Cvičení – vizualizace dat pomocí sešitů Microsoft Sentinelu

  • 8 min

Jako bezpečnostní technik pracující ve společnosti Contoso si všimnete podezřelých aktivit ve vašem předplatném Azure a rozhodnete se tuto aktivitu analyzovat pomocí sešitů Microsoft Sentinelu.

Cvičení: Dotazování a vizualizace dat pomocí sešitů Microsoft Sentinelu

Chcete analyzovat protokoly v Microsoft Sentinelu z konektoru aktivit Azure. Chcete dále implementovat vizualizaci těchto dat a uložit je do přizpůsobeného sešitu.

V tomto cvičení prozkoumejte protokoly a sešity Microsoft Sentinelu. Provedete následující úlohy:

  • Interakce s daty protokolů na stránce Protokoly Microsoft Sentinelu
  • Vytvoříte a upravíte vlastní sešit pro vizualizaci důležitých dat.

Poznámka:

Před dokončením tohoto cvičení musíte dokončit dotaz a vizualizovat data pomocí lekce Microsoft Sentinel Workbooks . Pokud jste to ještě neudělali, vraťte se k ní a potom pokračujte v krocích tohoto cvičení.

Úkol 1: Práce s protokoly v Microsoft Sentinelu

  1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a pak vyberte dříve vytvořený pracovní prostor Microsoft Sentinelu.

  2. Na stránce Microsoft Sentinel v části Obecné vyberte Protokoly.

    Poznámka:

    Při prvním otevření stránky Protokoly můžete být přesměrováni do okna Dotazy . Zavřete okno Dotazy a vraťte se do části Nový dotaz 1.

  3. V Microsoft Sentinelu | Stránka Protokoly v podokně Tabulky v rozevírací nabídce Seskupit podle: Řešení vyberte Kategorie.

  4. V podokně Tabulky v seznamu tabulek rozbalte kategorii Prostředky Azure, přesuňte kurzor na tabulku aktivit Azure nebo pomocí klávesy Tab přejděte k tabulce a pak vyberte Náhled dat.

  5. V okně AzureActivity vyberte Zobrazit v editoru dotazů. Tato možnost umožňuje zobrazit náhled dat a zkontrolovat, jestli jsou výsledky tak, jak očekáváte, než s ním skutečně spustíte dotaz.

    Snímek obrazovky s podoknem Tabulky

    V části Dotaz si můžete prohlédnout strukturu dotazu. Tento dotaz vyhledá a zobrazí posledních 10 událostí z protokolu aktivit Azure. První řádek dotazu AzureActivity určuje tabulku použitou v dotazu. Druhý řádek obsahuje where příkaz, který filtruje záznamy z posledního dne. Třetí řádek obsahuje další příkaz pro filtrování pouze posledních 10 událostí.

    V části výsledků dotazu se zobrazí výsledky dotazu. Můžete rozbalit libovolný záznam a zkontrolovat hodnoty v tabulce. Vybráním názvu libovolného sloupce seřadíte podle něj výsledky.

  6. Vybráním ikony filtru vedle sloupce zadáte podmínku filtru. Tento přístup se podobá přidání podmínky filtru do samotného dotazu s tím rozdílem, že tento filtr se vymaže, pokud dotaz spustíte znovu. Pokud vyberete rozevírací nabídku Sloupce , můžete filtrovat sloupce z tabulky, kterou chcete zobrazit. Výběrem možnosti Seskupit sloupce můžete seskupit záznamy podle konkrétního sloupce.

    Snímek obrazovky znázorňující výsledky dotazu se zvýrazněnými předchozími položkami

  7. V levém podokně vyberte kartu Dotazy. Toto podokno obsahuje příklady dotazů, které můžete přidat do okna dotazu. Pokud používáte vlastní pracovní prostor, měli byste mít různé dotazy v několika kategoriích. Pokud používáte ukázkové prostředí, může se zobrazit pouze jedna kategorie pracovních prostorů služby Log Analytics.

    Poznámka:

    V následujícím ukázkovém prostředí si můžete vyzkoušet psaní dotazů.

Úkol 2: Práce se sešity v Microsoft Sentinelu

  1. Na stránce Microsoft Sentinel v části Správa hrozeb vyberte Sešity.

  2. V Microsoft Sentinelu | Stránka Sešity , vyberte kartu Šablony .

  3. Do pole Hledat zadejte Aktivita Azure a tuto položku vyberte.

  4. V podokně podrobností zkontrolujte informace, které jsou k dispozici pro šablonu, a pak vyberte Uložit. V okně Uložit sešit do... vyberte stejné umístění, které jste vybrali v přípravném cvičení, a pak vyberte OK.

