Визуализация собранных данных

В этой статье содержатся сведения о том, как быстро просматривать и отслеживать процессы в вашей среде с помощью Microsoft Sentinel. После подключения источников данных к Microsoft Sentinel вы получаете мгновенную визуализацию и анализ данных, чтобы вы могли знать, что происходит во всех подключенных источниках данных. Microsoft Sentinel предоставляет книги со всеми возможностями инструментов, уже доступных в Azure, а также с таблицами и диаграммами, которые встроены для предоставления аналитики для журналов и запросов. Вы можете использовать встроенные книги или создать новую книгу с нуля или на основе существующей книги.

Получение визуализации

Для визуализации и анализа того, что происходит в вашей среде, сначала взгляните на панель мониторинга с общими сведениями, чтобы получить представление о состоянии безопасности вашей организации. Чтобы снизить уровень шума и свести к минимуму количество оповещений, которые необходимо просматривать и анализировать, Microsoft Sentinel использует технологии слияния для корреляции оповещений с инцидентами. Инциденты — это группы связанных предупреждений. Они определяют ситуацию, предполагающую выполнение соответствующих действий.

На портале Azure выберите Microsoft Sentinel и рабочую область, которую необходимо отслеживать.

Если вы хотите обновить данные для всех разделов панели мониторинга, выберите Обновить в верхней части панели мониторинга. Чтобы повысить производительность, данные для каждого раздела панели мониторинга предварительно вычисляются, и время обновления отображается в верхней части каждого раздела.

Просмотр данных об инцидентах

В разделе Инциденты отображаются различные типы данных об инцидентах.

• В левом верхнем углу вы увидите количество новых, активных и закрытых инцидентов за последние 24 часа.
• В правом верхнем углу вы увидите инциденты, упорядоченные по серьезности, и закрытые инциденты по закрытой классификации.
• В левом нижнем углу граф разбивает состояние инцидента по времени создания с интервалом в четыре часа.
• В правом нижнем углу отображается среднее время подтверждения инцидента и среднее время закрытия со ссылкой на книгу по эффективности SOC.

Просмотр данных автоматизации

В разделе Автоматизация отображаются различные типы данных автоматизации.

• В верхней части отображается сводка действий правил автоматизации: Инциденты, закрытые автоматизацией, время, сохраненное при автоматизации, и работоспособность связанных сборников схем.
• Под сводкой отображается граф, в котором суммируется количество действий, выполняемых автоматизацией, по типу действия.
• В нижней части можно найти количество активных правил автоматизации со ссылкой на колонку автоматизации.

Просмотр состояния записей данных, сборщиков данных и аналитики угроз

В разделе Данные отображаются различные типы данных в записях данных, сборщиках данных и аналитике угроз.

• Слева на графике показано количество записей, собранных Майкрософт Sentinel за последние 24 часа, по сравнению с предыдущими 24 часами, и аномалий, обнаруженных за этот период времени.
• В правом верхнем углу отображается сводка состояния соединителя данных, разделенная на неработоспособные и активные соединители. Неработоспособные соединители указывают, сколько соединителей имеют ошибки. Активные соединители — это соединители с потоковой передачей данных в Майкрософт Sentinel, измеряемые запросом, включенным в соединитель.
• В правом нижнем углу вы увидите записи аналитики угроз в Майкрософт Sentinel по признаку компрометации.

Просмотр аналитических данных

Вы увидите данные для правил аналитики в разделе Аналитика.

Вы увидите количество правил аналитики в Майкрософт Sentinel по состоянию "Включено", "Отключено" или "Автоматически отключено".

Использование встроенных книг

Встроенные книги предоставляют данные собранные из подключенных источников данных, что позволяет узнать больше о событиях, создаваемых в этих службах. Ко встроенным книгам относятся Azure AD, события действий Azure и локальные данные, полученные с серверов событий Windows, из собственных оповещений, от сторонних производителей, включая журналы трафика брандмауэра, Office 365 и небезопасные протоколы, основанные на событиях Windows. Книги основаны на книгах Azure Monitor, чтобы предоставить расширенную настройку и гибкость при проектировании собственной книги. Дополнительные сведения см.в разделе Книги.

1. В разделе Параметры выберите Книги. В разделе Установленные можно увидеть все установленные книги. В разделе Все отображается вся коллекция встроенных книг, доступных для установки.
2. Найдите определенную книгу, чтобы увидеть полный список и описание того, что каждая из них предлагает.
3. Если для начала работы Microsoft Sentinel вы используете Azure AD, мы рекомендуем установить по крайней мере следующие книги:

   • Azure AD. Используйте одно или оба из приведенных ниже действий.

