Exercice - Visualiser des données en utilisant des workbooks Microsoft Sentinel

  • 8 minutes

En tant qu’ingénieur de la sécurité travaillant pour Contoso, vous remarquez des activités suspectes dans votre abonnement Azure et décidez d’analyser cette activité en utilisant des workbooks Microsoft Sentinel.

Exercice - Interroger et visualiser des données avec des workbooks Microsoft Sentinel

Vous voulez analyser les journaux dans Microsoft Sentinel à partir du connecteur Activité Azure. Vous voulez implémenter une visualisation de ces données et l’enregistrer dans un workbook personnalisé.

Dans cet exercice, explorez des journaux et des workbooks Microsoft Sentinel. Vous effectuez les tâches suivantes :

  • Interagir avec les données de journaux dans la page Journaux de Microsoft Sentinel.
  • Créer et modifier un workbook personnalisé pour visualiser les données importantes.

Notes

Vous devez avoir terminé l’unité Interroger et visualiser des données avec des workbooks Microsoft Sentinel pour pouvoir effectuer cet exercice. Si ce n’est déjà fait, terminez-le maintenant, puis poursuivez avec les étapes de l’exercice.

Tâche 1 : Utiliser des journaux dans Microsoft Sentinel

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel, puis sélectionnez l’espace de travail Microsoft Sentinel précédemment créé.

  2. Dans la page Microsoft Sentinel, dans la section Général, sélectionnez Journaux.

    Notes

    Quand vous ouvrez la page Journaux pour la première fois, vous pouvez être redirigé vers la fenêtre Requêtes. Fermez la fenêtre Requêtes et revenez à la section Nouvelle requête 1.

  3. Dans la page Microsoft Sentinel | Journaux, dans le volet Tables, dans le menu déroulant Grouper par : Solution, sélectionnez Catégorie.

  4. Dans le volet Tables, dans la liste des tables, développez la catégorie Ressources Azure, déplacez le curseur sur la table Activité Azure ou utilisez la touche Tab pour accéder à la table, puis sélectionnez Aperçu des données.

  5. Dans la fenêtre AzureActivity, sélectionnez Afficher dans l’éditeur de requête. Cette option vous permet d’afficher un aperçu des données et de vérifier si les résultats s’affichent comme prévu avant d’exécuter réellement une requête avec ces données.

    Capture d’écran du volet Tables.

    Dans la section Requête, vous pouvez observer la structure de la requête. Cette requête recherche et présente les 10 derniers événements du journal d’activité Azure. La première ligne de la requête, AzureActivity, spécifie la table utilisée dans la requête. La deuxième ligne contient une instruction where qui filtre les enregistrements du dernier jour. La troisième ligne contient une autre instruction pour filtrer seulement les 10 derniers événements.

    La section Résultats de la requête présente les résultats de la requête. Vous pouvez développer n’importe quel enregistrement pour passer en revue les valeurs de la table. Sélectionnez le nom d’une colonne pour trier les résultats selon cette colonne.

  6. Sélectionnez l’icône de filtre en regard de celle-ci pour fournir une condition de filtre. Cette approche est similaire à l’ajout d’une condition de filtre à la requête elle-même, sauf que ce filtre est effacé si vous réexécutez la requête. Si vous sélectionnez le menu déroulant Colonnes, vous pouvez filtrer les colonnes de la table que vous voulez afficher. En sélectionnant Regrouper des colonnes, vous pouvez regrouper les enregistrements selon une colonne particulière.

    Capture d’écran des résultats de la requête avec les éléments précédents en évidence.

  7. Sélectionnez l’onglet Requêtes dans le volet gauche. Ce volet comprend des exemples de requêtes que vous pouvez ajouter à la fenêtre de requête. Si vous utilisez votre propre espace de travail, vous devriez avoir diverses requêtes dans plusieurs catégories. Si vous utilisez l’environnement de démonstration, vous ne verrez peut-être qu’une seule catégorie d’espaces de travail Log Analytics.

    Notes

    Vous pouvez essayer d’écrire des requêtes dans l’environnement de démonstration suivant.

Tâche 2 : Utiliser des workbooks dans Microsoft Sentinel

  1. Dans la page Microsoft Sentinel, dans la section Gestion des menaces, sélectionnez Workbooks.

  2. Dans la page Microsoft Sentinel | Workbooks, sélectionnez l’onglet Modèles.

  3. Dans le champ Rechercher, entrez et sélectionnez Activité Azure.

  4. Dans le volet d’informations, passez en revue les informations fournies pour le modèle, puis sélectionnez Enregistrer. Dans la fenêtre Enregistrer le workbook dans..., sélectionnez le même emplacement que celui que vous avez sélectionné dans l’exercice de préparation, puis sélectionnez OK.

