Exercício - Visualize dados usando pastas de trabalho do Microsoft Sentinel

Concluído

Como engenheiro de segurança que trabalha para a Contoso, você percebe atividades suspeitas em sua assinatura do Azure e decide analisar essa atividade usando pastas de trabalho do Microsoft Sentinel.

Exercício: Consultar e visualizar dados com pastas de trabalho do Microsoft Sentinel

Você deseja analisar os logs no Microsoft Sentinel a partir do conector de atividade do Azure. Você deseja implementar ainda mais a visualização desses dados e salvá-los em uma pasta de trabalho personalizada.

Neste exercício, explore logs e pastas de trabalho do Microsoft Sentinel. Execute as seguintes tarefas:

• Interaja com dados de logs na página Logs do Microsoft Sentinel.
• Criar e editar um livro personalizado para visualizar dados importantes.

Nota

Você deve ter concluído a unidade Consultar e visualizar dados com a unidade Pastas de Trabalho do Microsoft Sentinel antes de concluir este exercício. Se não o tiver feito, conclua-o agora e continue com os passos do exercício.

Tarefa 1: Trabalhar com logs no Microsoft Sentinel

1. No portal do Azure, procure e selecione Microsoft Sentinel e, em seguida, selecione o espaço de trabalho do Microsoft Sentinel criado anteriormente.

2. Na página Microsoft Sentinel, na seção Geral, selecione Logs.

   Nota

   Ao abrir a página Logs pela primeira vez, você poderá ser redirecionado para a janela Consultas . Feche a janela Consultas e regresse à secção Nova Consulta 1.

3. No Microsoft Sentinel | Página Logs, no painel Tabelas, no menu suspenso Agrupar por: Solução, selecione Categoria.

4. No painel Tabelas, na lista de tabelas, expanda a categoria Recursos do Azure, mova o cursor sobre a tabela Atividade do Azure ou use a tecla Tab para navegar até a tabela e selecione Visualizar dados.

5. Na janela AzureActivity, selecione Ver no editor de consultas. Essa opção permite que você visualize os dados e verifique se os resultados são os esperados antes de realmente executar uma consulta com eles.

   

   Na secção Consulta, pode observar a estrutura da consulta. Esta consulta pesquisa e apresenta os últimos 10 eventos do registo Atividade do Azure. A primeira linha da consulta AzureActivity especifica a tabela usada na consulta. A segunda linha contém uma where instrução que filtra os registros do último dia. A terceira linha contém outra instrução para filtrar apenas os últimos 10 eventos.

   A secção de resultados da consulta apresenta os resultados da consulta. Pode expandir qualquer um dos registos para rever os valores na tabela. Selecione o nome de qualquer coluna para classificar os resultados por essa coluna.

6. Selecione o ícone de filtro junto à mesma para apresentar uma condição de filtro. Essa abordagem é semelhante à adição de uma condição de filtro à própria consulta, exceto que esse filtro é limpo se você executar a consulta novamente. Se você selecionar o menu suspenso Colunas , poderá filtrar as colunas da tabela que deseja exibir. Ao selecionar Agrupar colunas, pode agrupar os registos por uma coluna específica.

   

7. Selecione o separador Consultas no painel esquerdo. Este painel inclui consultas de exemplo que pode adicionar à janela de consulta. Se você estiver usando seu próprio espaço de trabalho, deverá ter várias consultas em várias categorias. Se você estiver usando o ambiente de demonstração, talvez veja apenas uma única categoria de espaços de trabalho do Log Analytics.

   Nota

   Pode tentar praticar a escrita de consultas no seguinte ambiente de demonstração.

Tarefa 2: Trabalhar com pastas de trabalho no Microsoft Sentinel

1. Na página Microsoft Sentinel, na seção Gerenciamento de Ameaças, selecione Pastas de trabalho.

2. No Microsoft Sentinel | Página Pastas de trabalho, selecione a guia Modelos.

3. No campo Pesquisa, introduza e selecione Atividade do Azure.

4. No painel de detalhes, reveja as informações introduzidas para o modelo e, em seguida, selecione Guardar. Na janela Salvar pasta de trabalho em..., selecione o mesmo local selecionado no exercício de preparação e selecione OK.

