Standaardwerkmappen van Microsoft Sentinel gebruiken
Microsoft Sentinel biedt verschillende sjablonen die klaar zijn voor gebruik. U kunt deze sjablonen gebruiken om uw eigen werkmap te maken en deze vervolgens waar nodig aan te passen voor Contoso.
Microsoft Sentinel-werkmappen
De meeste gegevensconnectors die Microsoft Sentinel gebruikt om gegevens op te nemen, worden geleverd met hun eigen werkmappen. U kunt inzicht krijgen in de gegevens die worden opgenomen met behulp van tabellen en visualisaties, waaronder staaf- en cirkeldiagrammen. U kunt ook uw eigen werkmappen helemaal zelf maken in plaats van de vooraf gedefinieerde sjablonen te gebruiken.
De pagina Werkmap
U kunt de pagina Werkmappen voor Microsoft Sentinel openen vanuit het navigatiedeelvenster. Op de pagina Werkmappen kunt u een nieuwe werkmap toevoegen en de opgeslagen werkmappen en sjablonen bekijken die beschikbaar zijn.
U kunt bestaande werkmapsjablonen openen op het tabblad Sjablonen . U kunt enkele werkmappen opslaan voor snelle toegang. Ze worden weergegeven op het tabblad Mijn werkmappen .
Op het tabblad Sjablonen kunt u een bestaande werkmap selecteren om er een detailvenster voor weer te geven, dat aanvullende informatie voor de sjabloon bevat. Het detailvenster bevat ook informatie over de vereiste gegevenstypen en gegevensconnectors die moeten worden verbonden met Microsoft Sentinel. U kunt ook bekijken hoe het rapport wordt weergegeven.
Een bestaande werkmapsjabloon controleren
Zoals eerder is gezegd, maakt Contoso zich zorgen over verdachte identiteiten. Als beveiligingsbeheerder kunt u de bestaande werkmap voor aanmeldingslogboeken van Microsoft Entra onderzoeken door die sjabloon te selecteren in de sectie Sjablonen . Selecteer vervolgens De sjabloon Weergeven in het detailvenster.
De microsoft Entra-aanmeldingslogboekenwerkmap bevat vooraf gedefinieerde grafieken, grafieken en tabellen die belangrijk inzicht kunnen bieden in de aanmeldingsactiviteit in Microsoft Entra-id. U kunt informatie vinden over gebruikersaanmeldingen en -locaties, e-mailadressen en IP-adressen van uw gebruikers. U kunt ook informatie bekijken over mislukte activiteiten en de fouten die de fouten hebben geactiveerd.
Op de aanmeldingslogboekenpagina van Microsoft Entra kunt u het tijdsbereik uitvouwen of de apps en gebruikers met aanmeldingsbevoegdheden filteren in Microsoft Entra-id. Contoso wil bijvoorbeeld gebruikers identificeren die zich kunnen aanmelden bij Azure Portal, zodat u de gegevens als volgt kunt filteren.
Contoso is geïnteresseerd in het identificeren van de mislukte aanmeldingspogingen. U kunt deze accounts weergeven door de informatietegels te selecteren en vervolgens een tegel of rij te selecteren om meer informatie weer te geven, zoals:
- Aanmeldingen op locatie. In deze sectie wordt de locatie aangegeven van waaruit de gebruiker zich heeft aangemeld bij Microsoft Entra ID.
- Aanmeldingsgegevens voor locatie. In deze sectie worden de gebruikers, hun aanmeldingsstatus en het tijdstip van de aanmeldingspoging weergegeven.
- Aanmeldingen per apparaat. In deze sectie vindt u een lijst met apparaten die door de gebruikers worden gebruikt om zich aan te melden bij Microsoft Entra-id.
- Aanmeldingsgegevens voor het apparaat. In deze sectie worden de gebruikers weergegeven die zich op een specifiek apparaat hebben aangemeld, plus het tijdstip waarop ze zich hebben aangemeld.
Deze informatietegel op de achtergrond is geconfigureerd voor het uitvoeren van de query en het filteren van de gegevens die zijn verzameld vanuit de Microsoft Entra-connector. Microsoft Sentinel visualiseert en presenteert vervolgens de gegevens die worden verzameld met behulp van tabellen, die zinvoller zijn en nuttig inzicht bieden in aanmeldingspogingen van gebruikers.
