Ćwiczenie — wizualizowanie danych przy użyciu skoroszytów usługi Microsoft Sentinel

Ukończone

Jako inżynier ds. zabezpieczeń pracujący dla firmy Contoso zauważysz podejrzane działania w ramach subskrypcji platformy Azure i zdecydujesz się przeanalizować to działanie przy użyciu skoroszytów usługi Microsoft Sentinel.

Ćwiczenie: wykonywanie zapytań i wizualizowanie danych za pomocą skoroszytów usługi Microsoft Sentinel

Chcesz przeanalizować dzienniki w usłudze Microsoft Sentinel z poziomu łącznika aktywności platformy Azure. Chcesz jeszcze bardziej zaimplementować wizualizację tych danych i zapisać je w dostosowanym skoroszycie.

W tym ćwiczeniu zapoznaj się z dziennikami i skoroszytami usługi Microsoft Sentinel. Wykonasz następujące zadania:

• Interakcja z danymi dzienników na stronie Dzienniki usługi Microsoft Sentinel.
• Tworzenie i edytowanie niestandardowego skoroszytu w celu wizualizacji ważnych danych.

Uwaga

Aby ukończyć to ćwiczenie, musisz ukończyć moduł Query and visualize data with Microsoft Sentinel Workbooks (Tworzenie zapytań i wizualizowanie danych za pomocą skoroszytów usługi Microsoft Sentinel). Jeśli jeszcze tego nie zrobiono, wykonaj tę lekcję teraz, a następnie kontynuuj pracę z krokami ćwiczenia.

Zadanie 1. Praca z dziennikami w usłudze Microsoft Sentinel

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz utworzony wcześniej obszar roboczy usługi Microsoft Sentinel.

2. Na stronie Microsoft Sentinel w sekcji Ogólne wybierz pozycję Dzienniki.

   Uwaga

   Po pierwszym otwarciu strony Dzienniki może nastąpić przekierowanie do okna Zapytania . Zamknij okno Zapytania i wróć do sekcji Nowe zapytanie 1.

3. W usłudze Microsoft Sentinel | Strona Dzienniki w okienku Tabele z menu rozwijanego Grupuj według: Rozwiązanie wybierz pozycję Kategoria.

4. W okienku Tabele z listy tabel rozwiń kategorię Zasoby platformy Azure, przenieś kursor na tabelę Aktywność platformy Azure lub użyj Tab, aby przejść do tabeli, a następnie wybierz pozycję Podgląd danych.

5. W oknie Aktywność platformy Azure wybierz pozycję Zobacz w edytorze zapytań. Ta opcja umożliwia wyświetlenie podglądu danych i sprawdzenie, czy wyniki są zgodnie z oczekiwaniami, zanim rzeczywiście uruchomisz z nim zapytanie.

   

   W sekcji Zapytanie można obserwować strukturę zapytania. To zapytanie wyszukuje i przedstawia ostatnich 10 zdarzeń z dziennika aktywności platformy Azure. Pierwszy wiersz w zapytaniu AzureActivity określa tabelę używaną w zapytaniu. Drugi wiersz zawiera instrukcję where , która filtruje rekordy z ostatniego dnia. Trzeci wiersz zawiera inną instrukcję filtrowania tylko ostatnich 10 zdarzeń.

   Sekcja wyników zapytania przedstawia wyniki zapytania. Można rozwinąć dowolny rekord, aby przejrzeć wartości w tabeli. Wybierz nazwę dowolnej kolumny, aby posortować wyniki według tej kolumny.

6. Wybierz ikonę filtru obok niej, aby określić warunek filtru. Takie podejście jest podobne do dodawania warunku filtru do samego zapytania, z tą różnicą, że ten filtr jest czyszczone, jeśli ponownie uruchomisz zapytanie. Jeśli wybierzesz menu rozwijane Kolumny , możesz filtrować kolumny z tabeli, którą chcesz wyświetlić. Wybierając pozycję Kolumny grupy, można grupować rekordy według określonej kolumny.

   

7. W lewym okienku wybierz kartę Zapytania. To okienko zawiera przykładowe zapytania, które można dodać do okna zapytania. Jeśli używasz własnego obszaru roboczego, musisz mieć różne zapytania w wielu kategoriach. Jeśli używasz środowiska demonstracyjnego, możesz zobaczyć tylko jedną kategorię obszarów roboczych usługi Log Analytics.

   Uwaga

   Możesz podjąć próbę zapisania zapytań w następującym środowisku demonstracyjnym.

Zadanie 2. Praca ze skoroszytami w usłudze Microsoft Sentinel

1. Na stronie Microsoft Sentinel w sekcji Zarządzanie zagrożeniami wybierz pozycję Skoroszyty.

2. W usłudze Microsoft Sentinel | Na stronie Skoroszyty wybierz kartę Szablony .

3. W polu Wyszukaj wprowadź i wybierz pozycję Aktywność platformy Azure.

4. W okienku szczegółów przejrzyj informacje podane dla szablonu, a następnie wybierz pozycję Zapisz. W oknie Zapisz skoroszyt do... wybierz tę samą lokalizację, która została wybrana w ćwiczeniu przygotowania, a następnie wybierz przycisk OK.