5. No Microsoft Sentinel | Página Pastas de trabalho, selecione a guia Minhas pastas de trabalho. Na lista de modelos salvos, selecione Atividade do Azure. Em seguida, no painel de detalhes, selecione Exibir pasta de trabalho salva.

6. Na página Atividade do Azure- nomedosentinel, reveja todos os elementos do livro. Pode interagir com o livro ao selecionar alguns dos elementos.

7. Selecione o campo Intervalo de tempo para selecionar um intervalo de tempo diferente para os registros apresentados na tabela Atividade do Azure. Selecione o menu suspenso Chamador para filtrar os registros com base no usuário ou serviço que gera os eventos. Selecione o menu suspenso Grupo de Recursos para filtrar os eventos com base em um grupo de recursos específico.

   

8. Desloque-se para baixo até à tabela Atividades da função invocadora, que apresenta as atividades executadas pelos utilizadores ou principais de segurança. Ordene os dados da tabela em cada coluna ao selecionar as setas no cabeçalho da coluna.

9. Desloque-se para cima até à barra do cabeçalho na página Atividade do Azure- nomedosentinel. Selecione a opção Editar para mudar o livro para o modo de edição. Observe as várias opções Editar apresentadas na página.

10. Selecione a primeira opção Editar. Esta ação exibe o painel de edição de uma das etapas na pasta de trabalho. Você pode personalizar a apresentação dos elementos ajustando o estilo e reordenando-os em ordem diferente.

11. Você pode adicionar outros parâmetros com tipos diferentes, como texto, lista suspensa, multivalores ou similares.

12. Selecione Adicionar parâmetros.

13. Na página Novo Parâmetro, introduza os seguintes valores:

    Nome	Descrição
    Nome do parâmetro	Level
    Nome a apresentar	Level
    Tipo de parâmetro	No menu suspenso, selecione Suspenso.
    Necessário?	Marque essa caixa de seleção.
    Permitir várias seleções	Marque essa caixa de seleção.
    Limitar várias seleções	Não marque essa caixa de seleção.
    Delimitador	Mantenha os valores predefinidos.
    Citação com	Mantenha os valores predefinidos.
    Explicação	Este parâmetro filtra os eventos com base no nível.
    Ocultar parâmetro no modo de leitura	Não marque essa caixa de seleção.
    Obter dados de	Query

14. Na secção Consulta dos Registos da área de trabalho do Log Analytics, introduza a seguinte consulta e selecione Executar Consulta.

    AzureActivity
    |summarize by Level
    

15. Confirme se o resultado da consulta retorna dois tipos de eventos com base no nível: Informativo e Aviso.

    

16. Selecione Salvar para confirmar as alterações e observe que a etapa de parâmetro agora inclui um parâmetro chamado Level.

    Gorjeta

    No modo de edição, você pode selecionar o ícone de reticências ao lado da opção Editar para exibir um novo menu suspenso. Nesse menu, pode mover este passo para diferentes partes do livro. Também pode clonar ou remover o passo do livro.

17. Na barra de cabeçalho, selecione o ícone Guardar como para guardar o livro personalizado.

18. No campo Título, introduza um nome para o novo livro e, em seguida, selecione Guardar.

19. Quando terminar de fazer alterações, selecione Edição concluída.

    Gorjeta

    Sua nova pasta de trabalho está acessível a partir do Microsoft Sentinel | Painel Pastas de trabalho na guia Minhas pastas de trabalho. Se a nova pasta de trabalho não estiver listada, selecione a opção Atualizar .

Limpar os recursos

1. No portal do Azure, procure Grupo de recursos.
2. Selecione azure-sentinel-rg.
3. Na barra de cabeçalho, selecione Eliminar grupo de recursos.
4. No campo ESCREVER O NOME DO GRUPO DE RECURSOS:, introduza o nome do grupo de recursos azure-sentinel-rg e selecione Eliminar.