將收集的資料視覺化
在本文中,您將瞭解如何使用 Microsoft Sentinel 快速檢視和監視整個環境發生的情況。 將資料來源連線至 Microsoft Sentinel 之後,您可以立即取得資料的視覺效果和分析,讓您知道所有已連線資料來源中發生的情況。 Microsoft Sentinel 提供您活頁簿,為您提供 Azure 中已提供之工具的完整功能,以及內建的資料表和圖表,為您提供記錄和查詢的分析。 您可以使用活頁簿範本,或從頭開始輕鬆建立新的活頁簿,或根據現有的活頁簿。
取得視覺效果
若要視覺化並取得環境所發生狀況的分析,請先查看概觀儀表板,以瞭解組織的安全性狀態。 為了協助您減少雜訊,並將您必須檢閱和調查的警示數目降到最低,Microsoft Sentinel 會使用融合技術將警示與事件相互關聯。 事件是相關警示群組,可共同建立可採取動作的事件,以便進行調查和解決。
在Azure 入口網站中,選取 [Microsoft Sentinel],然後選取您要監視的工作區。
如果您想要重新整理儀表板所有區段的資料,請選取儀表板頂端的 [ 重新整理 ]。 為了改善效能,儀表板的每個區段都會預先計算資料,而且您可以在每個區段頂端看到重新整理時間。
檢視事件資料
您會在 [事件 ] 底下 看到不同類型的事件資料。
- 在左上方,您會看到過去 24 小時內的新、作用中和已關閉事件數目。
- 在右上方,您會看到依嚴重性組織的事件,以及關閉分類來關閉事件。
- 在左下角,圖表會依建立時間,以四小時間隔細分事件狀態。
- 在右下角,您可以看到確認事件的平均時間和平均關閉時間,以及 SOC 效率活頁簿的連結。
檢視自動化資料
您會在 [自動化 ] 底下 看到不同類型的自動化資料。
- 在頂端,您會看到自動化規則活動的摘要:自動化所關閉的事件、自動化儲存的時間,以及相關的劇本健康情況。
- 摘要下方的圖表會依動作類型摘要說明自動化所執行的動作數目。
- 您可以在底部找到使用中自動化規則的計數,其中包含自動化刀鋒視窗的連結。
檢視資料記錄、資料收集器和威脅情報的狀態
您會在 [資料 ] 底下 看到不同資料類型的資料記錄、資料收集器和威脅情報。
- 在左側,圖表會顯示過去 24 小時內 Microsoft Sentinel 收集的記錄數目,與前 24 小時相比,以及在該期間偵測到的異常狀況。
- 在右上方,您會看到資料連線器狀態的摘要,除以狀況不良和作用中的連接器。 狀況不良的 連接器指出有多少連接器發生錯誤。 使用中連接器 是連接器,其資料會串流至 Microsoft Sentinel,如連接器中包含的查詢所測量。
- 在右下角,您可以藉由入侵指標,在 Microsoft Sentinel 中看到威脅情報記錄。
檢視分析資料
您會在 [分析] 底下 看到分析 規則的資料。
您會看到 Microsoft Sentinel 中已啟用、停用或自動停用狀態的分析規則數目。
使用活頁簿範本
活頁簿範本提供來自已連線資料來源的整合式資料,讓您深入瞭解這些服務中產生的事件。 活頁簿範本包括 Microsoft Entra ID、Azure 活動事件和內部部署,這些事件可以是來自伺服器、第一方警示的資料,以及來自任何協力廠商的資料,包括防火牆流量記錄、Office 365,以及以 Windows 事件為基礎的不安全通訊協定。 活頁簿是以 Azure 監視器活頁簿為基礎,可讓您在設計自己的活頁簿時增強自訂性和彈性。 如需詳細資訊,請參閱 活頁簿 。
- 在 [設定] 底 下 ,選取 [ 活頁簿 ]。 在 [我的活頁簿] 下 ,您可以看到所有已儲存的 活頁簿。 在 [範本 ] 下,您可以看到已安裝的活頁簿範本。 若要尋找更多活頁簿範本,請移至 Microsoft Sentinel 中的內容中樞 ,以安裝產品解決方案或獨立內容。
- 搜尋特定活頁簿,以查看每個供應專案的完整清單和描述。
- 假設您使用 Microsoft Entra 識別碼來啟動並執行 Microsoft Sentinel,建議您安裝 Microsoft Sentinel 的 Microsoft Entra 解決方案,並使用下列活頁簿:
Microsoft Entra ID :使用下列其中一項或兩者:
