonar o livro, selecione Guardar como. Guarde o clone com outro nome, na mesma subscrição e grupo de recursos. Os livros clonados também são apresentados no separador Os meus livros na página Livros de gestão > de ameaças Microsoft Sentinel>.

6. Quando terminar, selecione Edição Concluída para guardar as alterações.

Para mais informações, consulte:

• Criar relatórios interativos com livros do Azure Monitor
• Tutorial: Dados visuais no Log Analytics

Criar novo livro

Crie um livro do zero no Microsoft Sentinel.

1. Em Microsoft Sentinel, selecione Gestão > de ameaças Livros e, em seguida, selecione Adicionar livro.

2. Para editar o livro, selecione Editar e, em seguida, adicione texto, consultas e parâmetros conforme necessário.

   Para obter mais informações sobre como personalizar o livro, veja Como Criar relatórios interativos com Azure Monitorizar Livros.

   

3. Ao criar uma consulta, defina a Origem de dados como Registos e Tipo de recurso como Log Analytics e, em seguida, escolha uma ou mais áreas de trabalho.

   Recomendamos que a consulta utilize um analisador do Modelo de Informação de Segurança Avançada (ASIM) e não uma tabela incorporada. Em seguida, a consulta suportará qualquer origem de dados relevante atual ou futura em vez de uma única origem de dados.

4. Quando terminar as suas edições, selecione Edição concluída e, em seguida, Guardar. No painel lateral, introduza um nome significativo para o livro e selecione a subscrição e o grupo de recursos da área de trabalho.

5. Ao trabalhar no portal do Azure, alterne entre livros na área de trabalho ao selecionar Abrir Na barra de ferramentas de qualquer livro. O ecrã muda para uma lista de outros livros para os quais pode mudar.

   Selecione o livro que pretende abrir:

   

Criar novos mosaicos para os seus livros

Para adicionar um mosaico personalizado a um livro Microsoft Sentinel, crie primeiro o mosaico no Log Analytics. Para obter mais informações, veja Dados visuais no Log Analytics.

Depois de criar um mosaico, selecione Afixar e, em seguida, selecione o livro onde pretende que o mosaico seja apresentado.

Atualizar os dados do livro

Atualize o livro para apresentar os dados atualizados. Na barra de ferramentas, selecione uma das seguintes opções:

• Atualize para atualizar manualmente os dados do livro.

• Atualização automática, para definir o livro para atualizar automaticamente num intervalo configurado.

  • Os intervalos de atualização automática suportados variam entre 5 minutos e 1 dia.

  • A atualização automática é colocada em pausa enquanto estiver a editar um livro e os intervalos são reiniciados sempre que voltar ao modo de visualização a partir do modo de edição.

  • Os intervalos de atualização automática também são reiniciados se atualizar manualmente os dados.

  Por predefinição, a atualização automática está desativada. Se tiver ativado a atualização automática, esta será desativada novamente sempre que fechar o bloco de notas para otimizar a perforamnce e impedir que seja executada em segundo plano. Volte a ativar a atualização automática conforme necessário da próxima vez que abrir o livro.

Imprimir um livro ou guardar como PDF (apenas portal do Azure)

Para imprimir um livro ou guardá-lo como um PDF, utilize o menu de opções à direita do título do livro. Estas opções só estão disponíveis no portal do Azure. Se estiver a trabalhar no portal do Defender, selecione Abrir no Azure para abrir o livro no portal do Azure.

1. Selecione opções >Imprimir conteúdo.

2. No ecrã de impressão, ajuste as definições de impressão conforme necessário ou selecione Guardar como PDF para guardá-lo localmente.

   Por exemplo:

   

Eliminar um ou mais livros

Pode eliminar modelos guardados e livros personalizados no separador Os meus livros . Os próprios modelos não podem ser eliminados.

Para eliminar um livro, selecione o livro no separador Os meus livros e, em seguida, selecione Eliminar. Esta ação remove o recurso do livro e quaisquer alterações efetuadas ao modelo. O modelo original permanece disponível.

Recomendações de livros

Esta secção revê as recomendações básicas que temos para utilizar livros com Microsoft Sentinel.

Adicionar Microsoft Entra ID livros

Se utilizar Microsoft Entra ID com Microsoft Sentinel, recomendamos que instale a solução de Microsoft Entra para Microsoft Sentinel e utilize os seguintes livros:

• Microsoft Entra inícios de sessão analisa os inícios de sessão ao longo do tempo para ver se existem anomalias. Este livro fornece inícios de sessão falhados por aplicações, dispositivos e localizações para que possa reparar rapidamente se algo invulgar acontecer. Preste atenção a vários inícios de sessão falhados.
• Microsoft Entra os registos de auditoria analisam atividades de administrador, tais como alterações nos utilizadores (adicionar, remover, etc.), criação de grupos e modificações.

Adicionar livros de firewall

Recomendamos que instale a solução adequada a partir do Hub de conteúdos para adicionar um livro para a firewall.

Por exemplo, instale a solução de firewall palo Alto para Microsoft Sentinel para adicionar os livros da Palo Alto. Os livros analisam o tráfego da firewall, fornecendo-lhe correlações entre os dados da firewall e os eventos de ameaças e realçam eventos suspeitos entre entidades.

Criar livros diferentes para diferentes utilizações

Recomendamos a criação de visualizações diferentes para cada tipo de persona que utiliza livros, com base na função da pessoa pessoal e no que procuram. Por exemplo, crie um livro para o administrador de rede que inclua os dados da firewall.

Em alternativa, crie livros com base na frequência com que pretende vê-los, se existem itens que pretende rever diariamente e outros itens que pretende verificar uma vez por hora. Por exemplo, poderá querer ver os Microsoft Entra inícios de sessão a cada hora para procurar anomalias.

Consulta de exemplo para comparar tendências de tráfego ao longo de semanas

Utilize a seguinte consulta para criar uma visualização que compara as tendências de tráfego ao longo de semanas. Altere o fornecedor do dispositivo e a origem de dados em que executa a consulta, consoante o seu ambiente.

A seguinte consulta de exemplo utiliza a tabela SecurityEvent do Windows. Poderá querer alterá-lo para ser executado na tabela AzureActivity ou CommonSecurityLog , em qualquer outra firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Consulta de exemplo com dados de várias origens

Poderá querer criar uma consulta que incorpore dados de múltiplas origens. Por exemplo, crie uma consulta que analise Microsoft Entra registos de auditoria de novos utilizadores que foram criados e, em seguida, verifique os seus registos de Azure para ver se o utilizador começou a fazer alterações de atribuição de funções no prazo de 24 horas após a criação. Essa atividade suspeita apareceria numa visualização com a seguinte consulta:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Veja mais informações sobre os seguintes itens utilizados nos exemplos anteriores, na documentação do Kusto:

• operador where
• operador extend
• operador de projeto
• operador project-away
• operador de associação
• operador summarize
• função ago()
• função bin()
• Função iff()
• função tostring()
• função de agregação count()

Para obter mais informações sobre o KQL, veja Descrição geral do Linguagem de Pesquisa Kusto (KQL).

Outros recursos:

• Referência rápida do KQL
• recursos de aprendizagem Linguagem de Pesquisa Kusto

Artigos relacionados

Para mais informações, consulte:

• Livros de Microsoft Sentinel utilizados frequentemente

• Azure Monitorizar livros