Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel
När du har anslutit dina datakällor till Microsoft Sentinel visualiserar och övervakar du data med hjälp av arbetsböcker i Microsoft Sentinel. Microsoft Sentinel-arbetsböcker baseras på Azure Monitor-arbetsböcker och lägger till tabeller och diagram med analys för dina loggar och frågor till de verktyg som redan är tillgängliga i Azure.
Med Microsoft Sentinel kan du skapa anpassade arbetsböcker i dina data eller använda befintliga arbetsboksmallar som är tillgängliga med paketerade lösningar eller som fristående innehåll från innehållshubben. Varje arbetsbok är en Azure-resurs som alla andra och du kan tilldela den med rollbaserad åtkomstkontroll i Azure (RBAC) för att definiera och begränsa vem som kan komma åt den.
Den här artikeln beskriver hur du visualiserar dina data i Microsoft Sentinel med hjälp av arbetsböcker.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Förutsättningar
Du måste ha minst behörighet som arbetsboksläsare eller arbetsboksdeltagare i resursgruppen på Microsoft Sentinel-arbetsytan.
Arbetsböckerna som du ser i Microsoft Sentinel sparas i Microsoft Sentinel-arbetsytans resursgrupp och taggas av arbetsytan där de skapades.
Om du vill använda en arbetsboksmall installerar du lösningen som innehåller arbetsboken eller installerar arbetsboken som ett fristående objekt från innehållshubben. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.
Skapa en arbetsbok från en mall
Använd en mall som är installerad från innehållshubben för att skapa en arbetsbok.
För Microsoft Sentinel i Azure-portalen går du till Hothantering och väljer Arbetsböcker.
För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel-arbetsböcker> för hothantering>.Gå till Arbetsböcker och välj sedan Mallar för att se listan över installerade arbetsboksmallar.
Om du vill se vilka mallar som är relevanta för de datatyper som du har anslutit läser du fältet Obligatoriska datatyper i varje arbetsbok där det är tillgängligt.
Välj Spara i fönstret med mallinformation och den plats där du vill spara JSON-filen för mallen. Den här åtgärden skapar en Azure-resurs baserat på den relevanta mallen och sparar JSON-filen för arbetsboken, inte data.
Välj Visa sparad arbetsbok i fönstret med mallinformation.
Välj knappen Redigera i arbetsbokens verktygsfält för att anpassa arbetsboken efter dina behov.
Välj till exempel filtret TimeRange för att visa data för ett annat tidsintervall än den aktuella markeringen. Om du vill redigera ett visst arbetsboksområde väljer du antingen Redigera eller väljer ellipsen (...) för att lägga till element eller flytta, klona eller ta bort området.
Om du vill klona arbetsboken väljer du Spara som. Spara klonen med ett annat namn under samma prenumeration och resursgrupp. Klonade arbetsböcker visas under fliken Mina arbetsböcker .
När du är klar väljer du Spara för att spara ändringarna.
Mer information finns i:
- Skapa interaktiva rapporter med Azure Monitor-arbetsböcker
- Självstudie: Visuella data i Log Analytics
Skapa ny arbetsbok
Skapa en arbetsbok från grunden i Microsoft Sentinel.
För Microsoft Sentinel i Azure-portalen går du till Hothantering och väljer Arbetsböcker.
För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel-arbetsböcker> för hothantering>.Välj Lägg till arbetsbok.
Om du vill redigera arbetsboken väljer du Redigera och lägger sedan till text, frågor och parametrar efter behov. Mer information om hur du anpassar arbetsboken finns i Skapa interaktiva rapporter med Azure Monitor-arbetsböcker.
När du skapar en fråga anger du Datakällan till Loggar och Resurstyp till Log Analytics och väljer sedan en eller flera arbetsytor.
Vi rekommenderar att din fråga använder en ASIM-parsare (Advanced Security Information Model) och inte en inbyggd tabell. Frågan stöder sedan alla aktuella eller framtida relevanta datakällor i stället för en enda datakälla.
När du har skapat arbetsboken sparar du arbetsboken under prenumerationen och resursgruppen på din Microsoft Sentinel-arbetsyta.
Om du vill låta andra i din organisation använda arbetsboken väljer du Delade rapporter under Spara. Om du bara vill att arbetsboken ska vara tillgänglig för dig väljer du Mina rapporter.
Om du vill växla mellan arbetsböcker på din arbetsyta väljer du Öppna
i verktygsfältet i valfri arbetsbok. Skärmen växlar till en lista över andra arbetsböcker som du kan växla till.Välj den arbetsbok som du vill öppna:
Skapa nya paneler för dina arbetsböcker
Om du vill lägga till en anpassad panel i en Microsoft Sentinel-arbetsbok skapar du först panelen i Log Analytics. Mer information finns i Visuella data i Log Analytics.
När du har skapat en panel väljer du Fäst och väljer sedan arbetsboken där du vill att panelen ska visas.
Uppdatera arbetsboksdata
Uppdatera arbetsboken för att visa uppdaterade data. Välj något av följande alternativ i verktygsfältet:
Uppdatera för att manuellt uppdatera arbetsboksdata.
Automatisk uppdatering för att ställa in att arbetsboken ska uppdateras automatiskt med ett konfigurerat intervall.Intervallen för automatisk uppdatering som stöds varierar från 5 minuter till 1 dag.
Automatisk uppdatering pausas när du redigerar en arbetsbok och intervallen startas om varje gång du växlar tillbaka till visningsläget från redigeringsläget.
Automatiska uppdateringsintervall startas också om om du uppdaterar dina data manuellt.
Som standard är automatisk uppdatering inaktiverad. För att optimera prestanda inaktiveras automatisk uppdatering varje gång du stänger en arbetsbok. Den körs inte i bakgrunden. Aktivera automatisk uppdatering igen efter behov nästa gång du öppnar arbetsboken.
Skriva ut en arbetsbok eller spara som PDF
Om du vill skriva ut en arbetsbok eller spara den som en PDF använder du alternativmenyn till höger om arbetsbokens rubrik.
Välj alternativ >
Skriv ut innehåll.På utskriftsskärmen justerar du utskriftsinställningarna efter behov eller väljer Spara som PDF för att spara dem lokalt.
Till exempel:
Ta bort arbetsböcker
Om du vill ta bort en sparad arbetsbok, antingen en sparad mall eller en anpassad arbetsbok, väljer du den sparade arbetsbok som du vill ta bort och väljer Ta bort. Den här åtgärden tar bort den sparade arbetsboken. Den tar också bort arbetsboksresursen och eventuella ändringar som du har gjort i mallen. Den ursprungliga mallen är fortfarande tillgänglig.
Arbetsboksrekommendationer
Det här avsnittet granskar grundläggande rekommendationer som vi har för att använda Microsoft Sentinel-arbetsböcker.
Lägga till Microsoft Entra-ID-arbetsböcker
Om du använder Microsoft Entra-ID med Microsoft Sentinel rekommenderar vi att du installerar Microsoft Entra-lösningen för Microsoft Sentinel och använder följande arbetsböcker:
- Microsoft Entra-inloggningar analyserar inloggningar över tid för att se om det finns avvikelser. Den här arbetsboken ger misslyckade inloggningar av program, enheter och platser så att du snabbt kan se om något ovanligt händer. Var uppmärksam på flera misslyckade inloggningar.
- Microsoft Entra-granskningsloggar analyserar administratörsaktiviteter, till exempel ändringar i användare (lägg till, ta bort osv.), gruppskapande och ändringar.
Lägga till brandväggsarbetsböcker
Vi rekommenderar att du installerar lämplig lösning från innehållshubben för att lägga till en arbetsbok för brandväggen.
Installera till exempel Palo Alto-brandväggslösningen för Microsoft Sentinel för att lägga till Palo Alto-arbetsböckerna. Arbetsböckerna analyserar brandväggstrafiken, ger dig korrelationer mellan dina brandväggsdata och hothändelser och markerar misstänkta händelser mellan entiteter.
Skapa olika arbetsböcker för olika användningsområden
Vi rekommenderar att du skapar olika visualiseringar för varje typ av persona som använder arbetsböcker, baserat på personens roll och vad de letar efter. Skapa till exempel en arbetsbok för nätverksadministratören som innehåller brandväggsdata.
Du kan också skapa arbetsböcker baserat på hur ofta du vill titta på dem, om det finns saker du vill granska dagligen och andra objekt som du vill kontrollera en gång i timmen. Du kanske till exempel vill titta på dina Microsoft Entra-inloggningar varje timme för att söka efter avvikelser.
Exempelfråga för att jämföra trafiktrender mellan veckor
Använd följande fråga för att skapa en visualisering som jämför trafiktrender mellan veckor. Växla enhetsleverantör och datakälla som du kör frågan på, beroende på din miljö.
Följande exempelfråga använder tabellen SecurityEvent från Windows. Du kanske vill växla den så att den körs i tabellen AzureActivity eller CommonSecurityLog i en annan brandvägg.
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
Exempelfråga med data från flera källor
Du kanske vill skapa en fråga som innehåller data från flera källor. Skapa till exempel en fråga som tittar på Microsoft Entra-granskningsloggar för nya användare som har skapats och kontrollerar sedan dina Azure-loggar för att se om användaren började göra rolltilldelningsändringar inom 24 timmar efter skapandet. Den misstänkta aktiviteten skulle visas i en visualisering med följande fråga:
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
Relaterade artiklar
Mer information finns i:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för