- Microsoft Entra 登入會 分析一段時間的登入,以查看是否有異常狀況。 此活頁簿會依應用程式、裝置和位置提供失敗的登入,讓您在發生異常狀況時一目了然。 請注意多個失敗的登入。
- Microsoft Entra 稽核記錄 會分析系統管理活動,例如使用者變更(新增、移除等)、群組建立和修改。
安裝適當的解決方案,以新增防火牆的活頁簿。 例如,安裝適用于 Microsoft Sentinel 的 Palo Alto 防火牆解決方案,以新增 Palo Alto 活頁簿。 活頁簿會分析防火牆流量,為您提供防火牆資料和威脅事件之間的相互關聯,並醒目提示實體之間的可疑事件。 活頁簿提供流量趨勢的相關資訊,並可讓您向下切入和篩選結果。
您可以編輯主要查詢 
來自訂活頁簿。 您可以按一下按鈕 
以移至 Log Analytics 以編輯該處 的查詢,您可以選取省略號 (...) 並選取 [自訂磚資料 ],這可讓您編輯主要時間篩選,或從活頁簿移除特定磚。
如需使用查詢的詳細資訊,請參閱 教學課程:Log Analytics 中的視覺資料
新增圖格
如果您想要新增圖格,您可以將它新增至現有的活頁簿,無論是您建立的活頁簿還是 Microsoft Sentinel 內建活頁簿。
- 在 Log Analytics 中,使用 Log Analytics 中 Visual 資料中找到 的指示來建立圖格。
- 建立磚之後,在 [釘 選] 底下 ,選取您要顯示磚的活頁簿。
建立新的活頁簿
您可以從頭開始建立新的活頁簿,或使用活頁簿範本作為新活頁簿的基礎。
- 若要從頭開始建立新的活頁簿,請選取 [活 頁簿],然後 選取 [+新增活頁簿 ]。
- 選取在 中建立活頁簿的訂用帳戶,並為其提供描述性名稱。 每個活頁簿都是 Azure 資源,您可以指派它角色 (Azure RBAC) 來定義和限制誰可以存取。
- 若要讓它顯示在活頁簿中以釘選視覺效果,您必須共用視覺效果。 按一下 [ 共用 ],然後按一下 [ 管理使用者 ]。
- 如同任何其他 Azure 資源一樣,請使用檢查存取 權和 角色指派 。 如需詳細資訊,請參閱 使用 Azure RBAC 共用 Azure 活頁簿 。
新增活頁簿範例
下列範例查詢可讓您比較數周的流量趨勢。 您可以輕鬆地切換執行查詢的裝置廠商和資料來源。 此範例使用來自 Windows 的 SecurityEvent,您可以將它切換為在其他任何防火牆上的 AzureActivity 或 CommonSecurityLog 上執行。
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
您可能想要建立包含多個來來源資料的查詢。 您可以建立查詢,查看剛建立之新使用者的 Microsoft Entra 稽核記錄,然後檢查您的 Azure 記錄,以查看使用者是否在建立後 24 小時內開始進行角色指派變更。 該可疑活動會顯示在此儀表板上:
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
您可以根據查看資料的人員角色,以及其所要尋找的內容,建立不同的活頁簿。 例如,您可以為網路系統管理員建立包含防火牆資料的活頁簿。 您也可以根據您想要查看活頁簿的頻率、是否每天檢閱一些專案,以及您想要每小時檢查一次的其他專案,例如,您可能想要每小時查看您的 Microsoft Entra 登入,以搜尋異常。
建立新的偵測
針對 您連線至 Microsoft Sentinel 的資料來源產生偵測,以調查組織中的威脅。
當您建立新的偵測時,請利用 Microsoft 安全性研究人員所製作的偵測,這些偵測是針對您所連線資料來源量身打造的。
若要檢視已安裝的現用偵測,請移至 [分析 ],然後 移至 [ 規則範本 ]。 此索引標籤包含所有已安裝的 Microsoft Sentinel 規則範本。 若要尋找更多規則範本,請移至 Microsoft Sentinel 中的內容中樞 ,以安裝產品解決方案或獨立內容。
如需取得現成偵測的詳細資訊,請參閱 取得內建分析 。
下一步
偵測現 用的威脅,並 建立自訂威脅偵測規則 ,將威脅的回應自動化。