Monitorowanie i wizualizowanie danych

Ukończone

Dzienniki usługi Microsoft Sentinel zapewniają dostęp do różnych dzienników zebranych z łączników zabezpieczeń. Usługa Microsoft Sentinel zbiera te dzienniki ze swoich zintegrowanych łączników i przechowuje je w obszarze roboczym usługi Azure Log Analytics.

Obszar roboczy usługi Log Analytics

Obszar roboczy usługi Log Analytics to repozytorium, w którym są przechowywane dane i informacje o konfiguracji. Możesz tworzyć zapytania, aby filtrować ważne informacje, których następnie możesz użyć do tworzenia reguł analizy i wykrywania zagrożeń. Na przykład można użyć dzienników usługi Microsoft Sentinel do wyszukiwania danych z wielu źródeł, agregowania dużych zestawów danych i wykonywania złożonych operacji w celu zlokalizowania potencjalnych zagrożeń bezpieczeństwa i luk w zabezpieczeniach.

Eksplorowanie strony Dzienniki usługi Microsoft Sentinel

Możesz wyszukać określone dzienniki na stronie Dzienniki usługi Microsoft Sentinel. Wyświetl stronę, wybierając pozycję Dzienniki w okienku nawigacji w usłudze Microsoft Sentinel.

Strona Dzienniki zawiera następujące główne części:

• Nagłówek strony zawiera linki do sekcji Zapytania, ustawienia i pomoc.
• W okienku Tabele są wyświetlane dane zebrane z dzienników w tabelach, z których każda składa się z wielu kolumn.
• W okienku zapytania można pisać własne wyrażenia zapytań.
• W okienku wyników zapytania są wyświetlane wyniki zapytań.

Zapytania

Po wybraniu linku Zapytania w nagłówku strony zostanie otwarte nowe okno, w którym można wybrać spośród kilku wstępnie zdefiniowanych zapytań przykładowych. Z poziomu menu rozwijanego Zapytania można filtrować te zapytania na podstawie następujących elementów:

• Kategoria
• Typ kwerendy
• Typ zasobu
• Rozwiązanie
• Temat

Wybierz pozycję Uruchom , aby uruchomić wstępnie zdefiniowane zapytanie. Ta akcja przekierowuje Cię do okienka zapytania. Możesz obserwować strukturę zapytań i wyniki. Aby rozwiązać problemy firmy Contoso dotyczące nieautoryzowanych użytkowników, uruchom wstępnie zdefiniowane zapytanie Brak autoryzacji użytkowników.

Eksplorator zapytań

Użyj Eksploratora zapytań, aby uzyskać dostęp do poprzednio zapisanych zapytań. Możesz również uzyskać dostęp do kilku zapytań rozwiązań, które zasadniczo filtrują najczęściej używane zapytania, za pomocą których można filtrować dane. Z poziomu listy Zapytania rozwiązań można uruchomić zapytanie lub dodać zapytanie do ulubionych, wybierając symbol gwiazdki.

Okienko Tabele

Okienko Tabele grupuje dzienniki z różnych rozwiązań w tabele. Możesz rozwinąć grupę rozwiązań i obserwować wszystkie zebrane dzienniki. Możesz również wybrać jeden z dzienników w okienku tabel. Możesz wyświetlić podgląd danych lub dodać ten dziennik do sekcji Ulubione .

Poniższy zrzut ekranu przedstawia dzienniki zebrane w rozwiązaniu usługi Microsoft Sentinel.

Okienko Zapytania

Użyj okienka Zapytania , aby utworzyć zapytania, które pobierają dane na podstawie podanego wyrażenia. Okienko Zapytania pomaga napisać dokładne zapytanie, podając sugestie i automatycznie wypełniając oczekiwane elementy zapytania.

Skorzystaj z możliwości języka Kusto Query Language (KQL), aby napisać zapytanie, które pobiera dane z dzienników. Poniższy przykład ilustruje sposób użycia kodu KQL w zapytaniach w celu zidentyfikowania usuniętych maszyn wirtualnych.

AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

Pasek narzędzi nagłówka

Pasek narzędzi nagłówka zapewnia większą interakcję z zapytaniem, jak pokazano na poniższym zrzucie ekranu.

• Zapisz zapytanie z okienka Zapytanie, wybierając pozycję Zapisz. Ta akcja powoduje otwarcie nowego okna, w którym zostanie wyświetlony monit o wprowadzenie nazwy zapisanego zapytania i kategorii. Zapisane zapytania pojawiają się w Eksploratorze zapytań.

• W polu Zakres czasu można podać inny czas, aby zmienić zakres czasu, dla którego chcesz wyświetlać wyniki zapytania.

• Utwórz link dla zapytania i udostępnij go innym członkom zespołu, wybierając pozycję Kopiuj link do zapytania. Możesz również skopiować tekst zapytania.

• Na pasku narzędzi nagłówka w okienku Zapytanie możesz utworzyć alert New Azure Monitor lub New Microsoft Sentinel alertu. Jeśli zdecydujesz się utworzyć nowy alert usługi Microsoft Sentinel, nastąpi przekierowanie do następnych kroków tworzenia reguły analizy.

• Zapytanie możesz wyeksportować do jednego z następujących formatów:

  • Eksportuj do pliku CSV. Wyeksportuj wszystkie kolumny, zarówno widoczne, jak i ukryte, do pliku CSV, który można otworzyć za pomocą programu Microsoft Excel.
  • Eksportuj do pliku CSV — wyświetlane kolumny. Eksportuj tylko te kolumny, które są wyświetlane w oknach wyników zapytania.
  • Eksportuj do usługi Power BI (zapytanie M) Utwórz i pobierz plik PowerBIQuery.txt , który można otworzyć za pomocą aplikacji Microsoft Power BI.

  Aby szybko zbadać wyniki zapytania, możesz przypiąć je do prywatnego lub udostępnionego pulpitu nawigacyjnego.

• Aby zapytanie było bardziej czytelne, możesz użyć opcji Formatuj zapytanie na pasku narzędzi nagłówka.

Uwaga

Zapytanie można wyeksportować lub przypiąć tylko wtedy, gdy wyrażenie zapytania generuje dane w sekcji wyników zapytania.

Wyniki zapytania

W obszarze Wyniki możesz obserwować wyniki zapytania. Wyniki można również prezentować przy użyciu wykresu lub ukrywać i wyświetlać inne kolumny w celu filtrowania wyników zapytania.

Sprawdź swoją wiedzę

1.

Administrator chce otworzyć wcześniej zapisane zapytanie. Po otwarciu strony Dzienniki w usłudze Microsoft Sentinel która z następujących opcji musi wybrać administratora?

Zapytania

Eksplorator zapytań

Okienko Tabele

2.

Administrator chce utworzyć regułę analizy na podstawie utworzonego zapytania. Którą opcję w okienku zapytań powinien wybrać administrator?

Alert usługi Azure Monitor

Microsoft Sentinel Alert

Kopiuj link

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.