Oefening: gegevens visualiseren met Behulp van Microsoft Sentinel-werkmappen

  • 8 minuten

Als beveiligingstechnicus die voor Contoso werkt, ziet u verdachte activiteiten in uw Azure-abonnement en besluit u deze activiteit te analyseren met behulp van Microsoft Sentinel-werkmappen.

Oefening: Gegevens opvragen en visualiseren met Microsoft Sentinel-werkmappen

U wilt de logboeken in Microsoft Sentinel analyseren vanuit de Azure-activiteitsconnector. U wilt de visualisatie van deze gegevens verder implementeren en opslaan in een aangepaste werkmap.

In deze oefening verkent u logboeken en Microsoft Sentinel-werkmappen. U voert de volgende taken uit:

  • Interactie met logboekgegevens op de pagina Microsoft Sentinel-logboeken.
  • Een aangepaste werkmap maken en bewerken om belangrijke gegevens te visualiseren.

Notitie

U moet de query hebben voltooid en gegevens visualiseren met de eenheid Microsoft Sentinel-werkmappen voordat u deze oefening kunt voltooien. Als u dit nog niet hebt gedaan, doet u dat nu en gaat u vervolgens verder met de stappen in de oefening.

Taak 1: Werken met logboeken in Microsoft Sentinel

  1. Zoek en selecteer Microsoft Sentinel in Azure Portal en selecteer vervolgens de eerder gemaakte Microsoft Sentinel-werkruimte.

  2. Selecteer Logboeken in de sectie Algemeen op de pagina Microsoft Sentinel.

    Notitie

    Wanneer u de pagina Logboeken voor het eerst opent, wordt u mogelijk omgeleid naar het venster Query's. Sluit het venster Query's en ga terug naar de sectie Nieuwe query 1.

  3. Op Microsoft Sentinel | De pagina Logboeken , in het deelvenster Tabellen , in de vervolgkeuzelijst Groeperen op: Oplossing , selecteert u Categorie.

  4. Vouw in het deelvenster Tabellen in de lijst met tabellen de categorie Azure-resources uit, verplaats de cursor over de Azure-activiteitstabel of gebruik de Tab-toets om naar de tabel te navigeren en selecteer vervolgens Voorbeeldgegevens.

  5. Selecteer in het venster AzureActivity de optie Weergeven in query-editor. Met deze optie kunt u een voorbeeld van de gegevens bekijken en controleren of de resultaten zijn zoals verwacht voordat u er daadwerkelijk een query mee uitvoert.

    Schermopname van het deelvenster Tabellen.

    In de sectie Query kunt u de querystructuur bekijken. Met deze query worden de laatste tien gebeurtenissen gezocht en weergegeven op basis van het Azure-activiteitenlogboek. De eerste rij in de query AzureActivity geeft de tabel op die in de query wordt gebruikt. De tweede regel bevat een where instructie waarmee de records van de laatste dag worden gefilterd. De derde regel bevat een andere instructie om alleen de laatste tien gebeurtenissen te filteren.

    In de sectie Queryresultaten vindt u de resultaten van de query. U kunt de records uitvouwen om de waarden in de tabel te controleren. Selecteer de naam van een kolom om de resultaten op die kolom te sorteren.

  6. Selecteer het filterpictogram naast de kolom om een filtervoorwaarde op te geven. Deze methode is vergelijkbaar met het toevoegen van een filtervoorwaarde aan de query zelf, behalve dat dit filter wordt gewist als u de query opnieuw uitvoert. Als u het vervolgkeuzemenu Kolommen selecteert, kunt u de kolommen filteren in de tabel die u wilt weergeven. Door Kolommen groeperen te selecteren, kunt u records groeperen op een specifieke kolom.

    Schermopname van de Queryresultaten, waarin de vorige items zijn opgeroepen.

  7. Selecteer tabblad Query's in het linkerdeelvenster. Dit deelvenster bevat voorbeeldquery's die u aan het queryvenster kunt toevoegen. Als u uw eigen werkruimte gebruikt, moet u verschillende query's in meerdere categorieën hebben. Als u de demonstratieomgeving gebruikt, ziet u mogelijk slechts één categorie Log Analytics-werkruimten .

    Notitie

    U kunt het schrijven van query's oefenen in de volgende demonstratieomgeving.

Taak 2: Werken met werkmappen in Microsoft Sentinel

  1. Selecteer Werkmappen op de pagina Microsoft Sentinel in de sectie Bedreigingsbeheer.

  2. Op Microsoft Sentinel | De pagina Werkmappen, selecteer het tabblad Sjablonen .

  3. Voer in het veld Zoeken Azure-activiteit in en selecteer deze.

  4. Controleer in het deelvenster Details de informatie die voor de sjabloon is opgegeven en selecteer vervolgens Opslaan. Selecteer in het venster Werkmap opslaan in... dezelfde locatie die u in de voorbereidingsoefening hebt geselecteerd en selecteer vervolgens OK.

