Använda standardarbetsböcker för Microsoft Sentinel

Slutförd

Microsoft Sentinel innehåller flera mallar som är redo att användas. Du kan använda mallarna för att skapa en egen arbetsbok och sedan ändra dem efter Contosos behov.

Microsoft Sentinel-arbetsböcker

De flesta dataanslutningar som Microsoft Sentinel använder för att mata in data levereras med egna arbetsböcker. Du kan få insikter om de data som matas in med hjälp av tabeller och visualiseringar, inklusive stapel- och cirkeldiagram. Du kan också skapa egna arbetsböcker från grunden i stället för att använda de fördefinierade mallarna.

Sidan Arbetsbok

Du kan komma åt sidan Arbetsböcker för Microsoft Sentinel från navigeringsfönstret. På sidan Arbetsböcker kan du lägga till en ny arbetsbok och granska de sparade arbetsböcker och mallar som är tillgängliga.

Du kan komma åt befintliga arbetsboksmallar på fliken Mallar . Du kan spara några av arbetsböckerna för snabb åtkomst. De visas på fliken Mina arbetsböcker .

På fliken Mallar kan du välja en befintlig arbetsbok för att visa ett informationsfönster för den, som innehåller ytterligare information för mallen. Informationsfönstret innehåller också information om de datatyper och dataanslutningar som krävs som måste vara anslutna till Microsoft Sentinel. Du kan också granska hur rapporten visas.

Granska en befintlig arbetsboksmall

Som nämnts tidigare är Contoso oroliga för komprometterade identiteter. Som säkerhetsadministratör kan du undersöka den befintliga Microsoft Entra-inloggningsloggarbetsboken genom att välja den mallen i avsnittet Mallar . Välj sedan Visa mall i informationsfönstret.

Microsoft Entra-inloggningsloggarbetsboken innehåller fördefinierade diagram, grafer och tabeller som kan ge viktig insikt om inloggningsaktiviteten i Microsoft Entra-ID. Du kan hitta information om användarinloggningar och platser, e-postadresser och IP-adresser för dina användare. Du kan också granska information om misslyckade aktiviteter och de fel som utlöste felen.

På sidan Inloggningsloggar för Microsoft Entra kan du utöka tidsintervallet eller filtrera de appar och användare som har inloggningsbehörighet i Microsoft Entra-ID. Contoso vill till exempel identifiera användare som kan logga in på Azure Portal, så att du kan filtrera data på följande sätt.

Skärmbild som visar inloggningsanalys med filtrering av de användare som loggar in på Azure-portalen.

Contoso är intresserad av att identifiera misslyckade inloggningsförsök. Du kan visa dessa konton genom att välja informationspanelerna och sedan välja en panel eller en rad för att visa mer information, till exempel:

  • Inloggningar efter plats. Det här avsnittet anger var användaren loggade in på Microsoft Entra-ID.
  • Information om platsinloggning. I avsnittet visas användarna, deras inloggningsstatus och tiden för inloggningsförsöket.
  • Inloggningar per enhet. I det här avsnittet visas enheter som används av användarna för att logga in på Microsoft Entra-ID.
  • Information om enhetsinloggning. I avsnittet visas de användare som har loggat in på en viss enhet och den tid när de loggade in.

Den här informationspanelen i bakgrunden är konfigurerad för att köra frågan och filtrera data som samlas in från Microsoft Entra-anslutningsappen. Microsoft Sentinel visualiserar och presenterar sedan de data som samlas in med hjälp av tabeller, som är mer meningsfulla och ger användbar insikt om användarinloggningsförsök.

Arbetsboken innehåller andra paneler som anger vilka användare som loggade in med villkorlig åtkomst. I tabellen Status för villkorsstyrd åtkomst kan du granska användare som krävde multifaktorautentisering för att verifiera sin identitet.

Skärmbild av aktivitet för villkorsstyrd åtkomst.

