Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinelu

Po připojení zdrojů dat ke službě Microsoft Sentinel můžete vizualizovat a monitorovat data pomocí sešitů v Microsoft Sentinelu. Sešity Služby Microsoft Sentinel jsou založené na sešitech služby Azure Monitor a přidávají tabulky a grafy s analýzou protokolů a dotazů do nástrojů, které jsou už dostupné v Azure.

Microsoft Sentinel umožňuje vytvářet vlastní sešity napříč vašimi daty nebo používat existující šablony sešitů dostupné s zabalenými řešeními nebo jako samostatný obsah z centra obsahu. Každý sešit je prostředek Azure jako jakýkoli jiný a můžete ho přiřadit pomocí řízení přístupu na základě role v Azure (RBAC), abyste mohli definovat a omezit, kdo má přístup.

Tento článek popisuje, jak vizualizovat data v Microsoft Sentinelu pomocí sešitů.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

  • Ke skupině prostředků pracovního prostoru Microsoft Sentinelu musíte mít oprávnění alespoň čtenáře sešitu nebo přispěvatele sešitu.

    Sešity, které vidíte v Microsoft Sentinelu, se ukládají do skupiny prostředků pracovního prostoru Microsoft Sentinelu a jsou označené pracovním prostorem, ve kterém byly vytvořeny.

  • Pokud chcete použít šablonu sešitu, nainstalujte řešení obsahující sešit nebo ho nainstalujte jako samostatnou položku z centra obsahu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Vytvoření sešitu ze šablony

K vytvoření sešitu použijte šablonu nainstalovanou z centra obsahu.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Sešity.
    Pro Microsoft Sentinel na portálu Defender vyberte Sešity správy>hrozeb Microsoft Sentinelu>.

  2. Přejděte na Sešity a pak vyberte Šablony a zobrazte seznam nainstalovaných šablon sešitů.

    Pokud chcete zjistit, které šablony jsou relevantní pro datové typy, které jste připojili, zkontrolujte pole Požadované datové typy v každém sešitu, kde jsou k dispozici.

  3. V podokně podrobností šablony vyberte Uložit a umístění, kam chcete soubor JSON pro šablonu uložit. Tato akce vytvoří prostředek Azure na základě příslušné šablony a uloží soubor JSON sešitu, nikoli data.

  4. V podokně podrobností šablony vyberte Zobrazit uložený sešit .

  5. Výběrem tlačítka Upravit na panelu nástrojů sešitu můžete sešit přizpůsobit podle svých potřeb.

    Snímek obrazovky znázorňující uložený sešit

    Vyberte například filtr TimeRange pro zobrazení dat pro jiný časový rozsah než aktuální výběr. Pokud chcete upravit konkrétní oblast sešitu, vyberte možnost Upravit nebo vyberte tři tečky (...) a přidejte prvky, přesuňte, naklonujte nebo odeberte oblast.

    Pokud chcete sešit naklonovat, vyberte Uložit jako. Uložte klon pod stejným názvem a skupinou prostředků pod stejným předplatným a skupinou prostředků. Klonované sešity se zobrazují na kartě Moje sešity .

  6. Až budete hotovi, uložte provedené změny výběrem možnosti Uložit .

Další informace naleznete v tématu:

Vytvoření nového sešitu

Vytvořte v Microsoft Sentinelu úplně od začátku sešit.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Sešity.
    Pro Microsoft Sentinel na portálu Defender vyberte Sešity správy>hrozeb Microsoft Sentinelu>.

  2. Vyberte Přidat sešit.

  3. Pokud chcete sešit upravit, vyberte Upravit a podle potřeby přidejte text, dotazy a parametry. Další informace o tom, jak sešit přizpůsobit, najdete v tématu Vytváření interaktivních sestav pomocí sešitů služby Azure Monitor.

    Snímek obrazovky znázorňující nový sešit

  4. Při vytváření dotazu nastavte zdroj dat na protokoly a typ prostředku na Log Analytics a pak zvolte jeden nebo více pracovních prostorů.

    Doporučujeme, aby váš dotaz používal analyzátor ADVANCED Security Information Model (ASIM) a ne integrovanou tabulku. Dotaz pak bude podporovat jakýkoli aktuální nebo budoucí relevantní zdroj dat místo jednoho zdroje dat.

  5. Po vytvoření sešitu uložte sešit pod předplatné a skupinu prostředků pracovního prostoru Služby Microsoft Sentinel.

  6. Pokud chcete, aby sešit používali jiní uživatelé ve vaší organizaci, vyberte v části Uložit sdílené sestavy. Pokud chcete, aby byl tento sešit dostupný jenom vám, vyberte Moje sestavy.

  7. Pokud chcete přepínat mezi sešity v pracovním prostoru, vyberte Otevřít Ikona pro otevření sešitu na panelu nástrojů libovolného sešitu. Obrazovka se přepne na seznam dalších sešitů, na které můžete přepnout.