  5. V Microsoft Sentinelu | Stránka Sešity , vyberte kartu Moje sešity . V seznamu uložených šablon vyberte aktivitu Azure. Potom v podokně podrobností vyberte Zobrazit uložený sešit.

  6. Na stránce Aktivita Azure – sentinelname zkontrolujte všechny prvky sešitu. Můžete pracovat se sešitem tak, že vyberete některé prvky.

  7. Vyberte pole Časový rozsah a vyberte jiný časový rozsah pro záznamy zobrazené v tabulce aktivit Azure. Vyberte rozevírací nabídku Volající a vyfiltrujte záznamy podle uživatele nebo služby, která generuje události. Výběrem rozevírací nabídky Skupina prostředků vyfiltrujte události na základě konkrétní skupiny prostředků.

    Snímek obrazovky zobrazující stránku Aktivita Azure se zvýrazněnými předchozími prvky

  8. Posuňte se dolů k tabulce Aktivity volajících, která zobrazuje aktivity spouštěné vašimi uživateli nebo objekty zabezpečení. Data tabulky v jednotlivých sloupcích seřadíte tak, že vyberete šipky v záhlaví sloupce.

  9. Posuňte se do záhlaví na stránce Aktivita Azure – sentinelname. Výběrem možnosti Upravit přepnete sešit do režimu úprav. Sledujte různé možnosti volby Upravit, které se zobrazují na stránce.

  10. Vyberte první možnost Upravit. Tato akce zobrazí podokno pro úpravy jednoho z kroků v sešitu. Prezentaci prvků můžete přizpůsobit úpravou stylu a jejich uspořádáním v jiném pořadí.

  11. Můžete přidat další parametry s různými typy, jako je text, rozevírací seznam, vícehodnoty nebo podobné.

  12. Vyberte Přidat parametry.

  13. Na stránce Nový parametr zadejte následující hodnoty:

    Název Popis
    Název parametru Level
    Zobrazované jméno Level
    Typ parametru V rozevírací nabídce vyberte Rozevírací seznam.
    Požadováno? Zaškrtněte toto políčko.
    Povolit více výběrů Zaškrtněte toto políčko.
    Omezit vícenásobné výběry Toto políčko nezaškrtávejte.
    Oddělovač Ponechte výchozí hodnoty.
    Uzavřít do uvozovek Ponechte výchozí hodnoty.
    Vysvětlení Tento parametr filtruje události na základě úrovně.
    Skrýt parametr, když se sešit neupravuje Toto políčko nezaškrtávejte.
    Získat data z Dotaz

  14. V části Dotaz protokolů v pracovním prostoru Log Analytics zadejte následující dotaz a pak vyberte Spustit dotaz.

    AzureActivity
|summarize by Level

  15. Ověřte, že výsledek dotazu vrací dva typy událostí na základě úrovně: Informační a Upozornění.

    Snímek obrazovky s podoknem Nový parametr s kroky pro přidání nového parametru Na snímku obrazovky jsou zvýrazněné možnosti uložit, dotazovat, spustit dotaz a oddíl AzureActivity.

  16. Výběrem možnosti Uložit potvrďte změny a všimněte si, že krok parametru teď obsahuje parametr s názvem Úroveň.

    Tip

    V režimu úprav můžete vybrat ikonu tří teček vedle možnosti Upravit a zobrazit novou rozevírací nabídku. Z dané nabídky můžete tento krok přesunout do různých částí sešitu. Krok také můžete také naklonovat nebo odebrat ze sešitu.

  17. V záhlaví vyberte ikonu Uložit jako a uložte přizpůsobený sešit.

  18. Do pole Název zadejte název nového sešitu a pak vyberte Uložit.

  19. Až budete hotovi s prováděním změn, vyberte Hotovo úpravy.

    Tip

    Váš nový sešit je přístupný z Microsoft Sentinelu | Podokno Sešity na kartě Moje sešity Pokud nový sešit není uvedený, vyberte možnost Aktualizovat .

Vyčištění prostředků

  1. Na webu Azure Portal vyhledejte Skupiny prostředků.
  2. Vyberte azure-sentinel-rg.
  3. Na panelu v záhlaví vyberte Odstranit skupinu prostředků.
  4. Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte název azure-sentinel-rg a vyberte Odstranit.