Usar pastas de trabalho padrão do Microsoft Sentinel

  • 5 minutos

O Microsoft Sentinel fornece vários modelos que estão prontos para uso. Pode utilizar estes modelos para criar o seu próprio livro e, em seguida, modificá-los conforme necessário para a Contoso.

Pastas de trabalho do Microsoft Sentinel

A maioria dos conectores de dados que o Microsoft Sentinel usa para ingerir dados vem com suas próprias pastas de trabalho. Você pode obter informações sobre os dados que estão sendo ingeridos usando tabelas e visualizações, incluindo gráficos de barras e de pizza. Você também pode criar suas próprias pastas de trabalho do zero em vez de usar os modelos predefinidos.

Página Livro

Você pode acessar a página Pastas de trabalho do Microsoft Sentinel no painel de navegação. Na página Pastas de trabalho, você pode adicionar uma nova pasta de trabalho e revisar as pastas de trabalho salvas e os modelos disponíveis.

Você pode acessar modelos de pasta de trabalho existentes na guia Modelos . Você pode salvar algumas das pastas de trabalho para acesso rápido. Eles aparecem na guia Minhas pastas de trabalho.

Na guia Modelos, você pode selecionar uma pasta de trabalho existente para exibir um painel de detalhes para ela, que contém informações adicionais para o modelo. O painel de detalhes também contém informações sobre os tipos de dados necessários e conectores de dados que devem ser conectados ao Microsoft Sentinel. Você também pode revisar como o relatório é exibido.

Rever um modelo de livro existente

Como mencionado anteriormente, a Contoso manifesta preocupações em relação a identidades comprometidas. Como administrador de segurança, você pode examinar a pasta de trabalho de logs de entrada existente do Microsoft Entra selecionando esse modelo na seção Modelos. Em seguida, selecione Exibir modelo no painel de detalhes.

A pasta de trabalho de logs de entrada do Microsoft Entra contém gráficos, tabelas e tabelas predefinidos que podem fornecer informações importantes sobre a atividade de entrada na ID do Microsoft Entra. Pode encontrar informações sobre inícios de sessão do utilizador e localizações, endereços de e-mail e endereços IP dos utilizadores. Você também pode revisar informações sobre atividades com falha e os erros que desencadearam as falhas.

Na página de logs de entrada do Microsoft Entra, você pode expandir o intervalo de tempo ou filtrar os aplicativos e usuários que têm privilégios de entrada na ID do Microsoft Entra. Por exemplo, a Contoso deseja identificar os usuários que podem entrar no portal do Azure, para que você possa filtrar os dados da seguinte maneira.

Captura de ecrã a apresentar a Análise de Inícios de Sessão com a filtragem dos utilizadores que iniciam sessão no portal do Azure.

A Contoso está interessada em identificar as tentativas de entrada com falha. Você pode exibir essas contas selecionando os blocos de informações e, em seguida, selecione um bloco ou uma linha para exibir mais informações, como:

  • Inicia sessão por localização. Esta secção indica a localização a partir da qual o utilizador iniciou sessão no Microsoft Entra ID.
  • Detalhes de início de sessão na localização. Esta secção apresenta os utilizadores, o estado de início de sessão e a hora da tentativa de início de sessão.
  • Inicia sessão por dispositivo. Esta seção lista os dispositivos usados pelos usuários para entrar no Microsoft Entra ID.
  • Detalhes de início de sessão do dispositivo. Esta secção apresenta os utilizadores que iniciaram sessão num dispositivo específico e a hora em que iniciaram sessão.

Esse bloco de informações em segundo plano é configurado para executar a consulta e filtrar os dados coletados do conector do Microsoft Entra. Em seguida, o Microsoft Sentinel visualiza e apresenta os dados coletados usando tabelas, que são mais significativas e fornecem informações úteis sobre as tentativas de entrada do usuário.

A pasta de trabalho contém outros blocos que indicam os usuários que entraram usando o Acesso Condicional. Na tabela Status de acesso condicional, você pode revisar os usuários que precisaram de autenticação multifator para validar sua identidade.

