Упражнение. Визуализация данных с помощью книг Microsoft Sentinel

  • 8 мин

Будучи специалистом по безопасности компании Contoso, вы заметили подозрительные действия в подписке Azure и решили проанализировать их с помощью книг Microsoft Sentinel.

Упражнение. Запрос и визуализация данных с помощью книг Microsoft Sentinel

Вы хотите проанализировать журналы в Microsoft Sentinel из соединителя "Действие Azure". Вы хотите дополнительно реализовать визуализацию этих данных и сохранить ее в настраиваемой книге.

В этом упражнении изучите журналы и книги Microsoft Sentinel. Выполните следующие задачи:

  • Взаимодействие с данными журналов на странице Журналы в Microsoft Sentinel.
  • Создание и изменение пользовательской книги для визуализации важных данных.

Примечание.

Прежде чем выполнить это упражнение, необходимо выполнить запрос и визуализировать данные с помощью единицы книг Microsoft Sentinel. При необходимости сделайте это, а затем продолжайте работу с упражнением.

Задача 1. Работа с журналами в Microsoft Sentinel

  1. На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите ранее созданную рабочую область Microsoft Sentinel.

  2. На странице Microsoft Sentinel в разделе "Общие" выберите "Журналы".

    Примечание.

    При первом открытии страницы журналов вы можете перенаправиться в окно "Запросы ". Закройте окно Запросы и вернитесь к разделу Новый запрос 1.

  3. В Microsoft Sentinel | Страница "Журналы" в области "Таблицы" в раскрывающемся меню "Группа" выберите "Категория".

  4. В области "Таблицы" в списке таблиц разверните категорию ресурсов Azure, переместите курсор в таблицу действий Azure или используйте клавишу TAB для перехода к таблице, а затем выберите "Предварительный просмотр данных".

  5. В окне AzureActivity выберите Просмотр в редакторе запросов. Этот параметр позволяет просматривать данные и проверять, являются ли результаты ожидаемыми, прежде чем выполнять запрос с ним.

    Снимок экрана области

    В разделе Запрос можно просмотреть структуру запроса. По этому запросу выполняется поиск и предоставляются последние 10 событий из журнала "Активность Azure". Первая строка в запросе указывает таблицу, AzureActivity используемую в запросе. Вторая строка содержит инструкцию where , которая фильтрует записи с последнего дня. Третья строка содержит еще одну инструкцию для фильтрации только последних 10 событий.

    В разделе результатов запроса представлены результаты запроса. Развернув любую из записей, можно проверить значения в таблице. Выберите имя любого столбца, чтобы отсортировать результаты по этому столбцу.

  6. Щелкните значок фильтра рядом с ним, чтобы указать условие фильтра. Этот подход аналогичен добавлению условия фильтра в сам запрос, за исключением того, что этот фильтр очищается при повторном выполнении запроса. Если выбрать раскрывающееся меню "Столбцы ", можно отфильтровать столбцы из таблицы, которую вы хотите отобразить. Выбрав Группировать столбцы, можно группировать записи по определенному столбцу.

    Снимок экрана, на котором показаны результаты запроса с выделенными элементами, упомянутимы ранее.

  7. В области слева выберите вкладку Запросы. Эта панель содержит примеры запросов, которые можно добавить в окно запроса. Если вы используете собственную рабочую область, у вас будет множество запросов в различных категориях. Если вы используете демонстрационную среду, вы можете увидеть только одну категорию рабочих областей Log Analytics.

    Примечание.

    Вы можете попрактиковаться в написании запросов в следующей демонстрационной среде.

Задача 2. Работа с книгами в Microsoft Sentinel

  1. На странице Microsoft Sentinel в разделе "Управление угрозами" выберите книги.

  2. На странице Microsoft Sentinel | Книги выберите вкладку Шаблоны.

  3. В поле Поиск введите и выберите Azure Sentinel.

  4. В области сведений просмотрите информацию, указанную для шаблона, а затем выберите Сохранить. В окне Сохранить книгу в... выберите то же расположение, которое вы выбрали в подготовительном упражнении, а затем нажмите кнопку ОК.

  5. В Microsoft Sentinel | Страница "Книги" выберите вкладку "Мои книги". В списке сохраненных шаблонов выберите действие Azure. Затем в области сведений выберите "Вид сохраненной книги".

  6. На странице Активность Azure — имя_Sentinel проверьте все элементы книги. Для взаимодействия с книгой можно выбрать несколько элементов.

  7. Выберите поле диапазона времени, чтобы выбрать другой диапазон времени для записей, представленных в таблице действий Azure. Выберите раскрывающееся меню вызывающего абонента, чтобы отфильтровать записи на основе пользователя или службы, создающей события. Выберите раскрывающееся меню группы ресурсов, чтобы отфильтровать события на основе определенной группы ресурсов.

    Снимок экрана страницы

  8. Прокрутите вниз до таблицы Caller activities (Действия вызывающей стороны), в которой отображаются действия, выполняемые пользователями или субъектами безопасности. Отсортируйте данные таблицы в каждом столбце с помощью стрелок в заголовках столбцов.

  9. Прокрутите страницу вверх до строки заголовка на странице Активность Azure — имя_Sentinel. Выберите параметр Изменить, чтобы перевести книгу в режим редактирования. Обратите внимание, что на странице отображаются различные параметры Изменить.

  10. Выберите первый параметр Изменить. Это действие отображает область редактирования для одного из шагов книги. Вы можете настроить представление элементов, изменив стиль и изменив их порядок в другом порядке.

  11. Можно добавить другие параметры с различными типами, такими как текст, раскрывающийся список, многозначные значения или аналогичные.

  12. Выберите " Добавить параметры".

  13. На странице Новый параметр введите указанные ниже значения.

    Имя Описание
    Имя параметра Уровень
    Отображаемое имя Уровень
    Тип параметра В раскрывающемся меню выберите раскрывающийся список.
    Обязательный? Установите этот флажок.
    Разрешить несколько выборок Установите этот флажок.
    Ограничить множественный выбор Не установите этот флажок.
    Разделитель Оставьте значение по умолчанию.
    Кавычки с Оставьте значение по умолчанию.
    Описание Этот параметр фильтрует события на основе уровня.
    Скрыть параметр в режиме чтения Не установите этот флажок.
    Получать данные из Query

  14. В разделе Log Analytics workspace Logs Query (Запрос к журналам рабочей области Log Analytics) введите следующий запрос, а затем выберите Выполнить запрос.

    AzureActivity
|summarize by Level

  15. Убедитесь, что результат запроса возвращает два типа событий на основе уровня: информационное и предупреждение.

    Снимок экрана: панель

  16. Нажмите кнопку "Сохранить ", чтобы зафиксировать изменения, и обратите внимание, что шаг параметра теперь включает параметр с именем Level.

    Совет

    В режиме редактирования щелкните значок многоточия рядом с параметром "Изменить ", чтобы отобразить новое раскрывающееся меню. С помощью этого меню можно переместить данный этап в различные части книги. Вы можете также клонировать или удалить этап из книги.

  17. В строке заголовка щелкните значок Сохранить как, чтобы сохранить настроенную книгу.

  18. В поле Заголовок введите имя новой книги, а затем выберите Сохранить.

  19. После внесения изменений нажмите кнопку "Готово редактирование".

    Совет

    Новая книга доступна из Microsoft Sentinel | Область книг на вкладке "Мои книги". Если новая книга не указана, выберите параметр "Обновить ".

Очистка ресурсов

  1. На портале Azure найдите Группы ресурсов.
  2. Выберите azure-sentinel-rg.
  3. На панели заголовка щелкните Удалить группу ресурсов.
  4. В поле Введите имя группы ресурсов: введите имя группы ресурсов azure-sentinel-rg и выберите Удалить.