Monitorizar e visualizar dados

Concluído

Os Logs do Microsoft Sentinel fornecem acesso aos vários logs coletados dos conectores de segurança. O Microsoft Sentinel coleta esses logs de seus conectores integrados e os armazena no espaço de trabalho do Azure Log Analytics.

Área de trabalho do Log Analytics

A área de trabalho do Log Analytics é um repositório que armazena dados e informações de configuração. Pode criar consultas para filtrar informações importantes, que podem ser utilizadas para criar regras de análise e detetar ameaças. Por exemplo, você pode usar os Logs do Microsoft Sentinel para pesquisar dados de várias fontes, agregar grandes conjuntos de dados e executar operações complexas para localizar possíveis ameaças à segurança e vulnerabilidades.

Explore a página Logs do Microsoft Sentinel

Você pode pesquisar logs específicos na página Logs do Microsoft Sentinel. Exiba a página selecionando Logs no painel de navegação do Microsoft Sentinel.

A página Logs tem estas partes principais:

• O cabeçalho da página contém links para a seção Consultas, configurações e ajuda.
• O painel Tabelas apresenta os dados recolhidos dos registos em tabelas, cada uma contendo várias colunas.
• O painel de consulta é onde escreve as suas próprias expressões de consulta.
• O painel de resultados das consultas apresenta os resultados das consultas.

Consultas

Quando seleciona a ligação Consultas no cabeçalho da página, é apresentada uma nova janela, onde pode selecionar a partir de algumas das consultas de exemplo predefinidas. No menu pendente Consultas, pode filtrar estas consultas com base nos elementos seguintes:

• Category
• Tipo de consulta
• Tipo de Recurso
• Solution
• Tópico

Selecione Executar para iniciar uma consulta predefinida. Esta ação redireciona você para o painel de consulta. Você pode observar a estrutura da consulta e os resultados. Para resolver a preocupação da Contoso com usuários não autorizados, execute a consulta predefinida Usuários não autorizados.

Explorador de Consultas

Use o Explorador de Consultas para acessar suas consultas salvas anteriormente. Também pode aceder a algumas Consultas de Soluções que basicamente filtram as consultas mais comuns que pode utilizar para filtrar os dados. Na lista Consultas de Soluções, pode executar a consulta ou organizá-la na secção de favoritos ao selecionar o símbolo de estrela.

Painel Tabelas

O painel Tabelas agrupa os registos de diferentes soluções em tabelas. Pode expandir o grupo de soluções e observar todos os registos que são recolhidos. Você também pode selecionar um dos logs no painel de tabelas. Você pode visualizar os dados ou adicionar esse log à seção Favoritos .

A captura de tela a seguir exibe os logs coletados na solução Microsoft Sentinel.

Painel Consultas

Use o painel Consultas para criar consultas que recuperam dados com base na expressão fornecida. O painel Consultas ajuda você a escrever uma consulta precisa, fornecendo sugestões e preenchendo automaticamente os elementos esperados da consulta.

Tire partido das capacidades da KQL (Linguagem de Consulta Kusto) para escrever uma consulta que obtenha os dados dos registos. O exemplo seguinte ilustra como utilizar o código KQL nas consultas para identificar máquinas virtuais eliminadas.

AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

Barra de ferramentas do cabeçalho

A barra de ferramentas do cabeçalho fornece mais interação com a consulta, conforme exibido na captura de tela a seguir.

• Guarde a consulta do painel Consulta ao selecionar Guardar. Esta ação abre uma nova janela, onde lhe é pedido para introduzir o nome da consulta guardada e da categoria. As consultas guardadas são apresentadas no explorador de consultas.

• No campo Intervalo de Tempo, pode indicar uma hora diferente para alterar o intervalo de tempo durante o qual quer apresentar os resultados da consulta.

• Crie uma ligação para a consulta e partilhe-a com os outros membros da equipa ao selecionar Copiar ligação para a consulta. Também pode copiar o texto da consulta.

• Na barra de ferramentas de cabeçalho no painel Consulta, você pode criar um alerta Novo Azure Monitor ou um alerta Novo Microsoft Sentinel. Se optar por criar um novo alerta do Microsoft Sentinel, será direcionado para as próximas etapas para criar uma regra de análise.

• Exporte a consulta para um dos seguintes formatos:

  • Exportar para CSV. Exporte todas as colunas, visíveis e ocultas, para um arquivo CSV que você pode abrir com o Microsoft Excel.
  • Exportar para CSV – Colunas Apresentadas. Exporte apenas as colunas exibidas nas janelas de resultados da consulta.
  • Exportar para Power BI (Consulta M). Crie e baixe um arquivo PowerBIQuery.txt que você pode abrir com o aplicativo Microsoft Power BI.

  Pode afixar os resultados da consulta num dashboard privado ou partilhado para examinar rapidamente os resultados da consulta.

• Pode utilizar Consulta de formato na barra de ferramentas do cabeçalho para tornar a consulta mais legível.

Nota

Poderá exportar ou afixar a consulta apenas se a expressão de consulta gerar dados na secção de resultados da consulta.

Resultados da consulta

Em Resultados, você pode observar os resultados da consulta. Você também pode apresentar os resultados usando um gráfico ou ocultar e exibir outras colunas para filtrar os resultados da consulta.

Verifique o seu conhecimento

1.

Um administrador quer abrir uma consulta guardada anteriormente. Depois de abrir a página Logs no Microsoft Sentinel, qual das seguintes opções o administrador deve selecionar?

Consultas

Explorador de consultas

Painel Tabelas

2.

O administrador quer criar uma regra de análise a partir da consulta criada. Que opção do painel de consultas deve o administrador selecionar?

Alerta do Azure Monitor

Alerta do Microsoft Sentinel

Copiar ligação

Tem de responder a todas as questões antes de verificar o seu trabalho.