Visualize e monitore seus dados usando pastas de trabalho no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Depois de conectar suas fontes de dados ao Microsoft Sentinel, visualize e monitore os dados usando pastas de trabalho no Microsoft Sentinel. As pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor e adicionam tabelas e gráficos com análises para seus logs e consultas às ferramentas já disponíveis no Azure.

O Microsoft Sentinel permite que você crie pastas de trabalho personalizadas em seus dados ou use modelos de pasta de trabalho existentes disponíveis com soluções empacotadas ou como conteúdo autônomo do hub de conteúdo. Cada pasta de trabalho é um recurso do Azure como qualquer outro, e você pode atribuí-la com o RBAC (controle de acesso baseado em função) do Azure para definir e limitar quem pode acessar.

Este artigo descreve como visualizar seus dados no Microsoft Sentinel usando pastas de trabalho.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

  • Você deve ter pelo menos permissões de leitor de pasta de trabalho ou de colaborador de pasta de trabalho no grupo de recursos do espaço de trabalho do Microsoft Sentinel.

    As pastas de trabalho que você vê no Microsoft Sentinel são salvas dentro do grupo de recursos do espaço de trabalho do Microsoft Sentinel e são marcadas pelo espaço de trabalho no qual foram criadas.

  • Para usar um modelo de pasta de trabalho, instale a solução que contém a pasta de trabalho ou instale a pasta de trabalho como um item autônomo do Hub de Conteúdo. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

Criar uma pasta de trabalho a partir de um modelo

Use um modelo instalado a partir do hub de conteúdo para criar uma pasta de trabalho.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Pastas de trabalho.
    Para Microsoft Sentinel no portal do Defender, selecione Pastas de trabalho de gerenciamento de>ameaças do Microsoft Sentinel.>

  2. Vá para Pastas de trabalho e selecione Modelos para ver a lista de modelos de pasta de trabalho instalados.

    Para ver quais modelos são relevantes para os tipos de dados conectados, revise o campo Tipos de dados necessários em cada pasta de trabalho, quando disponível.

  3. Selecione Salvar no painel de detalhes do modelo e no local onde deseja salvar o arquivo JSON do modelo. Esta ação cria um recurso do Azure com base no modelo relevante e salva o arquivo JSON da pasta de trabalho, não os dados.

  4. Selecione Exibir pasta de trabalho salva no painel de detalhes do modelo.

  5. Selecione o botão Editar na barra de ferramentas da pasta de trabalho para personalizar a pasta de trabalho de acordo com suas necessidades.

    Captura de ecrã que mostra o livro guardado.

    Por exemplo, selecione o filtro TimeRange para exibir dados para um intervalo de tempo diferente da seleção atual. Para editar uma área específica da pasta de trabalho, selecione Editar ou selecione as reticências (...) para adicionar elementos ou mover, clonar ou remover a área.

    Para clonar sua pasta de trabalho, selecione Salvar como. Salve o clone com outro nome, sob a mesma assinatura e grupo de recursos. As pastas de trabalho clonadas são exibidas na guia Minhas pastas de trabalho.

  6. Quando terminar, selecione Salvar para salvar as alterações.

Para obter mais informações, consulte:

Criar nova pasta de trabalho

Crie uma pasta de trabalho do zero no Microsoft Sentinel.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Pastas de trabalho.
    Para Microsoft Sentinel no portal do Defender, selecione Pastas de trabalho de gerenciamento de>ameaças do Microsoft Sentinel.>

  2. Selecione Adicionar pasta de trabalho.

  3. Para editar a pasta de trabalho, selecione Editar e adicione texto, consultas e parâmetros conforme necessário. Para obter mais informações sobre como personalizar a pasta de trabalho, consulte como Criar relatórios interativos com pastas de trabalho do Azure Monitor.

    Captura de tela que mostra uma nova pasta de trabalho.

  4. Ao criar uma consulta, defina a Fonte de dados como Logs e Tipo de recurso como Log Analytics e escolha um ou mais espaços de trabalho.

    Recomendamos que sua consulta use um analisador ASIM (Advanced Security Information Model) e não uma tabela interna. A consulta dará suporte a qualquer fonte de dados relevante atual ou futura, em vez de uma única fonte de dados.

  5. Depois de criar sua pasta de trabalho, salve-a no grupo de assinatura e recursos do seu espaço de trabalho do Microsoft Sentinel.

  6. Se você quiser permitir que outras pessoas em sua organização usem a pasta de trabalho, em Salvar para selecionar Relatórios compartilhados. Se pretender que este livro esteja disponível apenas para si, selecione Os meus relatórios.

  7. Para alternar entre pastas de trabalho em seu espaço de trabalho, selecione Abrir Ícone para abrir uma pasta de trabalho. na barra de ferramentas de qualquer pasta de trabalho. A tela alterna para uma lista de outras pastas de trabalho para as quais você pode alternar.

    Selecione a pasta de trabalho que deseja abrir:

    Alterne entre pastas de trabalho.

