Использование книг Microsoft Sentinel по умолчанию

  • 5 мин

Microsoft Sentinel предоставляет несколько готовых к использованию шаблонов. Эти шаблоны можно использовать для создания собственной книги, которую затем можно будет изменять по мере необходимости для Contoso.

Книги Microsoft Sentinel

У большинства соединителей данных, используемых Microsoft Sentinel для приема данных, есть собственные книги. Вы можете получить аналитические сведения о данных, которые принимаются с помощью таблиц и визуализаций, включая линейчатые и круговые диаграммы. Вы также можете создавать собственные книги с нуля, а не использовать предопределенные шаблоны.

Страница "Книга"

Вы можете получить доступ к странице книг для Microsoft Sentinel в области навигации. На странице книг можно добавить новую книгу и просмотреть сохраненные книги и шаблоны.

Доступ к существующим шаблонам книг можно получить на вкладке "Шаблоны ". Некоторые книги можно сохранить для быстрого доступа. Они отображаются на вкладке "Мои книги ".

На вкладке "Шаблоны " можно выбрать существующую книгу, чтобы отобразить для нее область сведений, содержащую дополнительные сведения для шаблона. Область сведений также содержит информацию о требуемых типах данных и соединителях данных, которые должны быть подключены к Microsoft Sentinel. Кроме того, можно просмотреть отображение отчета.

Просмотр имеющегося шаблона книги

Как упоминалось ранее, компанию Contoso беспокоят скомпрометированные удостоверения. Администратор безопасности может проверить существующую книгу журналов входа Microsoft Entra, выбрав этот шаблон в разделе "Шаблоны ". Затем выберите шаблон "Вид" в области сведений.

Книга журналов входа Microsoft Entra содержит предопределенные диаграммы, графы и таблицы, которые могут предоставить важные сведения о действиях входа в идентификаторе Microsoft Entra. Вы можете найти сведения о входе и расположении пользователей, а также их адресах электронной почты и IP-адресах. Вы также можете просмотреть сведения о неудачных действиях и ошибках, которые вызвали сбои.

На странице журналов входа в Microsoft Entra можно развернуть диапазон времени или отфильтровать приложения и пользователей с правами входа в идентификатор Microsoft Entra. Например, Contoso хочет определить пользователей, которые могут войти в портал Azure, чтобы можно было отфильтровать данные следующим образом.

Screenshot that displays Sign-in Analysis with filtering of the users that sign-in to the Azure portal.

Компания Contoso заинтересована в выявлении неудачных попыток входа. Эти учетные записи можно отобразить, выбрав плитки сведений, а затем выберите плитку или строку, чтобы отобразить дополнительные сведения, например:

  • Входы по расположению. В этом разделе указывается расположение, из которого пользователь вошел в идентификатор Microsoft Entra.
  • Сведения о входе в расположении. В этом разделе отображаются пользователи, их состояние входа и время попытки входа.
  • Число входов по устройствам. В этом разделе перечислены устройства, используемые пользователями для входа в идентификатор Microsoft Entra.
  • Сведения о входе на устройство. В этом разделе отображаются пользователи, выполнившие вход на определенном устройстве, и время их входа.

Эта плитка сведений в фоновом режиме настроена для выполнения запроса и фильтрации данных, собранных из соединителя Microsoft Entra. Затем Microsoft Sentinel визуализирует и представляет данные, собранные с помощью таблиц, которые являются более значимыми и предоставляют полезные сведения о попытках входа пользователей.

Книга содержит другие плитки, указывающие пользователей, выполнивших вход с помощью условного доступа. В таблице состояния условного доступа можно просмотреть пользователей, которым требуется многофакторная проверка подлинности для проверки удостоверения.

Screenshot of Conditional Access activity.

Остальная часть страницы также содержит таблицы и диаграммы, которые являются интерактивными. Выберите некоторые строки или плитки, чтобы отфильтровать представленные данные. Некоторые таблицы создаются со ссылками на соответствующие журналы, как показано на следующем снимке экрана.

Screenshot of the links that can open the query in Azure Data Explorer or pin the query in dashboard.

Примечание.

Чтобы ускорить извлечение данных, можно закрепить этап запроса на частной или общей панели мониторинга.

Изменение запроса из книги

Например, Компания Contoso хочет искать журналы для получения дополнительных сведений, которые представляют неудачный вход пользователя. Они перенаправляются в Обозреватель данных Azure, где Microsoft Sentinel выполняет запрос журнала для фильтрации информации.

Screenshot of Data Explorer.

Просмотр сохраненных книг

На странице Шаблоны можно сохранить рабочую книгу из существующих шаблонов,выбрав один из готовых шаблонов, затем нажав Сохранить. Необходимо указать расположение, в котором нужно сохранить книгу. Этот процесс создает ресурс Azure на основе шаблона с JSON-файлом шаблона.

Сохраненные книги доступны на вкладке "Мои книги" , где их можно настроить. Вы можете открыть сохраненные книги, выбрав Просмотреть сохраненную книгу. Это действие открывает ту же страницу, что и страница книги шаблона, но ее можно настроить на основе требований Компании Contoso.

Выберите "Изменить", чтобы открыть книгу в режиме редактирования. Вы можете добавлять или удалять элементы и предоставлять дополнительные настройки. В режиме редактирования отображается все содержимое книги, в том числе шаги и параметры, которые были бы скрыты в режиме чтения.

Строка заголовка в режиме редактирования содержит несколько параметров, показанных на следующем снимке экрана.

Screenshot of the Editing mode that depicts the various editing options such as Save, Save As, Settings, Refresh, Share, Help, and more.

При переходе в режим редактирования обратите внимание на несколько параметров редактирования , соответствующих каждому отдельному аспекту книги. При выборе одного из этих параметров редактирования можно проверить запрос, используемый Microsoft Sentinel для фильтрации данных из соответствующего журнала.

При выборе значка параметров откроется страница Параметры, где можно предоставить другие ресурсы, которые вы хотите использовать в книге. Вы можете также изменить стиль книги, указать для нее теги или закрепить в ней элемент.

Screenshot of the Settings page.

Выбрав Показать параметры закрепления, можно изменить расположение различных таблиц в книге.

Для расширенной настройки можно выбрать Расширенный редактор, чтобы открыть представление JSON текущей книги, а затем настроить ее в текстовом редакторе. Изменения можно сохранить в имеющейся или другой книге. Завершив настройку, можно выйти из режима редактирования, нажав кнопку "Готовое редактирование".

Обзор репозитория Microsoft Sentinel на сайте GitHub

Репозиторий Microsoft Sentinel содержит встроенные обнаружения, поисковые запросы, поисковые запросы, поисковые запросы, книги, сборники схем и многое другое для защиты среды и обнаружения угроз. Корпорация Майкрософт и сообщество Microsoft Sentinel пополняют этот репозиторий.

Репозиторий содержит папки с предоставленным содержимым для различных функциональных возможностей Microsoft Sentinel, включая запросы обнаружения. Вы можете использовать код из этих запросов для создания настраиваемых запросов в рабочей области Microsoft Sentinel.

Проверьте свои знания

1.

Какой из следующих элементов не может быть частью книги?

2.

В каком разделе книги журналов входа Microsoft Entra администратор может найти сведения, необходимые пользователям для многофакторной проверки подлинности (MFA) для проверки удостоверения.