De werkmap bevat andere tegels die aangeven welke gebruikers zich hebben aangemeld met voorwaardelijke toegang. In de tabel Status van voorwaardelijke toegang kunt u gebruikers controleren die meervoudige verificatie nodig hebben om hun identiteit te valideren.
De rest van de pagina bevat ook tabellen en grafieken die interactief zijn. Selecteer enkele rijen of tegels om de weergegeven gegevens te filteren. Sommige tabellen worden gemaakt met koppelingen naar bijbehorende logboeken, zoals wordt weergegeven in de volgende schermopname.
Notitie
U kunt de querystap ook vastmaken op het privédashboard of op het gedeelde dashboard, zodat u deze snel kunt openen.
De query bewerken vanuit de werkmap
Contoso wil bijvoorbeeld zoeken in de logboeken voor meer informatie die de mislukte aanmelding van de gebruiker weergeeft. Ze worden omgeleid naar Azure Data Explorer, waar Microsoft Sentinel de logboekquery uitvoert om de informatie te filteren.
Opgeslagen werkmappen verkennen
Op de pagina Sjablonen kunt u een werkmap opslaan op basis van bestaande sjablonen door een van de sjablonen te selecteren en vervolgens Opslaan te selecteren . U moet een locatie opgeven om aan te geven waar u de werkmap wilt opslaan. Met dit proces maakt u een Azure-resource op basis van de sjabloon met het JSON-bestand van de sjabloon.
Opgeslagen werkmappen zijn beschikbaar op het tabblad Mijn werkmappen , waar u ze kunt aanpassen. U kunt opgeslagen werkmappen openen door Opgeslagen werkmap weergeven te selecteren. Met deze actie wordt dezelfde pagina geopend als de werkmappagina van de sjabloon, maar u kunt deze aanpassen op basis van de vereisten van Contoso.
Selecteer Bewerken om de werkmap te openen in de bewerkingsmodus. U kunt items toevoegen of verwijderen en meer aanpassingen bieden. In de bewerkmodus wordt alle inhoud in de werkmap weergegeven, waaronder stappen en parameters die in de leesmodus verborgen zouden zijn.
De titelbalk in de bewerkmodus bevat diverse opties, die in de volgende schermopname worden weergegeven.
Wanneer u overschakelt naar de bewerkingsmodus, ziet u verschillende bewerkingsopties die overeenkomen met elk afzonderlijk aspect van uw werkmap. Als u een van deze bewerkingsopties selecteert, kunt u de query onderzoeken die Door Microsoft Sentinel wordt gebruikt om de gegevens uit het bijbehorende logboek te filteren.
Wanneer u het pictogram Instellingen selecteert, wordt de pagina Instellingen geopend, waar u andere resources kunt opgeven die u in de werkmap wilt gebruiken. U kunt ook de stijl van de werkmap wijzigen, tags opgeven of een item in de werkmap vastmaken.
U kunt de plaatsing van verschillende tabellen in de werkmap opnieuw rangschikken door Opties voor vastmaken weergeven te selecteren.
Voor geavanceerde aanpassing kunt u Geavanceerde editor selecteren om de JSON-weergave van de huidige werkmap te openen en deze vervolgens verder aan te passen in de teksteditor. U kunt uw wijzigingen in de bestaande werkmap opslaan of opslaan als een andere werkmap. Wanneer u klaar bent met alle aanpassingen, kunt u de bewerkingsmodus afsluiten door Gereed bewerken te selecteren.
De Microsoft Sentinel-opslagplaats op GitHub verkennen
De Microsoft Sentinel-opslagplaats bevat out-of-the-box-detecties, verkenningsquery's, opsporingsquery's, werkmappen, playbooks en meer om u te helpen uw omgeving te beveiligen en bedreigingen te detecteren. Microsoft en de Microsoft Sentinel-community dragen bij aan deze opslagplaats.
De opslagplaats bevat mappen met bijgedragen inhoud voor verschillende gebieden van microsoft Sentinel-functionaliteit, waaronder detectiequery's. U kunt de code van deze query's gebruiken om aangepaste query's te maken in uw Microsoft Sentinel-werkruimte.