Criar novos blocos para suas pastas de trabalho

Para adicionar um bloco personalizado a uma pasta de trabalho do Microsoft Sentinel, primeiro crie o bloco no Log Analytics. Para obter mais informações, consulte Dados visuais no Log Analytics.

Depois de criar um mosaico, selecione Afixar e, em seguida, selecione o livro onde pretende que o mosaico apareça.

Atualizar os dados da pasta de trabalho

Atualize sua pasta de trabalho para exibir dados atualizados. Na barra de ferramentas, selecione uma das seguintes opções:

  • Atualizar, para atualizar manualmente os dados da pasta de trabalho.

  • Atualização automática, para definir sua pasta de trabalho para atualizar automaticamente em um intervalo configurado.

    • Os intervalos de atualização automática suportados variam de 5 minutos a 1 dia.

    • A atualização automática é pausada enquanto você edita uma pasta de trabalho e os intervalos são reiniciados sempre que você volta para o modo de exibição a partir do modo de edição.

    • Os intervalos de atualização automática também são reiniciados se você atualizar manualmente os dados.

    Por padrão, a atualização automática está desativada. Para otimizar o desempenho, a atualização automática é desativada sempre que você fecha uma pasta de trabalho. Ele não é executado em segundo plano. Ative novamente a atualização automática conforme necessário na próxima vez que abrir a pasta de trabalho.

Para imprimir uma pasta de trabalho ou salvá-la como PDF, use o menu de opções à direita do título da pasta de trabalho.

  1. Selecione as opções >Imprimir conteúdo.

  2. Na tela de impressão, ajuste as configurações de impressão conforme necessário ou selecione Salvar como PDF para salvá-lo localmente.

    Por exemplo:

    Captura de ecrã que mostra como imprimir o seu livro ou guardar como PDF.

Como eliminar livros

Para excluir uma pasta de trabalho salva, seja um modelo salvo ou uma pasta de trabalho personalizada, selecione a pasta de trabalho salva que deseja excluir e selecione Excluir. Esta ação remove a pasta de trabalho salva. Ele também remove o recurso da pasta de trabalho e todas as alterações feitas no modelo. O modelo original permanece disponível.

Recomendações da pasta de trabalho

Esta seção analisa as recomendações básicas que temos para usar pastas de trabalho do Microsoft Sentinel.

Adicionar pastas de trabalho do Microsoft Entra ID

Se você usar o Microsoft Entra ID com o Microsoft Sentinel, recomendamos que você instale a solução Microsoft Entra para o Microsoft Sentinel e use as seguintes pastas de trabalho:

  • O Microsoft Entra inicia sessão analisa os inícios de sessão ao longo do tempo para ver se existem anomalias. Esta pasta de trabalho fornece entradas com falha por aplicativos, dispositivos e locais para que você possa notar, rapidamente, se algo incomum acontecer. Preste atenção a várias entradas com falha.
  • Os logs de auditoria do Microsoft Entra analisam atividades administrativas, como alterações nos usuários (adicionar, remover, etc.), criação de grupos e modificações.

Adicionar pastas de trabalho de firewall

Recomendamos que você instale a solução apropriada a partir do hub de conteúdo para adicionar uma pasta de trabalho para seu firewall.

Por exemplo, instale a solução de firewall Palo Alto para Microsoft Sentinel para adicionar as pastas de trabalho Palo Alto. As pastas de trabalho analisam o tráfego do firewall, fornecendo correlações entre os dados do firewall e os eventos de ameaça, e destacam eventos suspeitos entre entidades.

Captura de ecrã do livro de Palo Alto.

Criar pastas de trabalho diferentes para usos diferentes

Recomendamos criar visualizações diferentes para cada tipo de persona que usa pastas de trabalho, com base na função da persona e no que ela está procurando. Por exemplo, crie uma pasta de trabalho para o administrador da rede que inclua os dados do firewall.

Como alternativa, crie pastas de trabalho com base na frequência com que você deseja vê-las, se há coisas que você deseja revisar diariamente e outros itens que você deseja verificar uma vez por hora. Por exemplo, talvez você queira examinar suas entradas do Microsoft Entra a cada hora para procurar anomalias.

Use a consulta a seguir para criar uma visualização que compara as tendências de tráfego ao longo das semanas. Alterne o fornecedor do dispositivo e a fonte de dados na qual você executa a consulta, dependendo do seu ambiente.

A consulta de exemplo a seguir usa a tabela SecurityEvent do Windows. Talvez você queira alterná-lo para ser executado na tabela AzureActivity ou CommonSecurityLog , em qualquer outro firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Consulta de exemplo com dados de várias fontes

Talvez você queira criar uma consulta que incorpore dados de várias fontes. Por exemplo, crie uma consulta que examine os logs de auditoria do Microsoft Entra para novos usuários que foram criados e, em seguida, verifique seus logs do Azure para ver se o usuário começou a fazer alterações de atribuição de função dentro de 24 horas após a criação. Essa atividade suspeita apareceria em uma visualização com a seguinte consulta:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Para obter mais informações, consulte: