Usar Pastas de Trabalho padrão do Microsoft Sentinel

  • 5 minutos

O Microsoft Sentinel fornece vários modelos prontos para uso. Use-os para criar sua pasta de trabalho e modifique-os conforme necessário para a Contoso.

Pastas de Trabalho do Microsoft Sentinel

A maioria dos conectores de dados que o Microsoft Sentinel usa para ingerir dados são fornecidos com as próprias pastas de trabalho. Você pode obter insights melhores sobre os dados ingeridos usando tabelas e visualizações, incluindo gráficos de barras e de pizza. Você também pode criar suas próprias pastas de trabalho do zero em vez de usar os modelos predefinidos.

Página Pasta de Trabalho

Você pode acessar a página Pastas de Trabalho do Microsoft Sentinel no painel de navegação. Na página Pastas de Trabalho, você pode adicionar uma nova pasta de trabalho e examinar as pastas de trabalho e os modelos salvos disponíveis.

Acesse os modelos de pasta de trabalho existentes na guia Modelos. Salve algumas das pastas de trabalho para acesso rápido. Elas aparecem na guia Minhas pastas de trabalho.

Na página Modelos, você pode selecionar uma pasta de trabalho existente para exibir um painel de detalhes, contendo informações adicionais sobre os modelos. O painel de detalhes também contém informações sobre os tipos de dados e os conectores de dados necessários que precisam ser conectados ao Microsoft Sentinel. Você também pode examinar como o relatório será exibido.

Examinar um modelo de pasta de trabalho existente

Conforme mencionado anteriormente, a Contoso está preocupada com identidades comprometidas. Como administrador da segurança, você pode examinar a pasta de trabalho Logs de entrada no Microsoft Entra existente selecionando esse modelo na seção Modelos. Em seguida, selecione Exibir modelo no painel de detalhes.

A pasta de trabalho Logs de entrada do Microsoft Entra contém gráficos e tabelas predefinidos que podem fornecer insights importantes sobre a atividade de entrada no Microsoft Entra ID. Você pode encontrar informações sobre entradas e locais, endereços de email e endereços IP de seus usuários. Além disso, você pode examinar informações sobre as atividades com falha e os erros que dispararam as falhas.

Na página logs de entrada do Microsoft Entra página, você pode expandir o intervalo de tempo ou filtrar os aplicativos e usuários que têm privilégios de entrada no Microsoft Entra ID. Por exemplo, a Contoso deseja identificar os usuários que podem entrar no portal do Azure, para poder filtrar os dados da seguinte forma.

Captura de tela que exibe a Análise de Entrada com a filtragem dos usuários que entram no portal do Azure.

A Contoso quer identificar as tentativas de entrada com falha. Você pode exibir essas contas selecionando os blocos de informações e depois escolhendo um deles ou uma linha para mostrar mais informações, como:

  • Entradas por localização. Esta seção indica o local do qual o usuário entrou no Microsoft Entra ID.
  • Detalhes de entrada da localização. Esta seção exibe os usuários, seu status de entrada e a hora da tentativa de entrada.
  • Entradas por dispositivo. Esta seção lista os dispositivos usados pelos usuários para entrar no Microsoft Entra ID.
  • Detalhes de entrada do dispositivo. Esta seção exibe os usuários que entraram em um dispositivo específico e a hora em que entraram.

Este bloco de informações em segundo plano está configurado para executar a consulta e filtrar os dados coletados do conector do Microsoft Entra. Em seguida, o Microsoft Sentinel visualiza e apresenta os dados coletados usando tabelas, que são mais significativas e oferecem insights úteis sobre as tentativas de entrada dos usuários.

A pasta de trabalho contém blocos adicionais que indicam os usuários que entraram usando o acesso condicional. Na tabela Status de acesso condicional, você pode examinar os usuários que precisaram da autenticação multifator para validar a identidade.

Captura de tela da atividade de Acesso Condicional.

