監視資料並將其視覺化
Microsoft Sentinel 記錄可讓您存取從安全性連接器收集到的各種記錄。 Microsoft Sentinel 會從整合式連接器收集這些記錄,並將其儲存在 Azure Log Analytics 工作區中。
Log Analytics 工作區
Log Analytics 工作區是儲存資料和設定資訊的存放庫。 您可以建立查詢來篩選重要資訊,然後可以將其用於建立分析規則和偵測威脅。 例如,您可以使用 Microsoft Sentinel 記錄來搜尋多個來源的資料、彙總大型資料集、並執行複雜的作業,以找出潛在的安全性威脅和弱點。
探索 Microsoft Sentinel 記錄頁面
您可以在 [Microsoft Sentinel 記錄] 頁面上搜尋特定的記錄。 在 Microsoft Sentinel 的瀏覽窗格中,選取 [記錄] 以檢視頁面。
[記錄] 頁面包含這些主要部分:
- 頁首包含 [查詢] 的連結、[設定] 和 [說明] 區段。
- [資料表] 窗格會顯示從資料表中記錄所收集的資料,每一個都包含多個資料行。
- [查詢] 窗格可讓您撰寫自己的查詢運算式。
- [查詢結果] 窗格會顯示您查詢的結果。
查詢
您選取頁首的 [查詢] 連結時,會開啟新的視窗,您可以在其中一些預先定義的範例查詢進行選取。 您可以根據下列項目,從 [查詢] 下拉式功能表中篩選這些查詢:
- 類別
- 查詢類型
- 資源類型
- 解決方案
- 主題
選取 [執行] 以啟動預先定義的查詢。 此動作會將您重新導向 [查詢] 窗格。 您可以觀察查詢結構和結果。 若要解決 Contoso 對未經授權使用者的問題,請執行預先定義的 [未經授權的使用者] 查詢。
查詢總管
使用查詢總管來存取您先前儲存的查詢。 您也可以存取部分「解決方案查詢」,基本篩選出可用於篩選資料的最常見查詢。 您可以從「解決方案查詢」清單的 [我的最愛] 區段中選取星型符號來執行或整理查詢。
[資料表] 窗格
[資料表] 窗格會將不同解決方案中的記錄分組到資料表中。 您可以展開解決方案群組,並觀察所有收集到的記錄。 您也可以從 [資料表] 窗格中,選取其中一個記錄。 您可以預覽資料,或將該記錄新增至 [我的最愛] 區段。
下列螢幕擷取畫面顯示 Microsoft Sentinel 解決方案中收集到的記錄。
[查詢] 窗格
使用 [查詢] 窗格,根據您所提供的運算式來建立可擷取資料的查詢。 [查詢] 窗格會提供建議並自動填入查詢的預期元素,來協助您撰寫精確的查詢。
善用 Kusto 查詢語言 (KQL) 功能來撰寫能夠從記錄中擷取資料的查詢。 下列範例說明如何在您的查詢中使用 KQL 程式碼,識別已刪除的虛擬機器。
AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
標題工具列
標題工具列會與查詢進行更多的互動,如下列螢幕擷取畫面所示。
選取 [儲存],從 [查詢] 窗格儲存查詢。 這個動作會開啟新的視窗,系統會提示您輸入已儲存查詢和類別的名稱。 儲存的查詢會顯示在查詢總管中。
在 [時間範圍] 欄位中,您可以提供不同時間來變更用於顯示查詢結果的時間範圍。
選取 [將連結複製到查詢] 來建立查詢的連結,並與其他小組成員共用。 您也可以複製查詢文字。
您可以從 [查詢] 窗格中的標題工具列建立新的 Azure 監視器警示或新的 Microsoft Sentinel 警示。 如果您選擇建立新的 Microsoft Sentinel 警示,系統會將您導向後續步驟以建立分析規則。
將查詢匯出為下列其中一種格式:
- 匯出為 CSV。 將所有資料行 (包含顯示和隱藏的內容) 匯出為 CSV 檔案,讓您可以使用 Microsoft Excel 來開啟該檔案。
- 匯出成顯示為 CSV 的資料行。 僅匯出查詢結果視窗中顯示的資料行。
- 匯出至 Power BI (M 查詢)。 建立和下載 PowerBIQuery.txt 檔案,讓您可以使用 Microsoft Power BI 應用程式來開啟該檔案。
您可以將查詢的結果釘選到私人或共用儀表板,以快速進行檢查。
您可使用標頭工具列的 [格式查詢],讓查詢更容易閱讀。
注意
只有當查詢運算式在 [查詢結果] 區段中產生資料時,您才可以匯出或釘選查詢。
查詢結果
在 [查詢結果] 底下,您可以觀察查詢的結果。 您也可以使用圖表來呈現結果,或隱藏和顯示其他資料行來篩選查詢結果。