Visualisera insamlade data

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om microsofts senaste säkerhetsförbättringar.

I den här artikeln får du lära dig hur du snabbt kan visa och övervaka vad som händer i din miljö med hjälp av Microsoft Sentinel. När du har anslutit dina datakällor till Microsoft Sentinel får du omedelbar visualisering och analys av data så att du kan veta vad som händer i alla dina anslutna datakällor. Microsoft Sentinel ger dig arbetsböcker som ger dig den fulla kraften hos verktyg som redan finns i Azure samt tabeller och diagram som är inbyggda för att ge dig analys för dina loggar och frågor. Du kan antingen använda inbyggda arbetsböcker eller skapa en ny arbetsbok enkelt, från grunden eller baserat på en befintlig arbetsbok.

Hämta visualisering

Om du vill visualisera och få analys av vad som händer i din miljö kan du först ta en titt på översiktsinstrumentpanelen för att få en uppfattning om organisationens säkerhetsstatus. Du kan klicka på varje element i dessa paneler för att öka detaljnivån till rådata som de skapas från. För att minska bruset och minimera antalet aviseringar som du måste granska och undersöka använder Microsoft Sentinel en fusionsteknik för att korrelera aviseringar till incidenter. Incidenter är grupper med relaterade aviseringar som tillsammans skapar en åtgärdsbar incident som du kan undersöka och lösa.

  • I Azure Portal väljer du Microsoft Sentinel och sedan den arbetsyta som du vill övervaka.

    Microsoft Sentinel overview

  • Verktygsfältet längst upp visar hur många händelser du har fått under den valda tidsperioden och jämför det med de föregående 24 timmarna. Verktygsfältet talar om för dig från dessa händelser, aviseringarna som utlöstes (det lilla antalet representerar ändringar under de senaste 24 timmarna) och visar sedan för dessa händelser, hur många som är öppna, pågår och stängda. Kontrollera att det inte finns någon dramatisk ökning eller minskning av antalet händelser. Om det uppstår en minskning kan det bero på att en anslutning slutade rapportera till Microsoft Sentinel. Om det sker en ökning kan något misstänkt ha hänt. Kontrollera om du har nya aviseringar.

    Microsoft Sentinel counters

Huvudtexten på översiktssidan ger en överblick över arbetsytans säkerhetsstatus:

  • Händelser och aviseringar över tid: Visar antalet händelser och hur många aviseringar som har skapats från dessa händelser. Om du ser en topp som är ovanlig bör du se aviseringar för den – om det finns något ovanligt där det finns en topp i händelser men du inte ser aviseringar kan det orsaka problem.

  • Potentiella skadliga händelser: När trafik identifieras från källor som är kända för att vara skadliga varnar Microsoft Sentinel dig på kartan. Om du ser orange är det inkommande trafik: någon försöker komma åt din organisation från en känd skadlig IP-adress. Om du ser utgående (röd) aktivitet innebär det att data från nätverket strömmas ut från din organisation till en känd skadlig IP-adress.

    Malicious traffic map

  • Senaste incidenter: Om du vill visa de senaste incidenterna, deras allvarlighetsgrad och antalet aviseringar som är associerade med incidenten. Om du ser en plötslig topp i en viss typ av avisering kan det innebära att en aktiv attack körs för närvarande. Om du till exempel har en plötslig topp på 20 Pass-the-hash-händelser från Microsoft Defender for Identity (tidigare Azure ATP) är det möjligt att någon försöker attackera dig.

  • Avvikelser i datakällan: Microsofts dataanalytiker skapade modeller som ständigt söker efter avvikelser i datakällorna från dina datakällor. Om det inte finns några avvikelser visas ingenting. Om avvikelser identifieras bör du fördjupa dig i dem för att se vad som hände. Klicka till exempel på toppen i Azure Activity. Du kan klicka på Diagram för att se när toppen inträffade och sedan filtrera efter aktiviteter som inträffat under den tidsperioden för att se vad som orsakade toppen.

    Anomalous data sources

Använda inbyggda arbetsböcker

Inbyggda arbetsböcker tillhandahåller integrerade data från dina anslutna datakällor så att du kan fördjupa dig i de händelser som genereras i dessa tjänster. De inbyggda arbetsböckerna omfattar Azure AD, Azure-aktivitetshändelser och lokala, som kan vara data från Windows händelser från servrar, från aviseringar från första part, från tredje part, inklusive brandväggstrafikloggar, Office 365 och osäkra protokoll baserat på Windows händelser. Arbetsböckerna baseras på Azure Monitor-arbetsböcker för att ge dig förbättrad anpassning och flexibilitet när du utformar din egen arbetsbok. Mer information finns i Arbetsböcker.

