在 Microsoft Sentinel 中使用活頁簿可視化及監視您的數據

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

將數據源聯機到 Microsoft Sentinel 之後，請使用 Microsoft Sentinel 中的活頁簿來可視化和監視數據。 Microsoft Sentinel 活頁簿是以 Azure 監視器活頁簿為基礎，並將數據表和圖表與記錄和查詢的分析新增至 Azure 中已有的工具。

Microsoft Sentinel 可讓您跨數據建立自定義活頁簿，或使用封裝解決方案可用的現有活頁簿範本，或作為內容中樞的獨立內容。 每個活頁簿都是 Azure 資源，就像任何其他資源一樣，您可以使用 Azure 角色型訪問控制 （RBAC） 來指派它，以定義和限制可存取的人員。

本文說明如何使用活頁簿將 Microsoft Sentinel 中的數據可視化。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

• 您必須至少有 Microsoft Sentinel 工作區資源群組的活頁簿讀取者 或 活頁簿參與者 許可權。

  您在 Microsoft Sentinel 中看到的活頁簿會儲存在 Microsoft Sentinel 工作區的資源群組中，並由其建立所在的工作區標記。

• 若要使用活頁簿範本，請安裝包含活頁簿的解決方案，或從 內容中樞將活頁簿安裝為獨立專案。 如需詳細資訊，請參閱 探索及管理現用的 Microsoft Sentinel 內容。

從範本建立活頁簿

使用從內容中樞安裝的範本來建立活頁簿。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [威脅管理] 底下，選取 [活頁簿]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>威脅管理>活頁簿]。

2. 移至 [活頁簿]，然後選取 [範本] 以查看已安裝的活頁簿範本清單。

   若要查看哪些範本與您連接的數據類型相關，請檢閱 每個活頁簿中可用的 [必要數據類型 ] 字段。

   Azure 入口網站

   

   Defender 入口網站

   

3. 從範本詳細資料窗格選取 [ 儲存 ]，以及您要儲存範本 JSON 檔案的位置。 此動作會根據相關的範本建立 Azure 資源，並將活頁簿的 JSON 檔案儲存為非數據。

4. 從範本詳細數據窗格中選取 [檢視儲存的活頁簿 ]。

5. 選取活頁簿工具列中的 [ 編輯 ] 按鈕，根據您的需求自定義活頁簿。

   

   例如，選取 TimeRange 篩選條件，以檢視與目前選取範圍不同的時間範圍的數據。 若要編輯特定的活頁簿區域，請選取 [編輯] 或選取省略號 ，以新增元素，或移動、複製或移除區域。

   若要複製您的活頁簿，請選取 [ 另存新檔]。 以另一個名稱儲存複製品，並位在相同的訂用帳戶和資源群組下。 複製的活頁簿會顯示在 [ 我的活頁簿] 索引 卷標底下。

6. 當您完成時，請選取 [儲存] 以儲存您的變更。

如需詳細資訊，請參閱

• 使用 Azure 監視器活頁簿建立互動式報告
• 教學課程：Log Analytics 中的視覺數據

建立新的活頁簿

在 Microsoft Sentinel 中從頭開始建立活頁簿。

1. 針對 Azure 入口網站 中的 Microsoft Sentinel，在 [威脅管理] 底下，選取 [活頁簿]。
   針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel>威脅管理>活頁簿]。

2. 選取 [ 新增活頁簿]。

3. 若要編輯活頁簿，請選取 [編輯]，然後視需要新增文字、查詢和參數。 如需如何自定義活頁簿的詳細資訊，請參閱如何使用 Azure 監視器活頁簿建立互動式報表。

   

4. 建置查詢時，將 [數據源 ] 設定為 [記錄 ] 和 [資源類型 ] 設定為 Log Analytics，然後選擇一或多個工作區。

   我們建議您的查詢使用進階安全性資訊模型 (ASIM) 剖析器，而非內建資料表。 然後，查詢將支援任何目前或未來的相關數據源，而不是單一數據源。

5. 建立活頁簿之後，請將活頁簿儲存在 Microsoft Sentinel 工作區的訂用帳戶和資源群組底下。

6. 如果您想要讓組織中的其他人使用活頁簿，請在 [儲存] 底下選取 [共享報表]。 如果您希望此活頁簿僅供您使用，請選取 [我的報表]。

7. 若要在工作區中的活頁簿之間切換，請在任何活頁簿的工具欄中選取 [ 開啟 ]。 畫面會切換至您可以切換的其他活頁簿清單。

   選取您要開啟的活頁簿：

   

