Überwachen und Visualisieren von Daten

  • 5 Minuten

Microsoft Sentinel-Protokolle ermöglichen Ihnen den Zugriff auf die verschiedenen Protokolle, die von den Sicherheitsconnectors gesammelt werden. Microsoft Sentinel sammelt diese Protokolle von den integrierten Connectors und speichert sie im Azure Log Analytics-Arbeitsbereich.

Log Analytics-Arbeitsbereich

Der Log Analytics-Arbeitsbereich ist ein Repository, in dem Daten und Konfigurationsinformationen gespeichert werden. Sie können Abfragen erstellen, um wichtige Informationen zu filtern, die Sie dann zum Erstellen von Analyseregeln und zum Erkennen von Bedrohungen verwenden können. Beispielsweise können Sie mithilfe von „Microsoft Sentinel Logs“ (Microsoft Sentinel-Protokolle) Daten aus mehreren Quellen durchsuchen, große Datasets aggregieren und komplexe Vorgänge ausführen, um potenzielle Sicherheitsbedrohungen und Sicherheitsrisiken zu ermitteln.

Informationen zur Seite „Microsoft Sentinel-Protokolle“

Auf der Seite Microsoft Sentinel Logs können Sie nach bestimmten Protokollen suchen. Zeigen Sie die Seite an, indem Sie im Navigationsbereich in Microsoft Sentinel Protokolle auswählen.

Die Seite Protokolle besteht aus diesen Hauptteilen:

  • Der Seitenkopf enthält Links zu Abfragen, den Einstellungen und dem Hilfebereich.
  • Im Bereich Tabellen werden gesammelte Daten aus den Protokollen in Tabellen angezeigt, die jeweils mehrere Spalten umfassen.
  • Im Bereich „Abfrage“ können Sie eigene Abfrageausdrücke schreiben.
  • Im Bereich „Abfrageergebnisse“ werden die Ergebnisse Ihrer Abfragen angezeigt.

Screenshot of the default Logs page that shows four elements: the Header bar, the Tables pane, the Queries pane, and the Query results/history pane.

Abfragen

Wenn Sie im Seitenkopf den Link Abfragen auswählen, wird ein neues Fenster geöffnet, in dem Sie aus einigen der vordefinierten Beispielabfragen auswählen können. Im Dropdownmenü Abfragen können Sie diese Abfragen nach den folgenden Kriterien filtern:

  • Category
  • Abfragetyp
  • Ressourcentyp
  • Lösung
  • Thema

Wählen Sie Ausführen aus, um eine vordefinierte Abfrage zu starten. Mit dieser Aktion werden Sie zum Abfragebereich umgeleitet. Sie können die Abfragestruktur und die Ergebnisse beobachten. Führen Sie die vordefinierte Abfrage Nicht autorisierte Benutzer aus, um den Bedenken von Contoso bezüglich nicht autorisierter Benutzer Rechnung zu tragen.

Screenshot that presents unauthorized users.

Abfrage-Explorer

Verwenden Sie die den Abfrage-Explorer, um auf Ihre zuvor gespeicherten Abfragen zuzugreifen. Sie können auch auf einige Lösungsabfragen zugreifen, die im Grunde ein Filter der häufigsten Abfragen sind, mit denen Sie die Daten filtern können. In der Liste der Lösungsabfragen können Sie entweder die Abfrage ausführen oder die Abfrage dem Abschnitt „Favoriten“ hinzufügen, indem Sie das Sternsymbol auswählen.

Bereich „Tabellen“

Im Bereich Tabellen werden Protokolle aus verschiedenen Lösungen in Tabellen gruppiert. Sie können die Lösungsgruppe erweitern und alle gesammelten Protokolle anzeigen. Sie können auch eins der Protokolle im Tabellenbereich auswählen. Sie können eine Vorschau der Daten ausführen oder dieses Protokoll zum Abschnitt Favoriten hinzufügen.

Im folgenden Screenshot werden die Protokolle dargestellt, die in der Microsoft Sentinel-Lösung gesammelt werden.

Screenshot displaying the Tables view.

