Použití výchozích sešitů Microsoft Sentinelu

  • 5 min

Microsoft Sentinel nabízí několik šablon, které jsou připravené k použití. Tyto šablony můžete použít k vytvoření vlastního sešitu a pak je podle potřeby upravit pro společnost Contoso.

Sešity Microsoft Sentinelu

Většina datových konektorů, které Microsoft Sentinel používá k ingestování dat, jsou součástí vlastních sešitů. Přehled o datech, která se ingestují, můžete získat pomocí tabulek a vizualizací, včetně pruhových a výsečových grafů. Místo předdefinovaných šablon můžete vytvářet vlastní sešity úplně od začátku.

Stránka Sešit

Na stránku Sešity pro Microsoft Sentinel se dostanete z navigačního podokna. Na stránce Sešity můžete přidat nový sešit a zkontrolovat uložené sešity a šablony, které jsou k dispozici.

K existujícím šablonům sešitů se dostanete na kartě Šablony . Některé sešity můžete uložit pro rychlý přístup. Zobrazí se na kartě Moje sešity .

Na kartě Šablony můžete vybrat existující sešit a zobrazit pro něj podokno podrobností, které obsahuje další informace o šabloně. Podokno podrobností obsahuje také informace o požadovaných datových typech a datových konektorech, které musí být připojené k Microsoft Sentinelu. Můžete také zkontrolovat, jak se sestava zobrazuje.

Kontrola existující šablony sešitu

Jak jsme již uvedli, společnost Contoso má starosti s ohrožením identit. Jako správce zabezpečení můžete zkontrolovat existující sešit protokolů přihlašování Microsoft Entra tak, že tuto šablonu vyberete v části Šablony . Pak v podokně podrobností vyberte Zobrazit šablonu .

Sešit protokolů přihlašování Microsoft Entra obsahuje předdefinované grafy, grafy a tabulky, které můžou poskytovat důležitý přehled o aktivitě přihlašování v Microsoft Entra ID. Najdete zde informace o přihlášení a umístění uživatelů, e-mailové adresy a IP adresy vašich uživatelů. Můžete také zkontrolovat informace o neúspěšných aktivitách a chybách, které aktivovaly chyby.

Na stránce protokolů přihlašování Microsoft Entra můžete rozšířit časový rozsah nebo filtrovat aplikace a uživatele, kteří mají přihlašovací oprávnění v Microsoft Entra ID. Contoso například chce identifikovat uživatele, kteří se můžou přihlásit k webu Azure Portal, abyste mohli data filtrovat následujícím způsobem.

Snímek obrazovky zobrazující analýzu přihlašování s vyfiltrováním uživatelů, kteří se přihlašují k webu Azure Portal

Společnost Contoso se zajímá o identifikaci neúspěšných pokusů o přihlášení. Tyto účty můžete zobrazit tak, že vyberete dlaždice s informacemi a pak vyberete dlaždici nebo řádek, abyste zobrazili další informace, například:

  • Přihlášení podle umístění Tato část označuje umístění, ze kterého se uživatel přihlásil k ID Microsoft Entra.
  • Podrobnosti o přihlášení k umístění V této části se zobrazují uživatelé, jejich stav přihlášení a čas pokusu o přihlášení.
  • Přihlášení podle zařízení Tato část obsahuje seznam zařízení, která uživatelé používají k přihlášení k MICROSOFT Entra ID.
  • Podrobnosti o přihlášení zařízení. Tato část obsahuje uživatele, kteří se přihlásili na konkrétním zařízení, a čas, kdy se přihlásili.

Tato dlaždice s informacemi na pozadí je nakonfigurovaná tak, aby spustila dotaz a vyfiltrovala data shromážděná z konektoru Microsoft Entra. Microsoft Sentinel pak vizualizuje a prezentuje data shromážděná pomocí tabulek, které jsou smysluplnější a poskytují užitečný přehled o pokusech o přihlášení uživatelů.

Sešit obsahuje další dlaždice, které označují uživatele, kteří se přihlásili pomocí podmíněného přístupu. V tabulce stavu podmíněného přístupu můžete zkontrolovat uživatele, kteří k ověření identity vyžadovali vícefaktorové ověřování.

