Gegevens bewaken en visualiseren
Microsoft Sentinel-logboeken bieden u toegang tot de verschillende logboeken die zijn verzameld via de beveiligingsconnectors. Microsoft Sentinel verzamelt deze logboeken van de geïntegreerde connectors en slaat deze op in de Azure Log Analytics-werkruimte.
Log Analytics-werkruimte
De Log Analytics-werkruimte is een opslagplaats waarin gegevens en configuratiegegevens worden opgeslagen. U kunt query's maken om belangrijke informatie te filteren, die u vervolgens kunt gebruiken om analyseregels te maken en bedreigingen te detecteren. U kunt bijvoorbeeld Microsoft Sentinel-logboeken gebruiken om gegevens uit meerdere bronnen te doorzoeken, grote gegevenssets samen te voegen en complexe bewerkingen uit te voeren om potentiële beveiligingsrisico's en beveiligingsproblemen te vinden.
De pagina Microsoft Sentinel-logboeken verkennen
U kunt zoeken naar specifieke logboeken op de pagina Microsoft Sentinel-logboeken . Bekijk de pagina door Logboeken te selecteren in het navigatiedeelvenster in Microsoft Sentinel.
De pagina Logboeken bevat de volgende hoofdonderdelen:
- De paginakoptekst bevat koppelingen naar de sectie Query's, instellingen en Help.
- In het deelvenster Tabellen staan de verzamelde gegevens van de logboeken in tabellen die elk weer uit een aantal kolommen bestaan.
- Het querydeelvenster is de locatie voor het schrijven van uw eigen query-expressies.
- In het deelvenster met queryresultaten staan de resultaten van uw query's.
Query's
Wanneer u de koppeling Query's op de paginakoptekst selecteert, wordt een nieuw venster geopend waarin u een deel van de vooraf gedefinieerde voorbeeldquery's kunt selecteren. In het vervolgkeuzemenu Query's kunt u deze query's filteren op basis van:
- Categorie
- Querytype
- Resourcetype
- Oplossing
- Onderwerp
Selecteer Uitvoeren om een vooraf gedefinieerde query te starten. Met deze actie wordt u omgeleid naar het queryvenster. U kunt de querystructuur en de resultaten bekijken. Voer de vooraf gedefinieerde query Niet-geautoriseerde gebruikers uit om de bezorgdheid van Contoso over niet-geautoriseerde gebruikers te verhelpen.
Queryverkenner
Gebruik Query Explorer om toegang te krijgen tot uw eerder opgeslagen query's. U kunt ook toegang krijgen tot een aantal Oplossingsquery's. Hier ziet u de meestgebruikte query's waarmee u de gegevens kunt filteren. Vanuit de lijst Oplossingsquery's kunt u ofwel de query uitvoeren of de query organiseren in de sectie Favorieten door het stersymbool te selecteren.
Het deelvenster Tabellen
Op het deelvenster Tabellen worden logboeken van verschillende oplossingen in tabellen gegroepeerd. U kunt de oplossingsgroep uitvouwen en alle logboeken bekijken die zijn verzameld. U kunt ook een van de logboeken selecteren in het deelvenster Tabellen. U kunt een voorbeeld van de gegevens bekijken of dat logboek toevoegen aan de sectie Favorieten .
In de volgende schermopname worden de logboeken weergegeven die zijn verzameld in de Microsoft Sentinel-oplossing.
Het deelvenster Query's
Gebruik het deelvenster Query's om query's te maken waarmee gegevens worden opgehaald op basis van de expressie die u opgeeft. Het deelvenster Query's helpt u bij het schrijven van een nauwkeurige query door suggesties te geven en automatisch de verwachte elementen van de query in te vullen.
Profiteer van de mogelijkheden van de Kusto Query Language (KQL) om een query te schrijven waarmee gegevens uit de logboeken worden opgehaald. In het volgende voorbeeld ziet u hoe u KQL-code in uw query's gebruikt om verwijderde virtuele machines te identificeren.
AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
Kopwerkbalk
De koptekstwerkbalk biedt meer interactie met de query, zoals wordt weergegeven in de volgende schermopname.
Sla de query op in het deelvenster Query door Opslaan te selecteren. Met deze actie wordt een nieuw venster geopend waarin u wordt gevraagd om de naam van de opgeslagen query en categorie in te voeren. Opgeslagen query's worden weergegeven in de Queryverkenner.
In het veld Tijdsbereik kunt u een andere tijd opgeven om het tijdsbereik te wijzigen waarvoor u de resultaten van de query wilt weergeven.
Maak een koppeling voor de query en deel deze met andere teamleden door Koppeling naar query kopiëren te selecteren. U kunt ook de querytekst kopiëren.
Vanuit de koptekstwerkbalk in het deelvenster Query kunt u een nieuwe Azure Monitor-waarschuwing of een nieuwe Microsoft Sentinel-waarschuwing maken. Als u ervoor kiest om een nieuwe Microsoft Sentinel-waarschuwing te maken, wordt u omgeleid naar de volgende stappen voor het maken van een analyseregel.
Exporteer de query in een van de volgende indelingen:
- Exporteren naar CSV. Exporteer alle kolommen, zowel zichtbaar als verborgen, naar een CSV-bestand dat u kunt openen met Microsoft Excel.
- Exporteren naar CSV-weergegeven kolommen. Exporteer alleen de kolommen die worden weergegeven in de resultatenvensters van de query.
- Exporteren naar Power BI (M-query). Maak en download een PowerBIQuery.txt-bestand dat u kunt openen met de Microsoft Power BI-toepassing.
U kunt de resultaten van de query vastmaken aan een privé-dashboard of een gedeeld dashboard om de resultaten van de query snel te bestuderen.
U kunt Query opmaken op de kopwerkbalk gebruiken om de query leesbaarder te maken.
Notitie
U kunt de query alleen exporteren of vastmaken als met de query-expressie gegevens worden gegenereerd in de sectie met queryresultaten.
Queryresultaten
Onder Resultaten kunt u de resultaten van de query bekijken. U kunt de resultaten ook presenteren met behulp van een grafiek of andere kolommen verbergen en weergeven om de queryresultaten te filteren.