Bereich „Abfragen“

Verwenden Sie den Bereich Abfragen zum Erstellen von Abfragen, mit denen Daten gemäß dem von Ihnen angegebenen Ausdruck abgerufen werden. Der Bereich Abfragen bietet Ihnen Unterstützung beim Schreiben einer exakten Abfrage, indem er Vorschläge bereitstellt und die erwarteten Elemente der Abfrage automatisch einsetzt.

Nutzen Sie die Funktionen der Kusto-Abfragesprache (KQL), um eine Abfrage zu schreiben, mit der Daten aus den Protokollen abgerufen werden. Im folgenden Beispiel wird veranschaulicht, wie Sie mit KQL-Code in den Abfragen gelöschte virtuelle Computer identifizieren.

AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

Kopfzeilensymbolleiste

Die Kopfzeilensymbolleiste ermöglicht weitere Interaktionen mit der Abfrage, wie im folgenden Screenshot gezeigt.

Screenshot of the header toolbar, with options described in the text following the image.

  • Speichern Sie die Abfrage im Bereich Abfrage, indem Sie Speichern auswählen. Durch diese Aktion wird ein neues Fenster geöffnet, in dem Sie zum Eingeben des Namens der gespeicherten Abfrage und Kategorie aufgefordert werden. Gespeicherte Abfragen werden im Abfrage-Explorer angezeigt.

  • Im Bereich Zeitbereich können Sie einen anderen Zeitraum angeben, um den Zeitraum zu ändern, für den die Ergebnisse der Abfrage angezeigt werden sollen.

  • Erstellen Sie einen Link für die Abfrage, und geben Sie sie für andere Teammitglieder frei, indem Sie Link in Abfrage kopieren auswählen. Sie können auch den Abfragetext kopieren.

  • Sie können über die Symbolleiste oben im Bereich Abfrage mit New Azure Monitor alert (Neue Azure Monitor-Warnung) oder New Microsoft Sentinel alert (Neue Microsoft Sentinel-Warnung) eine neue Azure Monitor- bzw. Microsoft Sentinel-Warnung erstellen. Wenn Sie sich für das Erstellen einer neuen Microsoft Sentinel-Warnung entscheiden, werden Sie zu den nächsten Schritten zum Erstellen einer Analyseregel weitergeleitet.

  • Exportieren Sie die Abfrage in eines der folgenden Formate:

    • In CSV-Datei exportieren. Exportiert alle Spalten (sichtbar und ausgeblendet) in eine CSV-Datei, die Sie in Microsoft Excel öffnen können.
    • In CSV exportieren – angezeigte Spalten. Exportiert nur die Spalten, die in den Ergebnisfenstern der Abfrage angezeigt werden.
    • In Power BI exportieren (M-Abfrage). Erstellt eine PowerBIQuery.txt-Datei und lädt sie herunter. Sie können die Datei mit der Microsoft Power BI-Anwendung öffnen.

    Sie können die Ergebnisse der Abfrage an ein privates oder freigegebenes Dashboard anheften, um die Ergebnisse der Abfrage schnell zu überprüfen.

  • Sie können mit Format query (Abfrage formatieren) auf der Kopfzeilensymbolleiste die Lesbarkeit der Abfrage verbessern.

Hinweis

Die Abfrage kann nur dann exportiert oder angeheftet werden, wenn der Abfrageausdruck Daten im Abschnitt „Abfrageergebnisse“ generiert.

Abfrageergebnisse

Unter Ergebnisse werden die Ergebnisse der Abfrage angezeigt. Sie können die Ergebnisse auch in einem Diagramm darstellen oder weitere Spalten aus- oder einblenden, um die Abfrageergebnisse zu filtern.

Überprüfen Sie Ihr Wissen

1.

Ein Administrator möchte eine zuvor gespeicherte Abfrage öffnen. Welche der folgenden Optionen müssen Administrator*innen nach dem Öffnen der Seite „Protokolle“ in Microsoft Sentinel auswählen?

2.

Der Administrator möchte aus der erstellten Abfrage eine Analyseregel erstellen. Welche Option im Bereich „Abfragen“ sollte der Administrator auswählen?