為您的活頁簿建立新的磚

若要將自定義磚新增至 Microsoft Sentinel 活頁簿，請先在 Log Analytics 中建立磚。 如需詳細資訊，請參閱 Log Analytics中的視覺數據。

建立磚之後，請選取 [ 釘選 ]，然後選取您要顯示磚的活頁簿。

重新整理活頁簿數據

重新整理活頁簿以顯示更新的數據。 在工具列中，選取下列其中一個選項：

• 重新整理，以手動重新整理活頁簿數據。

• 自動重新整理，將您的活頁簿設定為在設定的間隔自動重新整理。

  • 支援的自動重新整理間隔範圍從 5 分鐘 到 1 天。

  • 當您編輯活頁簿時，會自動重新整理暫停，而且每次從編輯模式切換回檢視模式時，都會重新啟動間隔。

  • 如果您手動重新整理數據，也會重新啟動自動重新整理間隔。

  根據預設，會自動重新整理關閉。 為了將效能優化，每次關閉活頁簿時，都會關閉自動重新整理。 它不會在背景中執行。 下次開啟活頁簿時，請視需要重新整理自動重新整理。

列印活頁簿或另存為 PDF

若要列印活頁簿，或將其儲存為 PDF，請使用活頁簿標題右邊的選項功能表。

1. 選取 [列印內容] 選項>。

2. 在列印畫面中，視需要調整您的列印設定，或選取 [ 另存新檔 PDF ] 將其儲存在本機。

   例如：

   

如何刪除活頁簿

若要刪除已儲存的活頁簿，請選取要刪除的已儲存活頁簿，然後選取 [ 刪除]。 此動作會移除儲存的活頁簿。 它也會移除活頁簿資源，以及您對範本所做的任何變更。 原始範本仍可供使用。

活頁簿建議

本節會檢閱我們使用 Microsoft Sentinel 活頁簿的基本建議。

新增 Microsoft Entra ID 活頁簿

如果您使用 Microsoft Entra ID 搭配 Microsoft Sentinel，建議您安裝 Microsoft Sentinel 的 Microsoft Entra 解決方案，並使用下列活頁簿：

• Microsoft Entra 登入會 分析一段時間的登入，以查看是否有異常狀況。 此活頁簿會依應用程式、裝置和位置提供失敗的登入，讓您一目了然，如果發生異常情況，可以一目了然。 請注意多個失敗的登入。
• Microsoft Entra 稽核記錄 會分析系統管理活動，例如用戶變更（新增、移除等）、群組建立和修改。

新增防火牆活頁簿

建議您從內容中 樞 安裝適當的解決方案，以新增防火牆的活頁簿。

例如，安裝適用於 Microsoft Sentinel 的 Palo Alto 防火牆解決方案，以新增 Palo Alto 活頁簿。 活頁簿會分析防火牆流量，為您提供防火牆數據與威脅事件之間的相互關聯，以及跨實體醒目提示可疑事件。

為不同的用途建立不同的活頁簿

建議您根據角色的角色和所要尋找的內容，為使用活頁簿的每個類型角色建立不同的視覺效果。 例如，為您的網路管理員建立包含防火牆數據的活頁簿。

或者，根據您想要查看活頁簿的頻率、是否想要每天檢閱哪些專案，以及您想要每小時檢查一次的其他專案，建立活頁簿。 例如，您可能想要每小時查看您的 Microsoft Entra 登入，以搜尋異常狀況。

用來比較跨周流量趨勢的範例查詢

使用下列查詢來建立視覺效果，以比較各周的流量趨勢。 視您的環境而定，切換您執行查詢的裝置廠商和數據源。

下列範例查詢會使用 Windows 中的 SecurityEvent 數據表。 您可能想要將它切換為在其他任何防火牆上 ，在 AzureActivity 或 CommonSecurityLog 數據表上執行。

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

具有多個來源數據的範例查詢

您可能想要建立包含多個來源資料的查詢。 例如，建立查詢來查看已建立之新使用者的 Microsoft Entra 稽核記錄，然後檢查您的 Azure 記錄，以查看使用者是否在建立后 24 小時內開始進行角色指派變更。 該可疑活動會顯示在具有下列查詢的視覺效果中：

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

相關文章

如需詳細資訊，請參閱

• 常用的 Microsoft Sentinel 活頁簿

• Azure 監視器活頁簿