使用預設的 Microsoft Sentinel 活頁簿

  • 5 分鐘

Microsoft Sentinel 提供數個立即可用的範本。 您可使用這些範本建立自己的活頁簿,然後視需要針對 Contoso 進行修改。

Microsoft Sentinel 活頁簿

Microsoft Sentinel 用來內嵌資料的大部分資料連線器都附有自己的活頁簿。 使用資料表和視覺效果 (包括橫條圖和圓形圖) 深入解析正在內嵌的資料。 您也可以從頭開始建立自有活頁簿,而不使用預先定義的範本。

[活頁簿] 頁面

您可以從瀏覽窗格存取 Microsoft Sentinel 的 [活頁簿] 頁面。 在 [活頁簿] 頁面中,您可以新增活頁簿,並檢閱可用的已儲存活頁簿和範本。

您可在 [範本] 索引標籤上存取現有的活頁簿範本。您可儲存一些活頁簿供快速存取。 它們會顯示在 [我的活頁簿] 索引標籤上。

您可在 [範本] 索引標籤中選取現有的活頁簿,以顯示其包含範本其他資訊的 [詳細資料] 窗格。 [詳細資料] 窗格也包含必須連線到 Microsoft Sentinel 的所需資料類型和資料連線器其資訊。 您也可以檢閱報表的顯示方式。

檢閱現有的活頁簿範本

如前所述,Contoso 擔心身分識別遭盜用。 身為安全性系統管理員,您可在 [範本] 區段中選取該範本,以檢查現有的 [Microsoft Entra 登入記錄] 活頁簿。 然後選取詳細資料窗格中的 [檢視範本]。

[Microsoft Entra 登入記錄] 活頁簿包含預先定義的圖表、圖形和資料表,其可提供有關 Microsoft Entra ID 登入活動的重要深入解析。 您可找到使用者登入和位置、電子郵件地址和使用者 IP 位址的資訊。 您也可以檢閱失敗活動以及觸發失敗的錯誤的資訊。

[Microsoft Entra 登入記錄] 頁面中,您可展開時間範圍,或篩選在 Microsoft Entra ID 中具有登入權限的應用程式和使用者。 例如,Contoso 希望識別可登入到 Azure 入口網站的使用者,使您可以篩選資料,如下所示。

Screenshot that displays Sign-in Analysis with filtering of the users that sign-in to the Azure portal.

Contoso 有興趣識別失敗的登入嘗試。 您可以透過選取資訊磚來顯示這些帳戶,然後選取磚或資料列來顯示更多資訊,例如:

  • 依位置排序的登入。 此區段會指出使用者登入 Microsoft Entra ID 的位置。
  • 位置登入詳細資料。 此區段會顯示使用者、其登入狀態和嘗試登入的時間。
  • 依裝置排列的登入。 此區段會列出使用者用來登入 Microsoft Entra ID 的裝置。
  • 裝置登入詳細資料。 此區段會顯示在特定裝置上登入的使用者,以及其登入時間。

此資訊磚在背景中設定為執行查詢,以及篩選從 Microsoft Entra 連接器收集的資料。 然後,Microsoft Sentinel 會使用資料表來視覺化並呈現收集到的資料,這些資料更有意義,並提供與使用者登入嘗試相關的實用見解。

活頁簿還有其他磚,其會指出使用條件式存取登入的使用者。 您可在條件式存取狀態資料表中,檢閱需要以多重要素驗證來驗證其身分識別的使用者。

Screenshot of Conditional Access activity.

頁面的其餘部分也包含互動式的資料表和圖表。 選取一些資料列或圖格,以篩選呈現的資料。 有些資料表是使用對應記錄的連結所建立,如下列螢幕擷取畫面所示。

Screenshot of the links that can open the query in Azure Data Explorer or pin the query in dashboard.

注意

您也可以在私人或共用的儀表板中釘選查詢步驟,以利快速擷取。

從活頁簿編輯查詢

例如,Contoso 想要搜尋記錄,以取得顯示失敗使用者登入的詳細資訊。 系統會將他們重新導向至 Azure 資料總管,其中 Microsoft Sentinel 會執行記錄查詢來篩選資訊。

Screenshot of Data Explorer.

探索已儲存的活頁簿

從 [範本] 頁面,您可以選取其中一個範本,然後選取 [儲存] 來儲存現有範本中的活頁簿。您必須提供位置來指出要儲存活頁簿的位置。 此流程會使用範本的 JSON 檔案,以根據範本建立 Azure 資源。

您可在 [我的活頁簿] 索引標籤上取得儲存的活頁簿,並加以自訂。 您可選取 [View saved workbook] (檢視已儲存的活頁簿) 以開啟儲存的活頁簿。 此動作會開啟與範本活頁簿頁面相同的頁面,但是您可根據 Contoso 的需求自訂此頁面。

選取 [編輯] 以在編輯模式中開啟活頁簿。 您可以新增或移除項目,並提供更多自訂。 編輯模式會顯示活頁簿中的所有內容,包括閱讀模式中可能隱藏的步驟和參數。

編輯模式中的標頭列包含數個選項,如下列螢幕擷取畫面所示。

Screenshot of the Editing mode that depicts the various editing options such as Save, Save As, Settings, Refresh, Share, Help, and more.

切換到編輯模式後,您會發現數個 [編輯] 選項,其對應至活頁簿的各個層面。 如果選取其中一個編輯選項,您可檢查 Microsoft Sentinel 用來篩選對應記錄資料的查詢。

選取設定圖示時,[設定] 頁面隨即開啟,您可在此提供要在活頁簿中使用的其他資源。 您也可以變更活頁簿的樣式、提供標籤,或在活頁簿中釘選項目。

Screenshot of the Settings page.

您可選取 [Show Pin Options] (顯示釘選選項),在活頁簿中重新排列不同資料表的位置。

如需進階自訂,您可選取進階編輯器以開啟目前活頁簿的 JSON 表示法,然後在文字編輯器中加以進一步自訂。 您可將變更儲存在現有的活頁簿中,或另存為其他活頁簿。 完成所有自訂後,您可選取 [完成編輯] 結束編輯模式。

探索 GitHub 上的 Microsoft Sentinel 存放庫

Microsoft Sentinel 存放庫包含現成的偵測、探索查詢、搜捕查詢、活頁簿、劇本,以及更多功能,可協助保護環境並偵測威脅。 此存放庫是由 Microsoft 及 Microsoft Sentinel 社群共同打造。

存放庫有數個資料夾,其中具有不同 Microsoft Sentinel 功能領域的投稿內容,包括偵測查詢。 您可使用這些查詢中的程式碼,在 Microsoft Sentinel 工作區中建立自訂查詢。

檢定您的知識

1.

下列哪個元素不屬於活頁簿?

2.

系統管理員可在 Microsoft Entra 登入記錄活頁簿的哪個區段中找到使用者必須執行多重要素驗證 (MFA) 以驗證其身分識別時所需資訊。