Captura de ecrã da atividade de Acesso Condicional.

O resto da página também contém tabelas e gráficos que são interativos. Selecione algumas das linhas ou blocos para filtrar os dados apresentados. Algumas tabelas são criadas com ligações para os registos correspondentes, conforme apresentado na captura de ecrã a seguir.

Captura de ecrã das ligações que podem abrir a consulta no Azure Data Explorer ou fixar a consulta no dashboard.

Nota

Também pode afixar o passo da consulta no dashboard privado ou partilhado para uma recuperação rápida.

Editar a consulta no livro

Por exemplo, a Contoso deseja pesquisar os logs para obter mais informações que apresentem a entrada do usuário com falha. Eles são redirecionados para o Azure Data Explorer, onde o Microsoft Sentinel executa a consulta de log para filtrar as informações.

Captura de ecrã do Data Explorer.

Explorar livros guardados

Na página Modelos, você pode salvar uma pasta de trabalho de modelos existentes selecionando um dos modelos e, em seguida, selecionando Salvar. Você deve fornecer um local para indicar onde deseja salvar a pasta de trabalho. Esse processo cria um recurso do Azure com base no modelo com o arquivo JSON do modelo.

As pastas de trabalho salvas estão disponíveis na guia Minhas Pastas de Trabalho, onde você pode personalizá-las. Pode abrir os livros guardados ao selecionar Ver livros guardados. Esta ação abre a mesma página que a página da pasta de trabalho de modelo, mas você pode personalizá-la com base nos requisitos da Contoso.

Selecione Editar para abrir a pasta de trabalho no modo de edição. Você pode adicionar ou remover itens e fornecer mais personalização. O modo de edição apresenta todo o conteúdo no livro, incluindo os passos e os parâmetros que estariam ocultos no modo de leitura.

A barra de cabeçalho no modo de edição contém várias opções, apresentadas na captura de ecrã a seguir.

Captura de ecrã do Modo de edição a mostrar as várias opções de edição, como Guardar, Guardar Como, Definições, Atualizar, Partilhar, Ajuda, etc.

Quando você alterna para o modo de edição, observe várias opções de edição que correspondem a cada aspeto individual da pasta de trabalho. Se você selecionar uma dessas opções de edição, poderá examinar a consulta que o Microsoft Sentinel usa para filtrar os dados do log correspondente.

Quando você seleciona o ícone de configurações, a página Configurações é aberta, onde você pode fornecer outros recursos que deseja usar na pasta de trabalho. Também pode alterar o estilo do livro, marcar ou fixar um item no livro.

Captura de ecrã da página Definições.

Pode reorganizar o posicionamento de tabelas diferentes no livro ao selecionar Mostrar Opções para Afixar.

Para uma personalização avançada, pode selecionar Editor Avançado para abrir a representação JSON do livro atual e, em seguida, personalizar no editor de texto. Pode guardar as alterações no livro existente ou guardar como outro livro. Quando terminar toda a personalização, você poderá sair do modo de edição selecionando Edição concluída.

Explore o repositório do Microsoft Sentinel no GitHub

O repositório do Microsoft Sentinel contém deteções prontas para uso, consultas de exploração, consultas de caça, pastas de trabalho, manuais e muito mais para ajudá-lo a proteger seu ambiente e detetar ameaças. A Microsoft e a comunidade Microsoft Sentinel contribuem para este repositório.

O repositório contém pastas com conteúdo contribuído para várias áreas da funcionalidade do Microsoft Sentinel, incluindo consultas de deteção. Você pode usar o código dessas consultas para criar consultas personalizadas em seu espaço de trabalho do Microsoft Sentinel.

Verifique o seu conhecimento

1.

Qual dos seguintes elementos não pode fazer parte da pasta de trabalho?

2.

Em qual seção da pasta de trabalho de logs de entrada do Microsoft Entra um administrador pode encontrar informações de que os usuários são obrigados a executar a autenticação multifator (MFA) para validar sua identidade.