Exercício – Visualizar dados usando Pastas de Trabalho do Microsoft Sentinel

Concluído

Como engenheiro de segurança da Contoso, você percebe atividades suspeitas em sua assinatura do Azure e decide analisar essas atividades usando pastas de trabalho do Microsoft Sentinel.

Exercício: consultar e visualizar dados com as Pastas de Trabalho do Microsoft Sentinel

Você quer analisar os logs do conector de Atividades do Azure no Microsoft Sentinel. Você quer expandir a implementação da visualização desses dados e salvá-la em uma pasta de trabalho personalizada.

Neste exercício, vamos explorar os logs e as pastas de trabalho do Microsoft Sentinel. Você realizará as seguintes tarefas:

• Interagir com os dados de logs na página Logs do Microsoft Sentinel.
• Criar e editar uma pasta de trabalho personalizada para visualizar dados importantes.

Observação

Você precisará ter concluído a unidade Consultar e visualizar dados com pastas de trabalho do Microsoft Sentinel para realizar este exercício. Caso ainda não a tenha finalizado, faça isso agora, depois prossiga para as etapas do exercício.

Tarefa 1: trabalhar com logs no Microsoft Sentinel

1. No portal do Azure, pesquise e selecione Microsoft Sentinel e, em seguida, escolha o workspace do Microsoft Sentinel criado anteriormente.

2. Na página Microsoft Sentinel, na seção Geral, selecione Logs.

   Observação

   Quando abrir a página Logs pela primeira vez, você poderá ser redirecionado para a janela Consultas. Feche a janela Consultas e volte à seção Nova Consulta 1.

3. Na página Microsoft Sentinel | Logs, no painel Tabelas, no menu suspenso Agrupar por: Solução, selecione Categoria.

4. No painel Tabelas, na lista de tabelas, expanda a categoria Recursos do Azure, mova o cursor sobre a tabela Atividades do Azure ou use a tecla Tab para navegar até a tabela e selecione Visualizar dados.

5. Na janela AzureActivity, selecione Ver no editor de consultas. Essa opção permite que você visualize os dados e verifique se os resultados serão os esperados antes de realmente executar uma consulta.

   

   Na seção Consulta, você pode observar a estrutura da consulta. Essa consulta pesquisa e apresenta os últimos 10 eventos do log de Atividades do Azure. A primeira linha na consulta, AzureActivity, especifica a tabela usada na consulta. A segunda linha contém uma instrução where, que filtra os registros do último dia. A terceira linha contém outra instrução para filtrar somente os últimos dez eventos.

   A seção de resultados da consulta apresenta os resultados da consulta. Você pode expandir qualquer um dos registros para examinar os valores na tabela. Selecione o nome de qualquer coluna para classificar os resultados de acordo com ela.

6. Selecione o ícone de filtro ao lado dela para fornecer uma condição de filtro. Essa abordagem é como adicionar uma condição de filtro à própria consulta, exceto que esse filtro será limpo se você executar a consulta novamente. Se você selecionar o menu suspenso Colunas, poderá filtrar as colunas da tabela que deseja exibir. Selecionando Agrupar colunas, você pode agrupar os registros segundo uma coluna específica.

   

7. Selecione a guia Consultas no painel esquerdo. Esse painel inclui consultas de exemplo que você pode adicionar à janela de consulta. Se você estiver usando seu próprio workspace, terá uma variedade de consultas em várias categorias. Se você estiver usando o ambiente de demonstração, verá apenas uma categoria: workspaces do Log Analytics.

   Observação

   Você pode tentar praticar a escrita de consultas no ambiente de demonstração a seguir.

Tarefa 2: trabalhar com Pastas de Trabalho no Microsoft Sentinel

1. Na página Microsoft Sentinel, na barra de menus da seção Gerenciamento de Ameaças, selecione Pastas de Trabalho.

2. Na página Microsoft Sentinel | Pastas de Trabalho, selecione a guia Modelos.

3. No campo Pesquisar, insira e selecione Atividades do Azure.

4. No painel de detalhes, examine as informações fornecidas para o modelo e selecione Salvar. Na janela Salvar pasta de trabalho em…, selecione o mesmo local que você selecionou no exercício de preparação e selecione OK.