O restante da página também contém tabelas e gráficos interativos. Selecione algumas das linhas ou dos blocos para filtrar os dados apresentados. São criadas algumas tabelas com links para os logs correspondentes, conforme exibido na captura de tela a seguir.

Captura de tela dos links que podem abrir a consulta no Azure Data Explorer ou fixá-la no painel.

Observação

Você também pode fixar a etapa de consulta no painel particular ou compartilhado para recuperação rápida.

Editar a consulta da pasta de trabalho

Por exemplo, a Contoso deseja pesquisar nos logs mais informações que apresentem entrada de usuário com falha. Eles são direcionados o Azure Data Explorer, em que o Microsoft Sentinel executa a consulta de log para filtrar as informações.

Captura de tela do Data Explorer.

Explorar pastas de trabalho salvas

Na página Modelos, você pode salvar uma pasta de trabalho de modelos existentes selecionando um dos modelos e, em seguida, selecionando Salvar. Você deve fornecer um local para indicar onde deseja salvar a pasta de trabalho. Esse processo cria um recurso do Azure baseado no modelo com o arquivo JSON do modelo.

As pastas de trabalho salvas ficam disponíveis na guia Minhas pastas de trabalho. Você pode personalizá-las ainda mais. Abra as pastas de trabalho salvas selecionando Exibir pasta de trabalho salva. Essa ação abre a mesma página que a de modelo da pasta de trabalho, mas você pode personalizá-la de acordo com os requisitos da Contoso.

Selecione Editar para abrir a pasta de trabalho no modo de edição. Você pode adicionar ou remover itens e aumentar a personalização. O modo de edição exibe todo o conteúdo na pasta de trabalho, incluindo etapas e parâmetros que ficariam ocultos no modo de leitura.

A barra de cabeçalho no modo de edição contém várias opções, que a captura de tela a seguir representa.

Captura de tela do Modo de edição que descreve as várias opções de edição, como Salvar, Salvar como, Configurações, Atualizar, Compartilhar, Ajuda e muito mais.

Ao mudar para o modo de edição, observe as diversas opções de Editar, que correspondem a cada aspecto individual da pasta de trabalho. Se selecionar uma dessas opções de edição, você poderá examinar a consulta que o Microsoft Sentinel usa para filtrar os dados do log correspondente.

Quando você seleciona o ícone de configurações, é aberta a página Configurações, na qual você pode fornecer outros recursos que deseja usar na pasta de trabalho. Você também pode alterar o estilo da pasta de trabalho, fornecer marcação ou fixar um item.

Captura de tela da página Configurações.

Você pode reorganizar o posicionamento das diferentes tabelas na pasta de trabalho selecionando Mostrar Opções de Fixação.

Para personalização avançada, você pode selecionar Editor Avançado para abrir a representação JSON da pasta de trabalho atual e personalizá-la ainda mais no editor de texto. Você pode salvar as alterações na pasta de trabalho existente ou salvar como outra pasta de trabalho. Quando terminar a personalização, você pode encerrar o modo de edição selecionando Edição Concluída.

Explorar o repositório do Microsoft Sentinel no GitHub

O repositório do Microsoft Sentinel contém detecções prontas para uso, consultas de exploração, consultas de busca, pastas de trabalho, guias estratégicos e outros recursos para ajudar você a proteger o ambiente e a detectar ameaças. A Microsoft e a comunidade do Microsoft Sentinel contribuem com esse repositório.

O repositório contém pastas com conteúdo fornecidos em contribuição para várias áreas da funcionalidade do Microsoft Sentinel, incluindo consultas de detecção. Você pode usar o código dessas consultas para criar consultas personalizadas no seu workspace do Microsoft Sentinel.

Verificar seus conhecimentos

1.

Qual dos seguintes elementos não pode fazer parte da pasta de trabalho?

2.

Em qual seção da pasta de trabalho de logs de entrada do Microsoft Entra o administrador pode encontrar informações indicando se os usuários precisam executar a MFA (autenticação multifator) para validar sua identidade?