练习 - 使用 Microsoft Sentinel 工作簿可视化数据

  • 8 分钟

作为 Contoso 的一名安全工程师,你注意到 Azure 订阅中存在可疑活动,并决定使用 Microsoft Sentinel 工作簿分析此活动。

练习:通过 Microsoft Sentinel 工作簿查询和可视化数据

你需要从 Azure 活动连接器分析 Microsoft Sentinel 中的日志。 进一步对此数据进行可视化,并将其保存在自定义工作簿中。

在此练习中,浏览日志和 Microsoft Sentinel 工作簿。 你将执行以下任务:

  • 与 Microsoft Sentinel 日志页中的日志数据交互。
  • 创建和编辑自定义工作簿以将重要数据可视化。

注意

完成此练习之前,必须先完成“通过 Microsoft Sentinel 工作簿查询和可视化数据”单元。 如果尚未这样做,请立即完成此操作,然后继续执行练习步骤。

任务 1:使用 Microsoft Sentinel 中的日志

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Microsoft Sentinel 工作区。

  2. 在“Microsoft Sentinel”页面中,在“常规”部分中选择“日志”。

    注意

    首次打开“日志”页时,可能会重定向到“查询”窗口。 关闭“查询”窗口,并返回“新建查询 1”部分。

  3. 在“Microsoft Sentinel | 日志”页上“表”窗格中的“分组依据: 解决方案”下拉菜单中,选择“类别”。

  4. 在“表”窗格的表列表中,展开“Azure 资源”类别,将光标移到“Azure 活动”表上或使用 Tab 键导航到该表,然后选择“预览数据”。

  5. 在 AzureActivity 窗口中,选择“在查询编辑器中查看”。 可使用此选项预览数据,并在实际运行查询之前检查结果是否与预期相同。

    Screenshot of the Tables pane.

    在“查询”部分中,可观察查询结构。 此查询搜索并显示 Azure 活动日志中的最后 10 个事件。 查询中的第一行 AzureActivity 指定查询中使用的表。 第二行包含一个 where 语句,筛选来自最后一天的记录。 第三行包含另一个语句,仅筛选最后 10 个事件。

    查询结果部分显示查询的结果。 可展开任何记录以查看表中的值。 选择任何列的名称以按该列对结果进行排序。

  6. 选择它旁边的筛选器图标以提供筛选条件。 此方法类似于将筛选条件添加到查询本身,但如果再次运行该查询,则会清除此筛选器。 如果选择“列”下拉菜单,则可在表中筛选要显示的列。 通过选择“组列”,可按特定列对记录进行分组。

    Screenshot of the Query results with the previous items called out.

  7. 在左窗格中选择“查询”选项卡。 此窗格包含可添加到查询窗口的示例查询。 如果使用自己的工作区,则应具有多个类别的多种查询。 如果使用演示环境,可能只会看到一个“Log Analytics 工作区”类别。

    注意

    可尝试在以下演示环境中编写查询。

任务 2:使用 Microsoft Sentinel 中的工作簿

  1. 在“Microsoft Sentinel”页的“威胁管理”部分中,选择“工作簿”。

  2. 在“Microsoft Sentinel | 工作簿”页上,选择“模板”选项卡。

  3. 在“搜索”字段中,输入并选择“Azure 活动”。

  4. 在细节窗格中,查看为模板提供的信息,然后选择“保存”。 在“将工作簿保存到…”窗口中,选择在准备练习中选择的相同位置,然后选择“确定”。

  5. 在“Microsoft Sentinel | 工作簿”页,选择“我的工作簿”选项卡。从保存的模板列表中,选择“Azure 活动”,。 然后在详细信息窗格中选择“查看保存的工作簿”。

  6. 在“Azure 活动 - sentinelname”页上,查看工作簿的所有元素。 可通过选择某些元素与工作簿交互。

  7. 选择“时间范围”字段为“Azure 活动”表中显示的记录选择不同的时间范围。 选择“调用方”下拉菜单,根据生成事件的用户或服务来筛选记录。 选择“资源组”下拉菜单,根据特定资源组筛选事件。

    Screenshot of the Azure Activity page, with the previous elements called out.

  8. 向下滚动到“调用方活动”表,其中按用户或安全主体显示活动运行。 通过选择列标题中的箭头,对每列中的表数据进行排序。

  9. 向上滚动到“Azure 活动 - sentinelname”页中的标题栏。 选择“编辑”选项将工作簿切换到编辑模式。 观察在页面上显示的各种“编辑”选项。

  10. 选择第一个“编辑”选项。 此操作将显示工作簿中某个步骤的编辑窗格。 可通过调整样式并按不同的顺序对元素进行重新排序,自定义元素的表示形式。

  11. 可添加具有不同类型(如文本、下拉列表、多值或类似类型)的其他参数。

  12. 选择“添加参数”。

  13. 在“新建参数”页中输入以下值:

    名称 说明
    参数名称 Level
    显示名称 Level
    参数类型 从下拉菜单中,选择“下拉”。
    必需? 选中此复选框。
    允许多重选择 选中此复选框。
    限制多重选择 请勿选中此复选框。
    分隔符 保留默认值。
    引号替换为 保留默认值。
    解释 此参数根据级别筛选事件。
    在读取模式下隐藏参数 请勿选中此复选框。
    数据来源 查询

  14. 在“Log Analytics 工作区日志查询”部分中,输入以下查询,然后选择“运行查询”。

    AzureActivity
|summarize by Level

  15. 确认查询结果将根据以下级别返回两种类型事件:“信息”和“警告”。

    Screenshot of the New Parameter pane, with steps for adding a new parameter. The Save, Query, Run query options and the AzureActivity section are highlighted in the screenshot.

  16. 选择“保存”以提交更改,并注意参数步骤现在包含一个名为 Level 的参数。

    提示

    在编辑模式下,可选择“编辑”选项旁边的省略号图标来显示新的下拉菜单。 在该菜单中,可将此步骤移动到工作簿的其他部分。 还可从工作簿中克隆或删除该步骤。

  17. 在标题栏上,选择“另存为”图标以保存自定义的工作簿。

  18. 在“标题”字段中,为新工作簿提供一个名称,然后选择“保存”。

  19. 完成更改后,请选择“完成编辑”。

    提示

    可以从“我的工作簿”选项卡中的“Microsoft Sentinel | 工作簿窗格”访问新的工作簿。如果未列出新的工作簿,请选择“刷新”选项。

清理资源

  1. 在 Azure 门户中,搜索“资源组”。
  2. 选择“azure-sentinel-rg”。
  3. 在标题栏上,选择“删除资源组”。
  4. 在“键入资源组名称:”字段中,输入资源组“azure-sentinel-rg”的名称,然后选择“删除”。