Мониторинг и визуализация данных

Завершено

Страница "Журналы" в Microsoft Sentinel позволяет получить доступ к различным журналам, собранным из соединителей безопасности. Microsoft Sentinel собирает эти журналы из интегрированных соединителей и сохраняет их в рабочей области Azure Log Analytics.

Рабочая область Log Analytics

Рабочая область Log Analytics — это репозиторий, в котором хранятся данные и сведения о конфигурации. Здесь можно создавать запросы для фильтрации важных сведений, которые затем можно использовать для создания правил аналитики и обнаружения угроз. Например, журналы Microsoft Sentinel можно использовать для поиска данных из нескольких источников, агрегирования больших наборов данных и выполнения сложных операций для поиска потенциальных угроз безопасности и уязвимостей.

Обзор страницы "Журналы" в Microsoft Sentinel

Вы можете найти определенные журналы на странице журналов Microsoft Sentinel. Просмотрите страницу, выбрав "Журналы " в области навигации в Microsoft Sentinel.

Страница "Журналы" содержит следующие основные части:

• Заголовок страницы содержит ссылки на раздел "Запросы", "Параметры" и "Справка".
• область Таблицы, в которой собранные из журналов данные отображаются в виде таблиц, каждая из которых состоит из нескольких столбцов;
• область запросов, позволяющая создавать собственные выражения запросов;
• область результатов запроса, в которой отображаются результаты запросов.

Запросы

При выборе ссылки Запросы в заголовке страницы открывается новое окно, в котором можно выбрать один из предопределенных образцов запросов. С помощью раскрывающегося меню Запросы можно фильтровать запросы по следующим критериям:

• Категория
• Тип запроса
• Тип ресурса
• Решение
• Раздел

Выберите "Выполнить" , чтобы запустить предопределенный запрос. Это действие перенаправляет вас в область запросов. Вы можете наблюдать за структурой запросов и результатами. Чтобы устранить озабоченность компании Contoso по поводу несанкционированных пользователей, выполните предопределенный запрос "Неавторизованные пользователи".

Обозреватель запросов

Используйте Обозреватель запроса для доступа к ранее сохраненным запросам. Кроме того, можно воспользоваться рядом запросов решения. По сути, они фильтруют наиболее распространенные запросы, которые можно использовать для фильтрации данных. С помощью списка Запросы решения можно выполнить запрос или поместить его в раздел "Избранное", щелкнув символ звездочки.

Область "Таблицы"

В области Таблицы журналы из различных решений группируются в виде таблиц. Развернув группу решений, можно просмотреть все собираемые журналы. Вы также можете выбрать один из журналов в области таблиц. Вы можете просмотреть данные или добавить этот журнал в раздел "Избранное ".

На следующем снимке экрана показаны журналы, собранные в решении Microsoft Sentinel.

Область "Запросы"

Используйте область "Запросы" для создания запросов, которые извлекают данные на основе предоставленного выражения. Область "Запросы " помогает создавать точный запрос, предоставляя предложения и автоматически заполняя ожидаемые элементы запроса.

Воспользовавшись возможностями языка запросов Kusto (KQL), можно написать запрос, извлекающий данные из журналов. В следующем примере показано, как использовать код KQL в запросах для обнаружения удаленных виртуальных машин.

AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

Панель инструментов заголовка

Панель инструментов заголовка обеспечивает больше взаимодействия с запросом, как показано на следующем снимке экрана.

• Сохраните запрос в области Запрос, выбрав Сохранить. Это действие открывает новое окно, в котором будет предложено ввести имя сохраненного запроса и категории. Сохраненные запросы отображаются в обозревателе запросов.

• В поле Диапазон времени можно указать другое время, чтобы изменить диапазон времени, для которого нужно отобразить результаты запроса.

• Создайте ссылку на запрос и предоставьте к нему общий доступ другим участникам команды, выбрав Копировать ссылку на запрос. Кроме того, можно скопировать текст запроса.

• На панели инструментов заголовка в области Запрос можно создать новое оповещение Azure Monitor или новое оповещение Microsoft Sentinel. Если вы решили создать новое оповещение Microsoft Sentinel, вы будете перенаправлены на следующие действия по созданию правила аналитики.

• Запрос можно экспортировать в один из следующих форматов.

  • Экспорт в CSV. Экспортируйте все столбцы, видимые и скрытые, в CSV-файл, который можно открыть с помощью Microsoft Excel.
  • Экспорт в CSV отображаемых столбцов. Экспортируйте только те столбцы, которые отображаются в окнах результатов запроса.
  • Экспорт в Power BI (запрос M). Создайте и скачайте файл PowerBIQuery.txt , который можно открыть с помощью приложения Microsoft Power BI.

  Вы можете закрепить результаты запроса на частной или общей панели мониторинга, чтобы быстро просмотреть результаты запроса.

• Чтобы сделать запрос более удобным для чтения, можно использовать функцию Format query (Форматировать запрос) на панели инструментов заголовка.

Примечание.

Запрос можно экспортировать или закрепить, только если выражение запроса создает данные в разделе результатов запроса.

Результаты запроса

В разделе "Результаты" можно наблюдать результаты запроса. Вы также можете представить результаты с помощью диаграммы или скрыть и отобразить другие столбцы для фильтрации результатов запроса.

Проверьте свои знания

1.

Администратор хочет открыть сохраненный ранее запрос. Какой из следующих вариантов должен выбрать администратор после открытия страницы "Журналы" в Microsoft Sentinel?

Запросы

Обозреватель запросов

Область "Таблицы"

2.

Администратор хочет создать правило аналитики на основе созданного запроса. Какой параметр в области "Запросы" должен выбрать администратор?

Оповещение Azure Monitor

Оповещение Microsoft Sentinel

Копирование ссылки

Вы должны ответить на все вопросы перед проверкой.