    Vyberte sešit, který chcete otevřít:

    Přepínání sešitů

Vytvoření nových dlaždic pro sešity

Pokud chcete přidat vlastní dlaždici do sešitu Microsoft Sentinelu, nejprve vytvořte dlaždici v Log Analytics. Další informace najdete v tématu Vizuální data v Log Analytics.

Jakmile vytvoříte dlaždici, vyberte Připnout a pak vyberte sešit, ve kterém se má dlaždice zobrazit.

Aktualizace dat sešitu

Aktualizujte sešit, aby se zobrazila aktualizovaná data. Na panelu nástrojů vyberte jednu z následujících možností:

  • Aktualizujte data sešitu ručně.

  • Automatická aktualizace, která nastaví sešit tak, aby se automaticky aktualizoval v nakonfigurovaným intervalu.

    • Podporované intervaly automatické aktualizace jsou v rozsahu od 5 minut do 1 dne.

    • Při úpravách sešitu se automatická aktualizace pozastaví a intervaly se restartují pokaždé, když přepnete zpět do režimu zobrazení z režimu úprav.

    • Intervaly automatické aktualizace se také restartují, pokud ručně aktualizujete data.

    Ve výchozím nastavení je automatická aktualizace vypnutá. Kvůli optimalizaci výkonu je automatická aktualizace při každém zavření sešitu vypnutá. Nespustí se na pozadí. Automatické aktualizace znovu zapněte podle potřeby při příštím otevření sešitu.

Pokud chcete sešit vytisknout nebo uložit jako PDF, použijte nabídku možností napravo od názvu sešitu.

  1. Vyberte možnosti >Tisk obsahu.

  2. Na obrazovce tisku upravte nastavení tisku podle potřeby nebo vyberte Uložit jako PDF a uložte ho místně.

    Příklad:

    Snímek obrazovky znázorňující, jak vytisknout sešit nebo uložit jako PDF

Odstraňování sešitů

Pokud chcete odstranit uložený sešit, uloženou šablonu nebo přizpůsobený sešit, vyberte uložený sešit, který chcete odstranit, a vyberte Odstranit. Tato akce odebere uložený sešit. Odebere také prostředek sešitu a všechny změny, které jste v šabloně udělali. Původní šablona zůstane k dispozici.

Doporučení sešitu

Tato část popisuje základní doporučení, která máme pro používání sešitů Microsoft Sentinelu.

Přidání sešitů Microsoft Entra ID

Pokud používáte Microsoft Entra ID se službou Microsoft Sentinel, doporučujeme nainstalovat řešení Microsoft Entra pro Microsoft Sentinel a použít následující sešity:

  • Přihlášení Microsoft Entra analyzuje přihlášení v průběhu času a zjistí, jestli existují anomálie. Tento sešit poskytuje neúspěšná přihlášení aplikacemi, zařízeními a umístěními, abyste si mohli všimnout, když se stane něco neobvyklého. Věnujte pozornost několika neúspěšným přihlášením.
  • Protokoly auditu Microsoft Entra analyzují aktivity správců, jako jsou změny uživatelů (přidání, odebrání atd.), vytváření skupin a úpravy.

Přidání sešitů brány firewall

Doporučujeme nainstalovat příslušné řešení z centra obsahu a přidat sešit pro bránu firewall.

Nainstalujte například řešení brány firewall Palo Alto pro Microsoft Sentinel a přidejte sešity Palo Alto. Sešity analyzují provoz brány firewall a poskytují korelace mezi daty brány firewall a událostmi hrozeb a zvýrazňují podezřelé události napříč entitami.

Snímek obrazovky sešitu Palo Alto

Vytvoření různých sešitů pro různá použití

Doporučujeme vytvořit různé vizualizace pro jednotlivé typy osob, které používají sešity na základě role osoby a toho, co hledá. Můžete například vytvořit sešit pro správce sítě, který obsahuje data brány firewall.

Případně můžete vytvářet sešity na základě toho, jak často se na ně chcete podívat, jestli se mají prohlížet věci, které chcete kontrolovat každý den, a další položky, které chcete zkontrolovat jednou za hodinu. Můžete se například chtít podívat na přihlášení Microsoft Entra každou hodinu a hledat anomálie.

Pomocí následujícího dotazu vytvořte vizualizaci, která porovnává trendy provozu za několik týdnů. V závislosti na vašem prostředí přepněte dodavatele zařízení a zdroj dat, na který dotaz spouštíte.

Následující ukázkový dotaz používá tabulku SecurityEvent z Windows. Možná ho budete chtít přepnout tak, aby běžel v tabulce AzureActivity nebo CommonSecurityLog v jakékoli jiné bráně firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Ukázkový dotaz s daty z více zdrojů

Můžete chtít vytvořit dotaz, který bude obsahovat data z více zdrojů. Vytvořte například dotaz, který se podívá na protokoly auditu Microsoft Entra pro nové uživatele, které byly vytvořeny, a pak zkontroluje protokoly Azure, aby zjistili, jestli uživatel začal provádět změny přiřazení rolí do 24 hodin od vytvoření. Tato podezřelá aktivita se zobrazí ve vizualizaci s následujícím dotazem:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Další informace naleznete v tématu: