使用默认的 Microsoft Sentinel 工作簿

  • 5 分钟

Microsoft Sentinel 提供若干可供使用的模板。 可使用这些模板创建自己的工作簿,然后根据 Contoso 的需要修改它们。

Microsoft Sentinel 工作簿

Microsoft Sentinel 用于引入数据的大多数数据连接器都附有自己的工作簿。 可使用表和可视化效果(包括条形图和饼图)了解正在引入的数据。 还可从头开始创建自己的工作簿,而不是使用预定义的模板。

工作簿页面

可以从导航窗格访问 Microsoft Sentinel 的“工作簿”页面。 在“工作簿”页面上,可添加新的工作簿,并查看保存的工作簿以及可用的模板。

可在“模板”选项卡上访问现有工作簿模板。可保存一些工作簿以便快速访问。 它们将显示在“我的工作簿”选项卡上。

在“模板”选项卡中,可选择一个现有工作簿以显示其细节窗格,其中包含模板的额外信息。 细节窗格还包含有关必须连接到 Microsoft Sentinel 的所需数据类型和数据连接器的信息。 还可查看报表的显示方式。

查看现有工作簿模板

如前文所述,Contoso 担心已泄露的标识。 作为安全管理员,可以通过在“模板”部分中选择模板来查看现有的“Microsoft Entra 登录日志”工作簿。 然后在细节窗格中选择“查看模板”。

“Microsoft Entra ID 登录日志”工作簿包含预定义的图表、图形和表,它们可提供有关 Microsoft Entra ID 中登录活动的重要见解。 可找到有关用户登录和位置、电子邮件地址和用户 IP 地址的信息。 还可查看有关失败的活动和触发失败的错误的信息。

在“Microsoft Entra 登录日志”页上,可以展开时间范围,或筛选在 Microsoft Entra ID 中具有登录权限的应用和用户。 例如,Contoso 希望识别可登录到 Azure 门户的用户,这样你可以按如下所示筛选数据。

Screenshot that displays Sign-in Analysis with filtering of the users that sign-in to the Azure portal.

Contoso 有兴趣识别失败的登录尝试。 可以通过选择信息栏来显示这些帐户,然后选择一个栏或一行来显示更多信息,例如:

  • 登录数(按位置)。 此部分指示用户从何处登录到 Microsoft Entra ID。
  • 位置登录详细信息。 此部分显示用户、登录状态和登录尝试的时间。
  • 登录(按设备)。 此部分列出了用户用来登录 Microsoft Entra ID 的设备。
  • 设备登录详细信息。 此部分显示登录到特定设备的用户及其登录时间。

背景中的此信息磁贴配置为运行查询并筛选从 Microsoft Entra 连接器收集的数据。 然后,Microsoft Sentinel 使用表来可视化并显示收集的数据,表更有意义,并提供有关用户登录尝试的有用见解。

工作簿包含额外磁贴,用于指示使用条件访问登录的用户。 在“条件访问状态”表中,可查看需要多重身份验证来验证其身份的用户。

Screenshot of Conditional Access activity.

页面的其余部分还包含交互式表和图表。 选择一些行或磁贴来筛选显示的数据。 创建的有些表还包含指向相应日志的链接,如以下屏幕截图所示。

Screenshot of the links that can open the query in Azure Data Explorer or pin the query in dashboard.

注意

还可在专用或共享仪表板中固定查询步骤以便快速检索。

编辑工作簿中的查询

例如,Contoso 想要在日志中搜索显示失败的用户登录的详细信息。 他们会被重定向到 Azure 数据资源管理器,Microsoft Sentinel 在其中执行日志查询以筛选信息。

Screenshot of Data Explorer.

浏览保存的工作簿

在“模板”页中,可通过选择其中一个模板,然后选择“保存”来保存现有模板中的工作簿。必须提供一个位置,以指示要保存工作簿的位置。 此过程会使用模板的 JSON 文件基于模板创建 Azure 资源。

保存的工作簿位于“我的工作簿”选项卡上,可在其中自定义它们。 可选择“查看保存的工作簿”来打开保存的工作簿。 此操作会打开与模板工作簿页面相同的页面,但可根据 Contoso 的要求自定义此页面。

选择“编辑”以在编辑模式下打开工作簿。 您可以添加或删除项并提供更多自定义。 编辑模式将显示工作簿中的所有内容,包括读取模式下隐藏的步骤和参数。

编辑模式中的标题栏包含多个选项,以下屏幕截图描述了这些选项。

Screenshot of the Editing mode that depicts the various editing options such as Save, Save As, Settings, Refresh, Share, Help, and more.

切换到编辑模式时,你会注意到多个“编辑”选项,这些选项分别对应于工作簿的各个方面。 如果选择其中一个编辑选项,可检查 Microsoft Sentinel 用于筛选相应日志中数据的查询。

选择设置图标后,“设置”页面将会打开,可在其中提供要在工作簿中使用的其他资源。 还可更改工作簿的样式、提供标记或固定工作簿中的项。

Screenshot of the Settings page.

通过选择“显示固定的选项”,可重新排列工作簿中不同表的位置。

若要进行高级自定义,可选择“高级编辑器”打开当前工作簿的 JSON 表示形式,然后在文本编辑器中对进一步对其进行自定义。 可将所做的更改保存在现有工作簿中,也可另存为其他工作簿。 完成所有自定义后,可选择“完成编辑”来退出编辑模式。

探索 GitHub 上的 Microsoft Sentinel 存储库

Microsoft Sentinel 存储库包含现成的检测、探索查询、搜寻查询、工作簿、playbook 等大量信息,可帮助保护环境和检测威胁。 Microsoft 和 Microsoft Sentinel 社区向此存储库贡献内容。

该存储库包含的文件夹中包含 Microsoft Sentinel 功能(包括检测查询)多个领域的相关贡献内容。 可以使用这些查询中的代码在 Microsoft Sentinel 工作区中创建自定义查询。

知识检查

1.

以下哪一个元素不能成为工作簿的一部分?

2.

管理员可以在 Microsoft Entra 登录日志工作簿的哪个部分找到用户执行多重身份验证 (MFA) 来验证其身份所需的信息。