5. W usłudze Microsoft Sentinel | Strona Skoroszyty , wybierz kartę Moje skoroszyty . Z listy zapisanych szablonów wybierz pozycję Działanie platformy Azure. Następnie w okienku szczegółów wybierz pozycję Wyświetl zapisany skoroszyt.

6. Na stronie Aktywność platformy Azure — nazwa Sentinel przejrzyj wszystkie elementy skoroszytu. Możesz korzystać ze skoroszytu, zaznaczając niektóre elementy.

7. Wybierz pole Zakres czasu, aby wybrać inny zakres czasu dla rekordów przedstawionych w tabeli Aktywność platformy Azure. Wybierz menu rozwijane Wywołujący, aby filtrować rekordy na podstawie użytkownika lub usługi, która generuje zdarzenia. Wybierz menu rozwijane Grupa zasobów, aby filtrować zdarzenia na podstawie określonej grupy zasobów.

   

8. Przewiń w dół do tabeli Działania elementu wywołującego, która zawiera działania uruchamiane przez użytkowników lub podmioty zabezpieczeń. Posortuj dane tabeli w każdej kolumnie, wybierając strzałki w nagłówku kolumny.

9. Przewiń w górę do paska nagłówka na stronie Aktywność platformy Azure — nazwa Sentinel. Wybierz pozycję Edytuj, aby przełączyć skoroszyt w tryb edycji. Zwróć uwagę na różne opcje Edytuj, które są wyświetlane na stronie.

10. Wybierz pierwszą opcję Edytuj. Ta akcja spowoduje wyświetlenie okienka edycji dla jednego z kroków w skoroszycie. Prezentację elementów można dostosować, dostosowując styl i zmieniając ich kolejność w innej kolejności.

11. Możesz dodać inne parametry z różnymi typami, takimi jak tekst, lista rozwijana, wielowartościowe lub podobne.

12. Wybierz pozycję Dodaj parametry.

13. Na stronie Nowy parametr wprowadź następujące wartości:

    Nazwa/nazwisko	opis
    Nazwa parametru	Poziom
    Nazwa wyświetlana	Poziom
    Typ parametru	Z menu rozwijanego wybierz pozycję Lista rozwijana.
    Wymagane?	Zaznacz to pole wyboru.
    Zezwalaj na wiele zaznaczeń	Zaznacz to pole wyboru.
    Ogranicz wiele zaznaczeń	Nie zaznaczaj tego pola wyboru.
    Ogranicznik	Zachowaj wartości domyślne.
    Cytat z	Zachowaj wartości domyślne.
    Wyjaśnienie	Ten parametr filtruje zdarzenia na podstawie poziomu.
    Ukryj parametr w trybie odczytu	Nie zaznaczaj tego pola wyboru.
    Pobierz dane z	Query

14. W sekcji Zapytanie dzienników obszaru roboczego usługi Log Analytics wprowadź następujące zapytanie, a następnie wybierz pozycję Uruchom zapytanie.

    AzureActivity
    |summarize by Level
    

15. Upewnij się, że wynik zapytania zwraca dwa typy zdarzeń na podstawie poziomu: Informacje i Ostrzeżenie.

    

16. Wybierz pozycję Zapisz , aby zatwierdzić zmiany, i zwróć uwagę, że krok parametru zawiera teraz parametr o nazwie Level.

    Napiwek

    W trybie edycji możesz wybrać ikonę wielokropka obok opcji Edytuj , aby wyświetlić nowe menu rozwijane. Z tego menu możesz przenieść ten krok do różnych części skoroszytu. Możesz również sklonować lub usunąć ten krok ze skoroszytu.

17. Na pasku nagłówka wybierz ikonę Zapisz jako, aby zapisać dostosowany skoroszyt.

18. W polu Tytuł podaj nazwę nowego skoroszytu, a następnie wybierz pozycję Zapisz.

19. Po zakończeniu wprowadzania zmian wybierz pozycję Gotowe edytowanie.

    Napiwek

    Nowy skoroszyt jest dostępny z usługi Microsoft Sentinel | Okienko Skoroszyty na karcie Moje skoroszyty . Jeśli nowy skoroszyt nie znajduje się na liście, wybierz opcję Odśwież .

Oczyszczanie zasobów

1. W witrynie Azure Portal wyszukaj Grupy zasobów.
2. Wybierz pozycję azure-sentinel-rg.
3. Na pasku nagłówka wybierz pozycję Usuń grupę zasobów.
4. W polu WPISZ NAZWĘ GRUPY ZASOBÓW: wprowadź nazwę grupy zasobów azure-sentinel-rg i wybierz pozycję Usuń.