  5. Dans la page Microsoft Sentinel | Workbooks, sélectionnez l’onglet Mes workbooks. Dans la liste des modèles enregistrés, sélectionnez Activité Azure. Ensuite, dans le volet d’informations, sélectionnez Afficher le workbook enregistré.

  6. Dans la page Activité Azure- sentinelname, passez en revue tous les éléments du workbook. Vous pouvez interagir avec le workbook en sélectionnant certains des éléments.

  7. Sélectionnez le champ Plage horaire pour sélectionner une plage horaire différente pour les enregistrements présentés dans la table Activité Azure. Sélectionnez le menu déroulant Appelant pour filtrer les enregistrements en fonction de l’utilisateur ou du service qui génère les événements. Sélectionnez le menu déroulant Groupe de ressources pour filtrer les événements en fonction d’un groupe de ressources spécifique.

    Capture d’écran de la page Activité Azure, avec les éléments précédents mis en évidence.

  8. Faites défiler jusqu’à la table Activités de l’appelant, qui affiche les activités exécutées par vos utilisateurs ou vos principaux de sécurité. Triez les données de la table dans chaque colonne en sélectionnant les flèches dans l’en-tête de colonne.

  9. Faites défiler vers le haut jusqu’à la barre d’en-tête dans la page Activité Azure- sentinelname. Sélectionnez l’option Modifier pour passer le workbook en mode d’édition. Observez les différentes options de Modifier qui s’affichent sur la page.

  10. Sélectionnez la première option de Modifier. Cette action affiche le volet de modification pour une des étapes du workbook. Vous pouvez personnaliser la présentation des éléments en ajustant le style et en les réorganisant dans un ordre différent.

  11. Vous pouvez ajouter d’autres paramètres avec différents types, notamment texte, liste déroulante, valeurs multiples ou valeurs similaires.

  12. Sélectionnez Ajouter des paramètres.

  13. Dans la page Nouveau paramètre, entrez les valeurs suivantes :

    Nom Description
    Nom du paramètre Level
    Nom d’affichage Level
    Type de paramètre Dans le menu déroulant, sélectionnez Liste déroulante.
    Obligatoire ? Activez cette case à cocher.
    Autoriser les sélections multiples Activez cette case à cocher.
    Limiter les sélections multiples Ne cochez pas cette case.
    Délimiteur Conservez les valeurs par défaut.
    Mettre des guillemets avec Conservez les valeurs par défaut.
    Explication Ce paramètre filtre les événements en fonction du niveau.
    Masquer le paramètre en mode de lecture Ne cochez pas cette case.
    Obtenir des données à partir de Query

  14. Dans la section Requête de journaux de l’espace de travail Log Analytics, entrez la requête suivante, puis sélectionnez Exécuter la requête.

    AzureActivity
|summarize by Level

  15. Vérifiez que le résultat de la requête retourne deux types d’événements en fonction du niveau : Caractère informatif et Avertissement.

    Capture d’écran du volet Nouveau paramètre, avec les étapes pour ajouter un nouveau paramètre. Les options Enregistrer, Requête, Exécuter la requête et la section AzureActivity sont mises en évidence dans la capture d’écran.

  16. Sélectionnez Enregistrer pour valider les modifications : vous notez alors que l’étape des paramètres inclut maintenant un paramètre appelé Niveau.

    Conseil

    En mode d’édition, vous pouvez sélectionner l’icône de points de suspension en regard de l’option Modifier pour afficher un nouveau menu déroulant. À partir de ce menu, vous pouvez déplacer cette étape vers différentes parties du workbook. Vous pouvez également cloner ou supprimer l’étape dans le workbook.

  17. Dans la barre d’en-tête, sélectionnez l’icône Enregistrer sous pour enregistrer le workbook personnalisé.

  18. Dans le champ Titre, spécifiez un nom pour le nouveau workbook, puis sélectionnez Enregistrer.

  19. Quand vous avez fini d’apporter des modifications, sélectionnez Modification terminée.

    Conseil

    Votre nouveau workbook est accessible à partir du volet Microsoft Sentinel | Workbooks sous l’onglet Mes workbooks. Si votre nouveau workbook n’est pas listé, sélectionnez l’option Actualiser.

Nettoyer les ressources

  1. Dans le portail Azure, recherchez Groupes de ressources.
  2. Sélectionnez azure-sentinel-rg.
  3. Dans la barre d’en-tête, sélectionnez Supprimer le groupe de ressources.
  4. Dans le champ TAPEZ LE NOM DU GROUPE DE RESSOURCES, entrez le nom du groupe de ressources azure-sentinel-rg, puis sélectionnez Supprimer.