Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel

После подключения источников данных к Microsoft Sentinel визуализировать и отслеживать данные с помощью книг в Microsoft Sentinel. Книги Microsoft Sentinel основаны на книгах Azure Monitor и добавляют таблицы и диаграммы с аналитикой для журналов и запросов к средствам, уже доступным в Azure.

Microsoft Sentinel позволяет создавать пользовательские книги в данных или использовать существующие шаблоны книг, доступные с упакованными решениями или как автономное содержимое из концентратора контента. Каждая книга — это ресурс Azure, как и любой другой, и вы можете назначить его с помощью управления доступом на основе ролей Azure (RBAC), чтобы определить и ограничить доступ пользователей.

В этой статье описывается визуализация данных в Microsoft Sentinel с помощью книг.

Внимание

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.

Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.

Необходимые компоненты

• Необходимо иметь по крайней мере разрешения читатель рабочей книги или соавтор рабочей книги в группе ресурсов рабочей области Microsoft Sentinel.

  Книги, которые вы видите в Microsoft Sentinel, сохраняются в группе ресурсов рабочей области Microsoft Sentinel и помечены рабочей областью, в которой они были созданы.

• Чтобы использовать шаблон книги, установите решение, содержащее книгу, или установите книгу в качестве автономного элемента из Центра контента. Дополнительные сведения см. в статье "Обнаружение и управление готовым содержимым Microsoft Sentinel".

Создание книги из шаблона

Используйте шаблон, установленный из концентратора содержимого, для создания книги.

1. Для Microsoft Sentinel на портале Azure, в разделе Управление угрозами, выберите рабочие книги.
   Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление угрозами>Рабочие книги.

2. Перейдите к рабочим книгам и выберите шаблоны рабочих книг, чтобы просмотреть список установленных шаблонов.

   Чтобы узнать, какие шаблоны относятся к подключенным типам данных, просмотрите поле Необходимые типы данных в каждой книге, где это доступно.

   Портал Defender

   

   Портал Azure

   

3. Выберите "Сохранить " в области сведений о шаблоне и расположение, в котором нужно сохранить JSON-файл для шаблона. Это действие создает ресурс Azure на основе соответствующего шаблона и сохраняет JSON-файл книги, а не данные.

4. Выберите Просмотр сохраненной книги в области сведений о шаблоне.

5. Нажмите кнопку "Изменить " на панели инструментов книги, чтобы настроить книгу в соответствии с вашими потребностями.

   

   Например, выберите фильтр TimeRange , чтобы просмотреть данные для другого диапазона времени, чем текущий выбор. Чтобы изменить определенную область книги, выберите "Изменить " или выберите многоточие (...), чтобы добавить элементы, переместить, клонировать или удалить область.

   Чтобы клонировать книгу, нажмите кнопку "Сохранить как". Сохраните клон с другим именем в той же подписке и группе ресурсов. Клонированные книги отображаются на вкладке "Мои книги ".

6. По завершении нажмите кнопку "Сохранить ", чтобы сохранить изменения.

Дополнительные сведения см. в разделе:

• Создавайте интерактивные отчеты с помощью Workbooks Azure Monitor
• Руководство. Визуальные данные в Log Analytics

Создание новой книги

Создайте книгу с нуля в Microsoft Sentinel.

1. Для Microsoft Sentinel на портале Azure, в разделе Управление угрозами, выберите рабочие книги.
   Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление угрозами>Рабочие книги.

2. Выберите «Добавить книгу».

3. Чтобы изменить книгу, нажмите кнопку "Изменить", а затем добавьте текст, запросы и параметры по мере необходимости. Дополнительные сведения о настройке рабочей книги см. в разделе "Создание интерактивных отчетов в рабочих книгах Azure Monitor".

   

4. При создании запроса установите Источник данных на Логи и Тип ресурса на Log Analytics, а затем выберите одну или несколько рабочих областей.

   Мы рекомендуем использовать средство синтаксического анализа расширенной информационной модели безопасности (ASIM), а не встроенную таблицу. Затем запрос будет поддерживать любой текущий или будущий соответствующий источник данных, а не один источник данных.

5. После создания книги сохраните книгу в подписке и группе ресурсов рабочей области Microsoft Sentinel.

6. Если вы хотите разрешить другим пользователям в организации использовать книгу, в разделе Сохранить в выберите Общие отчеты. Если вы хотите, чтобы эта книга была доступна только для вас, выберите "Мои отчеты".

7. Чтобы переключиться между книгами в рабочей области, выберите "Открыть На панели инструментов любой книги. Отобразится список других книг, на которые можно переключиться.

   Выберите книгу, которую требуется открыть:

   

Создание новых плиток для книг

Чтобы добавить пользовательскую плитку в книгу Microsoft Sentinel, сначала создайте плитку в Log Analytics. Дополнительные сведения см. в разделе "Визуальные данные" в Log Analytics.