5. Na página Microsoft Sentinel | Pastas de trabalho, selecione Minhas pastas de trabalho. Na lista de modelos salvos, selecione Atividade do Azure. Em seguida, no painel de detalhes, selecione Exibir pastas de trabalho salvas.

6. Na página Atividades do Azure- nomedosentinel, examine todos os elementos da pasta de trabalho. Você pode interagir com a pasta de trabalho selecionando alguns dos elementos.

7. Selecione o campo Intervalo de tempo para escolher um período diferente para os registros apresentados na tabela Atividades do Azure. Selecione o menu suspenso Chamador para filtrar os registros com base no usuário ou no serviço que gera os eventos. Selecione o menu suspenso Grupo de Recursos para filtrar os eventos com base em um grupo de recursos específico.

   

8. Role para baixo até a tabela Atividades do chamador, que exibe as atividades executadas por seus usuários ou entidades de segurança. Classifique os dados da tabela em cada coluna selecionando as setas no cabeçalho da coluna.

9. Role para cima até a barra de cabeçalho na página Atividades do Azure- nomedosentinel. Selecione a opção Editar para alternar a pasta de trabalho para o modo de edição. Observe as várias opções para Editar exibidas na página.

10. Selecione a primeira opção Editar. Essa ação exibirá o painel de edição de uma das etapas na pasta de trabalho. Você pode personalizar a apresentação dos elementos ajustando o estilo e colocando-os em uma ordem diferente.

11. Você pode adicionar outros parâmetros com tipos diferentes, como texto, lista suspensa, valores múltiplos ou semelhantes.

12. Selecione Adicionar parâmetros.

13. Na página Novo Parâmetro, insira os seguintes valores:

    Nome	Descrição
    Nome do parâmetro	Nível
    Nome de exibição	Nível
    Tipo de parâmetro	No menu suspenso, selecione Menu suspenso.
    Obrigatório?	Selecione essa caixa de seleção.
    Permitir várias seleções	Selecione essa caixa de seleção.
    Limitar várias seleções	Não marque esta caixa de seleção.
    Delimitador	Mantenha os valores padrão.
    Citar com	Mantenha os valores padrão.
    Explicação	Esse parâmetro filtra os eventos com base no nível.
    Ocultar o parâmetro no modo de leitura	Não marque esta caixa de seleção.
    Obter dados do	Consulta

14. Na seção Consulta de Logs do Workspace do Log Analytics, insira a consulta a seguir e selecione Executar Consulta.

    AzureActivity
    |summarize by Level
    

15. Confirme se o resultado da consulta retorna dois tipos de eventos com base no nível: Informativo e Aviso.

    

16. Selecione Salvar para confirmar as alterações e observe que a etapa do parâmetro agora inclui um parâmetro chamado Nível.

    Dica

    No modo de edição, você pode selecionar o ícone de reticências ao lado da opção Editar para exibir um novo menu suspenso. Nesse menu, você pode mover essa etapa para diferentes partes da pasta de trabalho. Você também pode clonar ou remover a etapa da pasta de trabalho.

17. Na barra de cabeçalho, selecione o ícone Salvar como para salvar a pasta de trabalho personalizada.

18. No campo Título, forneça um nome para a nova pasta de trabalho e selecione Salvar.

19. Quando terminar de fazer alterações, selecione Edição Concluída.

    Dica

    A nova pasta de trabalho fica acessível no painel Microsoft Sentinel | Pastas de Trabalho na guia Minhas pastas de trabalho. Se a nova pasta de trabalho não estiver listada, selecione a opção Atualizar.

Limpar os recursos

1. No portal do Azure, pesquise Grupos de recursos.
2. Selecione azure-sentinel-rg.
3. Na barra de cabeçalho, selecione Excluir grupo de recursos.
4. No campo DIGITE O NOME DE GRUPO DE RECURSOS:, insira o nome do grupo de recursos azure-sentinel-rg e selecione Excluir.