Övervaka och visualisera data

  • 5 minuter

Med Microsoft Sentinel-loggar får du åtkomst till de olika loggar som samlas in från säkerhetsanslutningarna. Microsoft Sentinel samlar in dessa loggar från sina integrerade anslutningsappar och lagrar dem på Azure Log Analytics-arbetsytan.

Log Analytics-arbetsyta

Log Analytics-arbetsytan är en lagringsplats som lagrar data och konfigurationsinformation. Du kan skapa frågor för att filtrera viktig information, som du sedan kan använda för att skapa analysregler och identifiera hot. Du kan till exempel använda Microsoft Sentinel-loggar för att söka efter data från flera källor, aggregera stora datamängder och utföra komplexa åtgärder för att hitta potentiella säkerhetshot och säkerhetsrisker.

Utforska sidan Microsoft Sentinel-loggar

Du kan söka efter specifika loggar på sidan Microsoft Sentinel-loggar . Visa sidan genom att välja Loggar i navigeringsfönstret i Microsoft Sentinel.

sidan Loggar finns följande huvuddelar :

  • Sidhuvudet innehåller länkar till avsnittet Frågor, inställningar och hjälp.
  • I fönstret Tabeller visas insamlade data från loggarna i tabeller, där var och en består av flera kolumner.
  • I frågefönstret kan du skriva egna frågeuttryck.
  • Resultatet av dina frågor visas i fönstret Frågeresultat.

Screenshot of the default Logs page that shows four elements: the Header bar, the Tables pane, the Queries pane, and the Query results/history pane.

Frågor

När du väljer länken Frågor i sidhuvudet öppnas ett nytt fönster där du kan välja bland några av de fördefinierade exempelfrågorna. I listrutan Frågor kan du filtrera dessa frågor baserat på:

  • Kategori
  • Frågetyp
  • Resurstyp
  • Lösning
  • Område

Välj Kör för att starta en fördefinierad fråga. Den här åtgärden omdirigerar dig till frågefönstret. Du kan se frågestrukturen och resultaten. För att åtgärda Contosos problem med obehöriga användare kör du den fördefinierade frågan Obehöriga användare.

Screenshot that presents unauthorized users.

Frågeutforskaren

Använd Frågeutforskaren för att komma åt dina tidigare sparade frågor. Du kan också komma åt vissa lösningsfrågor som huvudsakligen filtrerar de vanligaste frågorna som du kan använda för att filtrera data. Du kan antingen köra frågan eller ordna frågan i favoritavsnittet genom att välja stjärnsymbolen i listan Lösningsfrågor.

Fönstret Tabeller

I fönstret Tabeller grupperas loggar från olika lösningar i tabeller. Du kan expandera lösningsgruppen och observera alla loggar som samlas in. Du kan också välja en av loggarna i tabellfönstret. Du kan förhandsgranska data eller lägga till loggen i avsnittet Favoriter .

Följande skärmbild visar loggarna som samlats in i Microsoft Sentinel-lösningen.

Screenshot displaying the Tables view.

Fönstret Frågor

Använd fönstret Frågor för att skapa frågor som hämtar data baserat på det uttryck som du anger. Fönstret Frågor hjälper dig att skriva en korrekt fråga genom att ge förslag och automatiskt fylla i de förväntade elementen i frågan.

Dra nytta av funktionerna i KQL (Kusto Query Language) och skriv en fråga som hämtar data från loggarna. I följande exempel visas hur du använder KQL-kod i dina frågor för att identifiera borttagna virtuella datorer.

AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

Verktygsfältet Sidhuvud

Verktygsfältet för sidhuvud ger mer interaktion med frågan, vilket visas i följande skärmbild.

Screenshot of the header toolbar, with options described in the text following the image.

  • Spara frågan från fönstret Fråga genom att välja Spara. Den här åtgärden öppnar ett nytt fönster där du uppmanas att ange namnet på den sparade frågan och kategorin. Sparade frågor visas i frågeutforskaren.

  • I fältet Tidsintervall kan du ange en annan tid för att ändra det tidsintervall som du vill visa resultatet av frågan i.

  • Skapa en länk till frågan och dela med andra teammedlemmar genom att välja Kopiera länk till fråga. Du kan också kopiera frågetexten.

  • Från verktygsfältet för sidhuvuden i fönstret Fråga kan du skapa antingen en ny Azure Monitor-avisering eller en ny Microsoft Sentinel-avisering. Om du väljer att skapa en ny Microsoft Sentinel-avisering dirigeras du till nästa steg för att skapa en analysregel.

  • Exportera frågan till något av följande format:

    • Exportera till CSV. Exportera alla kolumner, både synliga och dolda, till en CSV-fil som du kan öppna med Microsoft Excel.
    • Exportera till CSV – Visade kolumner. Exportera endast de kolumner som visas i frågans resultatfönster.
    • Exportera till Power BI (M-fråga). Skapa och ladda ned en PowerBIQuery.txt-fil som du kan öppna med Microsoft Power BI-programmet.

    Du kan fästa resultatet av frågan på en privat eller delad instrumentpanel för att snabbt kunna undersöka resultatet av frågan.

  • Du kan använda Formatera fråga i sidhuvudets verktygsfält om du vill göra frågan mer läsbar.

Kommentar

Du kan bara exportera eller fästa frågan om frågeuttrycket genererar data i avsnittet med frågeresultat.

Frågeresultat

Under Resultat kan du se resultatet av frågan. Du kan också visa resultaten med hjälp av ett diagram eller dölja och visa andra kolumner för att filtrera frågeresultaten.

Testa dina kunskaper

1.

En administratör vill öppna en fråga som redan har sparats. Vilket av följande alternativ måste administratören välja när du har öppnat sidan Loggar i Microsoft Sentinel?

2.

Administratören vill skapa en analysregel från den skapade frågan. Vilket alternativ från frågefönstret ska administratören välja?