Używanie domyślnych skoroszytów usługi Microsoft Sentinel

  • 5 min

Usługa Microsoft Sentinel udostępnia kilka szablonów gotowych do użycia. Korzystając z tych szablonów, możesz utworzyć własny skoroszyt, a następnie zmodyfikować go zgodnie z potrzebami firmy Contoso.

Skoroszyty usługi Microsoft Sentinel

Większość łączników danych używanych przez usługę Microsoft Sentinel do pozyskiwania danych pochodzi z własnych skoroszytów. Możesz uzyskać wgląd w dane pozyskiwane przy użyciu tabel i wizualizacji, w tym wykresów słupkowych i kołowych. Możesz również tworzyć własne skoroszyty od podstaw zamiast korzystać ze wstępnie zdefiniowanych szablonów.

Strona skoroszytu

Dostęp do strony Skoroszyty dla usługi Microsoft Sentinel można uzyskać w okienku nawigacji. Na stronie Skoroszyty możesz dodać nowy skoroszyt i przejrzeć zapisane skoroszyty i szablony, które są dostępne.

Dostęp do istniejących szablonów skoroszytów można uzyskać na karcie Szablony . Niektóre skoroszyty można zapisać w celu uzyskania szybkiego dostępu. Są one wyświetlane na karcie Moje skoroszyty .

Na karcie Szablony możesz wybrać istniejący skoroszyt, aby wyświetlić okienko szczegółów, które zawiera dodatkowe informacje dotyczące szablonu. Okienko szczegółów zawiera również informacje o wymaganych typach danych i łącznikach danych, które muszą być połączone z usługą Microsoft Sentinel. Możesz również przejrzeć sposób wyświetlania raportu.

Przeglądanie szablonu istniejącego skoroszytu

Jak wspomniano wcześniej, firmę Contoso martwi naruszenie zabezpieczeń tożsamości. Jako administrator zabezpieczeń możesz sprawdzić istniejący skoroszyt dzienników logowania firmy Microsoft, wybierając ten szablon w sekcji Szablony . Następnie wybierz pozycję Wyświetl szablon w okienku szczegółów.

Skoroszyt dzienników logowania firmy Microsoft entra zawiera wstępnie zdefiniowane wykresy, grafy i tabele, które mogą zapewnić ważne informacje na temat aktywności logowania w usłudze Microsoft Entra ID. Są tam informacje o logowaniach i lokalizacjach, adresach e-mail oraz adresach IP użytkowników. Możesz również przejrzeć informacje o działaniach, które zakończyły się niepowodzeniem i błędach, które wyzwoliły błędy.

Na stronie Dzienniki logowania firmy Microsoft możesz rozszerzyć zakres czasu lub filtrować aplikacje i użytkowników z uprawnieniami logowania w usłudze Microsoft Entra ID. Na przykład firma Contoso chce zidentyfikować użytkowników, którzy mogą zalogować się do witryny Azure Portal, aby można było filtrować dane w następujący sposób.

Zrzut ekranu przedstawiający analizę logowania z filtrowaniem użytkowników, którzy logują się do witryny Azure Portal.

Firma Contoso interesuje się identyfikowaniem nieudanych prób logowania. Możesz wyświetlić te konta, wybierając kafelki informacji, a następnie wybierając kafelek lub wiersz, aby wyświetlić więcej informacji, takich jak:

  • Logowania według lokalizacji. Ta sekcja wskazuje lokalizację, z której użytkownik zalogował się do identyfikatora Entra firmy Microsoft.
  • Szczegóły logowania do lokalizacji. Ta sekcja zawiera listę użytkowników, ich stan logowania oraz godzinę próby logowania.
  • Logowania według urządzenia. W tej sekcji wymieniono urządzenia używane przez użytkowników do logowania się do identyfikatora Entra firmy Microsoft.
  • Szczegóły logowania urządzenia. Ta sekcja zawiera listę użytkowników, którzy zalogowali się na określonym urządzeniu, oraz godzinę, o której się zalogowali.

Ten kafelek informacji w tle jest skonfigurowany do uruchamiania zapytania i filtrowania danych zebranych z łącznika Microsoft Entra. Usługa Microsoft Sentinel następnie wizualizuje i prezentuje dane zebrane przy użyciu tabel, które są bardziej znaczące i zapewniają przydatne szczegółowe informacje na temat prób logowania użytkowników.

Skoroszyt zawiera inne kafelki wskazujące użytkowników, którzy zalogowali się przy użyciu dostępu warunkowego. W tabeli Stan dostępu warunkowego możesz przejrzeć użytkowników, którzy wymagali uwierzytelniania wieloskładnikowego, aby zweryfikować swoją tożsamość.

Zrzut ekranu przedstawiający działanie dostępu warunkowego.