     • Данные для входа Azure AD анализируют входы в систему за определенный период времени, чтобы обнаружить аномалии. В этой книге представлены неудачные входы приложений, устройств и расположений, таким образом, вы можете быстро заметить возникновение чего-то необычного. Обратите внимание на несколько неудачных входов.
     • Журналы аудита Azure AD анализируют действия администратора, например изменение пользователей (добавления, удаления и т. д.), создание группы и изменение файлов.

   • Добавьте книгу для брандмауэра. Например, добавьте книгу Palo Alto. Книга анализирует трафик брандмауэра, предоставляя корреляцию между событиями данных и угрозой для вашего брандмауэра, и выделяет подозрительные события между сущностями. Книги предоставляют сведения о тенденциях трафика и позволяют детализировать и фильтровать результаты.

     

Вы можете настроить книги, изменив запроса. Вы можете нажать , чтобы перейти в Log Analytics, чтобы изменить запрос, а также щелкнуть многоточие (...) и выбрать Настроить данные плитки, чтобы изменить основной фильтр времени или удалить определенные плитки из книги.

Дополнительные сведения о работе с запросами см. в статье Создание панелей мониторинга данных Log Analytics и предоставление общего доступа к ним

Добавление новой плитки

Чтобы добавить новую плитку, поместите ее в существующую книгу, либо в любую созданную вами, либо во встроенную книгу Microsoft Sentinel.

1. Создайте плитку в Log Analytics с помощью инструкций, приведенных в статье Создание панелей мониторинга данных Log Analytics и предоставление общего доступа к ним.
2. После создания плитки в разделе Закрепить выберите книгу, в которой будет отображаться плитка.

Создание новых книг

Вы можете создать новую книгу с нуля или использовать встроенную книгу в качестве основы для новой книги.

1. Чтобы создать новую книгу с нуля, выберите Книги, а затем Новая книга.
2. Выберите подписку, в которой создана книга, и присвойте ей описательное имя. Каждая из книг, как и другие службы, является ресурсом Azure, и вы можете присвоить ей роли (Azure RBAC) для определения и ограничения доступа к ней.
3. Чтобы включить появление каждой из них в книгах, в которых закрепляется визуализация, вам необходимо предоставить к ним общий доступ. Щелкните Общая папка и Управление пользователями.
4. Как и для других ресурсов Azure, используйте Проверить доступ и Назначения ролей. Дополнительные сведения см. в статье Предоставление общего доступа к книгам Azure с помощью Azure RBAC.

Примеры новой книги

В следующем примере запрос позволяет сравнить тенденции трафика по неделям. Вы можете с легкостью переключаться между устройствами поставщика и источниками данных. на которых будете выполнять запрос. В этом примере используется SecurityEvent из Windows. Вы можете переключиться на AzureActivity или CommonSecurityLog на любом другом брандмауэре.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Вы можете создать запрос, который включает в себя данные из нескольких источников. Вы можете создать запрос, который ищет в журналах аудита Azure Active Directory новых, только что созданных пользователей, а затем проверяет журналы Azure, чтобы узнать, начал ли пользователь вносить изменения в назначения ролей в течение 24 часов после создания. Такое подозрительное действие будет отображаться на панели мониторинга.

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

На основе роли пользователя, который просматривает данные, и того, что он ищет, можно создавать разные книги. Например, вы можете создать книгу для администратора сети, содержащую данные брандмауэра. Вы также можете создавать книги в зависимости от того, как часто хотите просматривать их, существуют ли элементы, которые вы хотите просматривать каждый день, или другие элементы, которые нужно проверять раз в час (например, каждый час вы просматриваете входы Azure AD, чтобы выявить аномалии).

Создание обнаружений

Создайте обнаружения в источниках данных, которые подключены к Microsoft Sentinel, для обнаружения угроз в вашей организации.

При создании обнаружения, используйте встроенные обнаружения, созданные специалистами Майкрософт по вопросам безопасности и предназначенные для источников данных, к которым вы подключены.

Чтобы просмотреть все готовые обнаружения, перейдите в раздел Аналитика а затем Шаблоны правил. На этой вкладке содержатся все встроенные правила Microsoft Sentinel.

Дополнительные сведения о том, как получить готовые обнаружения, см. в статье Получение встроенной аналитики.

Дальнейшие действия

Из этого краткого руководства вы узнали, как начать работу с Microsoft Sentinel. Ознакомьтесь со статьей об обнаружении угроз.

Создайте пользовательские правила обнаружения угроз для автоматизации ответов на угрозы.