使用預設的 Microsoft Sentinel 活頁簿
Microsoft Sentinel 提供數個立即可用的範本。 您可使用這些範本建立自己的活頁簿,然後視需要針對 Contoso 進行修改。
Microsoft Sentinel 活頁簿
Microsoft Sentinel 用來內嵌資料的大部分資料連線器都附有自己的活頁簿。 使用資料表和視覺效果 (包括橫條圖和圓形圖) 深入解析正在內嵌的資料。 您也可以從頭開始建立自有活頁簿,而不使用預先定義的範本。
[活頁簿] 頁面
您可以從瀏覽窗格存取 Microsoft Sentinel 的 [活頁簿] 頁面。 在 [活頁簿] 頁面中,您可以新增活頁簿,並檢閱可用的已儲存活頁簿和範本。
您可在 [範本] 索引標籤上存取現有的活頁簿範本。您可儲存一些活頁簿供快速存取。 它們會顯示在 [我的活頁簿] 索引標籤上。
您可在 [範本] 索引標籤中選取現有的活頁簿,以顯示其包含範本其他資訊的 [詳細資料] 窗格。 [詳細資料] 窗格也包含必須連線到 Microsoft Sentinel 的所需資料類型和資料連線器其資訊。 您也可以檢閱報表的顯示方式。
檢閱現有的活頁簿範本
如前所述,Contoso 擔心身分識別遭盜用。 身為安全性系統管理員,您可在 [範本] 區段中選取該範本,以檢查現有的 [Microsoft Entra 登入記錄] 活頁簿。 然後選取詳細資料窗格中的 [檢視範本]。
[Microsoft Entra 登入記錄] 活頁簿包含預先定義的圖表、圖形和資料表,其可提供有關 Microsoft Entra ID 登入活動的重要深入解析。 您可找到使用者登入和位置、電子郵件地址和使用者 IP 位址的資訊。 您也可以檢閱失敗活動以及觸發失敗的錯誤的資訊。
在 [Microsoft Entra 登入記錄] 頁面中,您可展開時間範圍,或篩選在 Microsoft Entra ID 中具有登入權限的應用程式和使用者。 例如,Contoso 希望識別可登入到 Azure 入口網站的使用者,使您可以篩選資料,如下所示。
Contoso 有興趣識別失敗的登入嘗試。 您可以透過選取資訊磚來顯示這些帳戶,然後選取磚或資料列來顯示更多資訊,例如:
- 依位置排序的登入。 此區段會指出使用者登入 Microsoft Entra ID 的位置。
- 位置登入詳細資料。 此區段會顯示使用者、其登入狀態和嘗試登入的時間。
- 依裝置排列的登入。 此區段會列出使用者用來登入 Microsoft Entra ID 的裝置。
- 裝置登入詳細資料。 此區段會顯示在特定裝置上登入的使用者,以及其登入時間。
此資訊磚在背景中設定為執行查詢,以及篩選從 Microsoft Entra 連接器收集的資料。 然後,Microsoft Sentinel 會使用資料表來視覺化並呈現收集到的資料,這些資料更有意義,並提供與使用者登入嘗試相關的實用見解。
活頁簿還有其他磚,其會指出使用條件式存取登入的使用者。 您可在條件式存取狀態資料表中,檢閱需要以多重要素驗證來驗證其身分識別的使用者。
頁面的其餘部分也包含互動式的資料表和圖表。 選取一些資料列或圖格,以篩選呈現的資料。 有些資料表是使用對應記錄的連結所建立,如下列螢幕擷取畫面所示。
注意
您也可以在私人或共用的儀表板中釘選查詢步驟,以利快速擷取。
從活頁簿編輯查詢
例如,Contoso 想要搜尋記錄,以取得顯示失敗使用者登入的詳細資訊。 系統會將他們重新導向至 Azure 資料總管,其中 Microsoft Sentinel 會執行記錄查詢來篩選資訊。
探索已儲存的活頁簿
從 [範本] 頁面,您可以選取其中一個範本,然後選取 [儲存] 來儲存現有範本中的活頁簿。您必須提供位置來指出要儲存活頁簿的位置。 此流程會使用範本的 JSON 檔案,以根據範本建立 Azure 資源。
您可在 [我的活頁簿] 索引標籤上取得儲存的活頁簿,並加以自訂。 您可選取 [View saved workbook] (檢視已儲存的活頁簿) 以開啟儲存的活頁簿。 此動作會開啟與範本活頁簿頁面相同的頁面,但是您可根據 Contoso 的需求自訂此頁面。
選取 [編輯] 以在編輯模式中開啟活頁簿。 您可以新增或移除項目,並提供更多自訂。 編輯模式會顯示活頁簿中的所有內容,包括閱讀模式中可能隱藏的步驟和參數。
編輯模式中的標頭列包含數個選項,如下列螢幕擷取畫面所示。
![描述 [儲存]、[另存新檔]、[設定]、[重新整理]、[共用]、[說明] 等各種編輯選項的編輯模式螢幕擷取畫面。](../../wwl-sci/query-data-sentinel/media/05-editing-options.png)
切換到編輯模式後,您會發現數個 [編輯] 選項,其對應至活頁簿的各個層面。 如果選取其中一個編輯選項,您可檢查 Microsoft Sentinel 用來篩選對應記錄資料的查詢。
選取設定圖示時,[設定] 頁面隨即開啟,您可在此提供要在活頁簿中使用的其他資源。 您也可以變更活頁簿的樣式、提供標籤,或在活頁簿中釘選項目。
![[設定] 頁面的螢幕擷取畫面。](../../wwl-sci/query-data-sentinel/media/05-settings.png)
您可選取 [Show Pin Options] (顯示釘選選項),在活頁簿中重新排列不同資料表的位置。
如需進階自訂,您可選取進階編輯器以開啟目前活頁簿的 JSON 表示法,然後在文字編輯器中加以進一步自訂。 您可將變更儲存在現有的活頁簿中,或另存為其他活頁簿。 完成所有自訂後,您可選取 [完成編輯] 結束編輯模式。
探索 GitHub 上的 Microsoft Sentinel 存放庫
Microsoft Sentinel 存放庫包含現成的偵測、探索查詢、搜捕查詢、活頁簿、劇本,以及更多功能,可協助保護環境並偵測威脅。 此存放庫是由 Microsoft 及 Microsoft Sentinel 社群共同打造。
存放庫有數個資料夾,其中具有不同 Microsoft Sentinel 功能領域的投稿內容,包括偵測查詢。 您可使用這些查詢中的程式碼,在 Microsoft Sentinel 工作區中建立自訂查詢。