  5. Op Microsoft Sentinel | De pagina Werkmappen, selecteer het tabblad Mijn werkmappen . Selecteer Azure-activiteit in de lijst met opgeslagen sjablonen. Selecteer vervolgens in het detailvenster de optie Opgeslagen werkmap weergeven.

  6. Controleer op de pagina Azure-activiteit- sentinelname alle elementen van de werkmap. U kunt interactief met de werkmap werken door een aantal van de elementen te selecteren.

  7. Selecteer het veld Tijdsbereik om een ander tijdsbereik te selecteren voor de records die worden weergegeven in de Tabel Azure-activiteit . Selecteer de vervolgkeuzelijst Aanroeper om de records te filteren op basis van de gebruiker of service die de gebeurtenissen genereert. Selecteer de vervolgkeuzelijst Resourcegroep om de gebeurtenissen te filteren op basis van een specifieke resourcegroep.

    Schermopname van de pagina Azure-activiteit waarin de vorige elementen zijn opgeroepen.

  8. Schuif omlaag naar de tabel Activiteiten van oproepende functie. Hiermee worden de activiteiten weergegeven die door uw gebruikers of beveiligingsprincipals worden uitgevoerd. Sorteer de tabelgegevens in elke kolom door de pijlen in de kolomkop te selecteren.

  9. Schuif omhoog naar de titelbalk op de pagina Azure-activiteit- sentinelname. Selecteer de optie Bewerken om de werkmap over te zetten naar de bewerkmodus. Bekijk de diverse opties voor Bewerken die op de pagina worden weergegeven.

  10. Selecteer de eerste optie voor Bewerken. Met deze actie wordt het bewerkingsvenster weergegeven voor een van de stappen in de werkmap. U kunt de presentatie van de elementen aanpassen door de stijl aan te passen en ze in verschillende volgorde te rangschikken.

  11. U kunt andere parameters toevoegen met verschillende typen, zoals tekst, vervolgkeuzelijst, meerdere waarden of vergelijkbaar.

  12. Selecteer Parameters toevoegen.

  13. Voer op de pagina Nieuwe parameter de volgende waarden in:

    Name Beschrijving
    Parameternaam Niveau
    Weergavenaam Niveau
    Parametertype Selecteer vervolgkeuzelijst in de vervolgkeuzelijst.
    Vereist?: Schakel dit selectievakje in.
    Meerdere selecties toestaan Schakel dit selectievakje in.
    Meerdere selecties beperken Schakel dit selectievakje niet in.
    Scheidingsteken Bewaar de standaardwaarden.
    Citeren met Bewaar de standaardwaarden.
    Uitleg Met deze parameter worden de gebeurtenissen gefilterd op basis van het niveau.
    Parameter in leesmodus verbergen Schakel dit selectievakje niet in.
    Gegevens ophalen van Query

  14. Voer in de sectie Query uitvoeren op logboeken in Log Analytics-werkruimte de volgende query in en selecteer vervolgens Query uitvoeren.

    AzureActivity
|summarize by Level

  15. Controleer of het queryresultaat twee typen gebeurtenissen retourneert op basis van het niveau: Informatief en Waarschuwing.

    Schermopname van het deelvenster Nieuwe parameter, met stappen voor het toevoegen van een nieuwe parameter. De opties Opslaan, Query, Query uitvoeren en de sectie AzureActivity zijn gemarkeerd in de schermafbeelding.

  16. Selecteer Opslaan om de wijzigingen door te voeren en u ziet dat de parameterstap nu een parameter met de naam Niveau bevat.

    Tip

    In de bewerkingsmodus kunt u het beletselteken naast de optie Bewerken selecteren om een nieuw vervolgkeuzemenu weer te geven. Vanuit dat menu kunt u deze stap naar andere delen van de werkmap verplaatsen. U kunt de stap ook klonen of verwijderen op basis van de werkmap.

  17. Selecteer op de titelbalk het pictogram Opslaan als om de aangepaste werkmap op te slaan.

  18. Geef in het veld Titel een naam op voor de nieuwe werkmap en selecteer vervolgens Opslaan.

  19. Wanneer u klaar bent met het aanbrengen van wijzigingen, selecteert u Klaar met bewerken.

    Tip

    Uw nieuwe werkmap is toegankelijk vanuit Microsoft Sentinel | Het deelvenster Werkmappen op het tabblad Mijn werkmappen . Als uw nieuwe werkmap niet wordt weergegeven, selecteert u de optie Vernieuwen .

De resources opschonen

  1. Zoek in Azure Portal naar Resourcegroepen.
  2. Selecteer azure-sentinel-rg.
  3. Selecteer in de koptekstbalk Resourcegroep verwijderen.
  4. Voer in het veld TYP DE NAAM VAN DE RESOURCEGROEP: de naam in van de resourcegroep azure-sentinel-rg en selecteer Verwijderen.