Resten av sidan innehåller även tabeller och diagram som är interaktiva. Välj några av raderna eller panelerna för att filtrera de data som visas. Vissa tabeller skapas med länkar till motsvarande loggar enligt nedanstående skärmbild.

Skärmbild av länkarna som kan öppna frågan i Azure Data Explorer eller fästa frågan på instrumentpanelen.

Kommentar

Du kan också fästa frågesteget på den privata eller delade instrumentpanelen för snabb hämtning.

Redigera frågan från arbetsboken

Contoso vill till exempel söka i loggarna efter mer information som visar den misslyckade användarinloggningen. De omdirigeras till Azure Data Explorer, där Microsoft Sentinel utför loggfrågan för att filtrera informationen.

Skärmbild av Data Explorer.

Utforska sparade arbetsböcker

På sidan Mallar kan du spara en arbetsbok från befintliga mallar genom att välja en av mallarna och sedan välja Spara. Du måste ange en plats för att ange var du vill spara arbetsboken. Den här processen skapar en Azure-resurs baserat på mallen med mallens JSON-fil.

Sparade arbetsböcker är tillgängliga på fliken Mina arbetsböcker , där du kan anpassa dem. Du kan öppna sparade arbetsböcker genom att välja Visa sparad arbetsbok. Den här åtgärden öppnar samma sida som mallarbetsbokssidan, men du kan anpassa den här baserat på Contosos krav.

Välj Redigera för att öppna arbetsboken i redigeringsläget. Du kan lägga till eller ta bort objekt och tillhandahålla mer anpassning. I redigeringsläget visas allt innehåll i arbetsboken, inklusive steg och parametrar som skulle vara dolda i läsläget.

Rubrikfältet i redigeringsläget innehåller flera alternativ, vilket visas på nedanstående skärmbild.

Skärmbild av redigeringsläget som visar de olika redigeringsalternativen, till exempel Spara, Spara som, Inställningar, Uppdatera, Dela, Hjälp med mera.

När du växlar till redigeringsläget ser du flera redigeringsalternativ som motsvarar varje enskild aspekt av arbetsboken. Om du väljer något av dessa redigeringsalternativ kan du undersöka frågan som Microsoft Sentinel använder för att filtrera data från motsvarande logg.

När du väljer inställningsikonen öppnas sidan Inställningar , där du kan ange andra resurser som du vill använda i arbetsboken. Du kan också ändra formatet för arbetsboken, ange taggning eller fästa ett objekt i arbetsboken.

Skärmbild av sidan Inställningar.

Du kan arrangera om placeringen av olika tabeller i arbetsboken genom att välja Visa fästalternativ.

För avancerad anpassning kan du välja Avancerad redigerare för att öppna JSON-representationen av den aktuella arbetsboken och ytterligare anpassa den i textredigeraren. Du kan spara ändringarna i den befintliga arbetsboken eller spara som en annan arbetsbok. När du är klar med all anpassning kan du avsluta redigeringsläget genom att välja Klar redigering.

Utforska Microsoft Sentinel-lagringsplatsen på GitHub

Microsoft Sentinel-lagringsplatsen innehåller färdiga identifieringar, utforskningsfrågor, jaktfrågor, arbetsböcker, spelböcker med mera som hjälper dig att skydda din miljö och identifiera hot. Microsoft och Microsoft Sentinel-communityn bidrar till den här lagringsplatsen.

Lagringsplatsen innehåller mappar med bidraget innehåll för flera områden av Microsoft Sentinel-funktioner, inklusive identifieringsfrågor. Du kan använda koden från dessa frågor för att skapa anpassade frågor på din Microsoft Sentinel-arbetsyta.

Kontrollera dina kunskaper

1.

Vilket av följande element kan inte ingå i arbetsboken?

2.

I vilket avsnitt i arbetsboken för Microsoft Entra-inloggningsloggar kan en administratör hitta information om att användare måste utföra multifaktorautentisering (MFA) för att verifiera sin identitet.