Pozostała część strony zawiera również tabele i wykresy, które są interaktywne. Wybierz niektóre wiersze lub kafelki, aby filtrować prezentowane dane. Niektóre tabele są tworzone z linkami do odpowiednich dzienników, jak pokazano na poniższym zrzucie ekranu.

Zrzut ekranu przedstawiający linki umożliwiające otworzenie zapytania w usłudze Azure Data Explorer lub przypięcie zapytania do pulpitu nawigacyjnego.

Uwaga

Możesz również przypiąć krok zapytania do prywatnego lub udostępnionego pulpitu nawigacyjnego na potrzeby szybkiego pobierania.

Edytowanie zapytania ze skoroszytu

Na przykład firma Contoso chce przeszukać dzienniki, aby uzyskać więcej informacji, które przedstawiają nieudane logowanie użytkownika. Są one przekierowywane do usługi Azure Data Explorer, gdzie usługa Microsoft Sentinel wykonuje zapytanie dziennika w celu filtrowania informacji.

Zrzut ekranu przedstawiający usługę Data Explorer.

Eksplorowanie zapisanych skoroszytów

Na stronie Szablony możesz zapisać skoroszyt z istniejących szablonów, wybierając jeden z szablonów, a następnie wybierając pozycję Zapisz. Musisz podać lokalizację, aby wskazać, gdzie chcesz zapisać skoroszyt. Ten proces tworzy zasób platformy Azure na podstawie szablonu z plikiem JSON szablonu.

Zapisane skoroszyty są dostępne na karcie Moje skoroszyty , gdzie można je dostosować. Zapisane skoroszyty można otwierać, wybierając pozycję Wyświetl zapisany skoroszyt. Ta akcja powoduje otwarcie tej samej strony co strona skoroszytu szablonu, ale można dostosować tę akcję na podstawie wymagań firmy Contoso.

Wybierz pozycję Edytuj , aby otworzyć skoroszyt w trybie edycji. Możesz dodawać lub usuwać elementy i udostępniać więcej dostosowań. W trybie edycji wyświetlana jest cała zawartość skoroszytu, w tym kroki i parametry, które byłyby ukryte w trybie odczytu.

Pasek nagłówka w trybie edycji zawiera kilka opcji przedstawionych na poniższym zrzucie ekranu.

Zrzut ekranu przedstawiający tryb edycji z różnymi opcjami edycji, takimi jak Zapisz, Zapisz jako, Ustawienia, Odśwież, Udostępnij, Pomoc i innymi.

Po przełączeniu się do trybu edycji zwróć uwagę na kilka opcji Edycji odpowiadających poszczególnym aspektom skoroszytu. Jeśli wybierzesz jedną z tych opcji edycji, możesz zbadać zapytanie używane przez usługę Microsoft Sentinel do filtrowania danych z odpowiedniego dziennika.

Po wybraniu ikony ustawień zostanie otwarta strona Ustawienia , na której można podać inne zasoby, których chcesz użyć w skoroszycie. Możesz również zmienić styl skoroszytu, dodać tagowanie lub przypiąć element w skoroszycie.

Zrzut ekranu przedstawiający stronę Ustawienia.

Możesz zmienić rozmieszczenie różnych tabel w skoroszycie, wybierając pozycję Pokaż opcje przypinania.

W celu dostosowania zaawansowanego możesz wybrać pozycję Edytor zaawansowany, aby otworzyć reprezentację JSON bieżącego skoroszytu, a następnie dostosować ją w edytorze tekstu. Zmiany można zapisać w istniejącym skoroszycie lub zapisać jako inny skoroszyt. Gdy wszystko będzie gotowe, możesz zamknąć tryb edycji, wybierając pozycję Gotowe edytowanie.

Eksplorowanie repozytorium usługi Microsoft Sentinel w usłudze GitHub

Repozytorium usługi Microsoft Sentinel zawiera gotowe do użycia wykrycia, zapytania eksploracji, zapytania wyszukiwania zagrożeń, skoroszyty, podręczniki i nie tylko, aby ułatwić zabezpieczanie środowiska i wykrywanie zagrożeń. Firma Microsoft i społeczność usługi Microsoft Sentinel współtworzyją to repozytorium.

Repozytorium zawiera foldery z zawartością współautora dla kilku obszarów funkcjonalności usługi Microsoft Sentinel, w tym zapytań wykrywania. Możesz użyć kodu z tych zapytań, aby utworzyć zapytania niestandardowe w obszarze roboczym usługi Microsoft Sentinel.

Sprawdź swoją wiedzę

1.

Który z następujących elementów nie może być częścią skoroszytu?

2.

W której sekcji skoroszytu dzienników logowania firmy Microsoft entra administrator może znaleźć informacje, które użytkownicy są zobowiązani do przeprowadzenia uwierzytelniania wieloskładnikowego (MFA) w celu zweryfikowania tożsamości.