  1. Under Inställningar väljer du Arbetsböcker. Under Installerat kan du se alla installerade arbetsböcker. Under Alla kan du se hela galleriet med inbyggda arbetsböcker som är tillgängliga för installation.
  2. Sök efter en specifik arbetsbok för att se hela listan och beskrivningen av vad varje erbjudande har.
  3. Om du använder Azure AD för att komma igång med Microsoft Sentinel rekommenderar vi att du installerar minst följande arbetsböcker:
    • Azure AD: Använd något av följande eller båda:

      • Azure AD-inloggningar analyserar inloggningar över tid för att se om det finns avvikelser. De här arbetsböckerna tillhandahåller misslyckade inloggningar av program, enheter och platser så att du snabbt kan se om något ovanligt händer. Var uppmärksam på flera misslyckade inloggningar.
      • Azure AD-granskningsloggar analyserar administratörsaktiviteter, till exempel ändringar i användare (lägg till, ta bort osv.), gruppskapande och ändringar.
    • Lägg till en arbetsbok för brandväggen. Lägg till exempel till Palo Alto-arbetsboken. Arbetsboken analyserar brandväggstrafiken och ger dig korrelationer mellan dina brandväggsdata och hothändelser och markerar misstänkta händelser mellan entiteter. Arbetsböcker ger dig information om trender i trafiken och gör att du kan öka detaljnivån i och filtrera resultat.

      Palo Alto dashboard

Du kan anpassa arbetsböckerna genom att redigera huvudfrågan query edit button. Du kan klicka på knappen Log Analytics button för att gå till Log Analytics för att redigera frågan där, och du kan välja ellipsen (...) och välja Anpassa paneldata, vilket gör att du kan redigera huvudtidsfiltret eller ta bort de specifika panelerna från arbetsboken.

Mer information om hur du arbetar med frågor finns i Självstudie: Visuella data i Log Analytics

Lägg till en ny panel

Om du vill lägga till en ny panel kan du lägga till den i en befintlig arbetsbok, antingen en som du skapar eller en inbyggd Microsoft Sentinel-arbetsbok.

  1. I Log Analytics skapar du en panel med hjälp av anvisningarna i Självstudie: Visuella data i Log Analytics.
  2. När panelen har skapats går du till Fäst och väljer den arbetsbok där du vill att panelen ska visas.

Skapa nya arbetsböcker

Du kan skapa en ny arbetsbok från grunden eller använda en inbyggd arbetsbok som grund för den nya arbetsboken.

  1. Om du vill skapa en ny arbetsbok från grunden väljer du Arbetsböcker och sedan +Ny arbetsbok.
  2. Välj den prenumeration som arbetsboken skapas i och ge den ett beskrivande namn. Varje arbetsbok är en Azure-resurs som alla andra och du kan tilldela den roller (Azure RBAC) för att definiera och begränsa vem som kan komma åt den.
  3. Om du vill att den ska visas i dina arbetsböcker att fästa visualiseringar på måste du dela den. Klicka på Dela och sedan på Hantera användare.
  4. Använd Kontrollera åtkomst - och rolltilldelningar på samma sätt som för andra Azure-resurser. Mer information finns i Dela Azure-arbetsböcker med hjälp av Azure RBAC.

Exempel på nya arbetsböcker

Med följande exempelfråga kan du jämföra trafiktrender mellan veckor. Du kan enkelt växla vilken enhetsleverantör och datakälla du kör frågan på. I det här exemplet används SecurityEvent från Windows. Du kan växla till att köra den på AzureActivity eller CommonSecurityLog på andra brandväggar.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Du kanske vill skapa en fråga som innehåller data från flera källor. Du kan skapa en fråga som tittar på Azure Active Directory granskningsloggar för nya användare som just har skapats och sedan kontrollera dina Azure-loggar för att se om användaren började göra rolltilldelningsändringar inom 24 timmar efter skapandet. Den misstänkta aktiviteten skulle visas på den här instrumentpanelen:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Du kan skapa olika arbetsböcker baserat på rollen för den person som tittar på data och vad de letar efter. Du kan till exempel skapa en arbetsbok för nätverksadministratören som innehåller brandväggsdata. Du kan också skapa arbetsböcker baserat på hur ofta du vill titta på dem, om det finns saker du vill granska dagligen och andra objekt som du vill kontrollera en gång i timmen, till exempel kanske du vill titta på dina Azure AD-inloggningar varje timme för att söka efter avvikelser.

Skapa nya identifieringar

Generera identifieringar på de datakällor som du har anslutit till Microsoft Sentinel för att undersöka hot i din organisation.

När du skapar en ny identifiering kan du använda de inbyggda identifieringar som skapats av Microsofts säkerhetsforskare och som är skräddarsydda för de datakällor som du har anslutit.

Om du vill visa alla färdiga identifieringar går du till Analys och sedan Regelmallar. Den här fliken innehåller alla inbyggda Regler för Microsoft Sentinel.

Use built-in detections to find threats with Microsoft Sentinel

Mer information om hur du får färdiga identifieringar finns i Få inbyggd analys.

Nästa steg

I den här snabbstarten har du lärt dig hur du kommer igång med Microsoft Sentinel. Fortsätt till artikeln om hur du identifierar hot.

Skapa anpassade hotidentifieringsregler för att automatisera dina svar på hot.