После создания плитки выберите "Закрепить ", а затем выберите книгу, в которой будет отображаться плитка.

Обновление данных в книге

Чтобы отобразить в книге обновленные данные, обновите ее. На панели инструментов выберите одну из следующих команд:

• Обновите, чтобы вручную обновить данные рабочей книги.

• Автоматическое обновление, чтобы установить автоматическое обновление книги с заданным интервалом.

  • Поддерживаемые интервалы автоматического обновления варьируются от 5 минут до 1 дня.

  • Автоматическое обновление приостанавливается во время правки книги, а отсчет интервалов начинается заново при каждом переключении в режим просмотра из режима правки.

  • Кроме того, отсчет интервалы автоматического обновления начинается с нуля при ручном обновлении данных.

  По умолчанию автоматическое обновление данных отключено. Чтобы оптимизировать производительность, автоматическое обновление отключается при каждом закрытии книги. Он не выполняется в фоновом режиме. Включите автоматическое обновление по необходимости при следующем открытии книги.

Печать книги или ее сохранение в формате PDF

Чтобы распечатать книгу или сохранить ее в формате PDF, используйте меню параметров справа от заголовка книги.

1. Выберите параметры >печати содержимого.

2. На экране печати настройте параметры печати по мере необходимости или нажмите кнопку "Сохранить как PDF" , чтобы сохранить его локально.

   Например:

   

Удаление книг

Чтобы удалить сохраненную книгу, будь то сохраненный шаблон или настраиваемая книга, выберите нужную вам сохраненную книгу и нажмите кнопку "Удалить". Это действие удаляет сохраненную книгу. Он также удаляет ресурс книги и все изменения, внесенные в шаблон. Исходный шаблон остается доступным.

Рекомендации по книге

В этом разделе рассматриваются основные рекомендации по использованию книг Microsoft Sentinel.

Добавление книг идентификатора Microsoft Entra

Если вы используете идентификатор Microsoft Entra с Microsoft Sentinel, рекомендуется установить решение Microsoft Entra для Microsoft Sentinel и использовать следующие книги:

• Входы Microsoft Entra анализируются с течением времени, чтобы определить, есть ли аномалии. Эта книга предоставляет неудачные входы в систему приложениями, устройствами и расположениями, чтобы вы могли заметить, если произойдет что-то необычное. Обратите внимание на несколько неудачных входов.
• Журналы аудита Microsoft Entra анализируют действия администратора, такие как изменения пользователей (добавление, удаление и т. д.), создание группы и изменения.

Добавление книг брандмауэра

Рекомендуем установить решение из Концентратора контента, чтобы добавить рабочую тетрадь для брандмауэра.

Например, установите решение брандмауэра Palo Alto для Microsoft Sentinel, чтобы добавить книги Palo Alto. Книги анализируют трафик брандмауэра, обеспечивая корреляцию между данными брандмауэра и событиями угроз и выделением подозрительных событий между сущностями.

Создание разных книг для различных использования

Мы рекомендуем создавать различные визуализации для каждого типа персоны, использующего книги, на основе роли человека и того, что они ищут. Например, создайте книгу для сетевого администратора, включающую данные брандмауэра.

Кроме того, создайте книги на основе того, насколько часто вы хотите их посмотреть, есть ли вещи, которые вы хотите просматривать ежедневно, и другие элементы, которые вы хотите проверить один раз в час. Например, вы можете посмотреть на входы Microsoft Entra каждый час, чтобы искать аномалии.

Пример запроса для сравнения тенденций трафика в течение нескольких недель

Используйте следующий запрос, чтобы создать визуализацию, которая сравнивает тенденции трафика в течение нескольких недель. Переключите поставщик устройства и источник данных, на который выполняется запрос, в зависимости от среды.

В следующем примере запроса используется таблица SecurityEvent из Windows. Вы можете переключить его для запуска в таблице AzureActivity или CommonSecurityLog на любом другом брандмауэре.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Пример запроса с данными из нескольких источников

Вы можете создать запрос, который включает в себя данные из нескольких источников. Например, создайте запрос, который просматривает журналы аудита Microsoft Entra для новых пользователей, созданных, а затем проверяет журналы Azure, чтобы узнать, начал ли пользователь вносить изменения в назначение ролей в течение 24 часов после создания. Это подозрительное действие будет отображаться в визуализации со следующим запросом:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации Kusto:

• Оператор where
• Оператор расширения
• Оператор проекта
• Оператор project-away
• Оператор соединения
• Оператор суммировать
• функция ago()
• функция bin()
• Функция iff()
• функция tostring()
• Функция агрегирования count()

Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).

Другие ресурсы:

• Краткий справочник по KQL
• Ресурсы обучения языка запросов Kusto

Связанные статьи

Дополнительные сведения см. в разделе:

• Часто используемые рабочие книги Microsoft Sentinel

• Рабочие книги Azure Monitor