Snímek obrazovky zobrazující aktivitu podmíněného přístupu

Zbytek stránky obsahuje také tabulky a grafy, které jsou interaktivní. Vyberte některé řádky nebo dlaždice a vyfiltrujte zobrazená data. Některé tabulky jsou vytvořeny s odkazy na odpovídající protokoly, jak je znázorněno na následujícím snímku obrazovky.

Snímek obrazovky s odkazy, které můžou otevřít dotaz ve službě Azure Data Explorer nebo připnout dotaz na řídicí panel

Poznámka:

K zajištění rychlého načtení můžete krok dotazu připnout také na privátní nebo sdílený řídicí panel.

Úpravy dotazu ze sešitu

Contoso například chce vyhledat v protokolech další informace, které zobrazí neúspěšné přihlášení uživatele. Jsou přesměrováni do Azure Data Exploreru, kde Microsoft Sentinel provede dotaz protokolu k filtrování informací.

Snímek obrazovky zobrazující Data Explorer

Prozkoumání uložených sešitů

Na stránce Šablony můžete sešit uložit ze stávajících šablon tak, že vyberete jednu ze šablon a pak vyberete Uložit. Musíte zadat umístění, kam chcete sešit uložit. Tento proces vytvoří prostředek Azure na základě šablony se souborem JSON šablony.

Uložené sešity jsou k dispozici na kartě Moje sešity , kde je můžete přizpůsobit. Uložené sešity můžete otevřít vybráním možnosti Zobrazit uložený sešit. Tato akce otevře stejnou stránku jako stránka sešitu šablony, ale můžete ji přizpůsobit na základě požadavků společnosti Contoso.

Výběrem možnosti Upravit otevřete sešit v režimu úprav. Můžete přidávat nebo odebírat položky a poskytovat další přizpůsobení. V režimu úprav se zobrazí veškerý obsah v sešitu včetně kroků a parametrů, které budou v režimu čtení skryté.

Záhlaví v režimu úprav obsahuje několik možností, které jsou znázorněny na následujícím snímku obrazovky.

Snímek obrazovky s režimem úprav, který znázorňuje různé možnosti úprav, jako je například Uložit, Uložit jako, Nastavení, Aktualizovat, Sdílet, Nápověda a další

Když přepnete do režimu úprav, všimněte si několika možností úprav , které odpovídají jednotlivým aspektům sešitu. Pokud vyberete jednu z těchto možností úprav, můžete prozkoumat dotaz, který Microsoft Sentinel používá k filtrování dat z odpovídajícího protokolu.

Když vyberete ikonu nastavení, otevře se stránka Nastavení , kde můžete zadat další prostředky, které chcete v sešitu použít. Můžete také změnit styl sešitu, zadat značky nebo připnout položku v sešitu.

Snímek obrazovky se stránkou Nastavení

Umístění různých tabulek v sešitu můžete změnit tak, že vyberete Zobrazit možnosti připnutí.

V případě pokročilých úprav můžete vybrat Rozšířený editor pro otevření reprezentace aktuálního sešitu ve formátu JSON a pak ho dále přizpůsobit v textovém editoru. Změny můžete uložit v existujícím sešitu nebo je uložit jako jiný sešit. Až skončíte se všemi úpravami, můžete režim úprav ukončit tak , že vyberete Hotovo úpravy.

Prozkoumání úložiště Microsoft Sentinel na GitHubu

Úložiště Služby Microsoft Sentinel obsahuje předdefinované detekce, průzkumné dotazy, dotazy proaktivního vyhledávání, sešity, playbooky a další nástroje, které vám pomůžou zabezpečit vaše prostředí a detekovat hrozby. Microsoft a komunita Microsoft Sentinelu přispívají k tomuto úložišti.

Úložiště obsahuje složky s obsahem příspěvku pro několik oblastí funkcí Microsoft Sentinelu, včetně dotazů detekce. Kód z těchto dotazů můžete použít k vytváření vlastních dotazů v pracovním prostoru Služby Microsoft Sentinel.

Kontrola znalostí

1.

Který z následujících prvků nemůže být součástí sešitu?

2.

V jaké části sešitu protokolů přihlašování Microsoft Entra může správce najít informace, které uživatelé musí k ověření identity ověřit pomocí vícefaktorového ověřování (MFA).