練習 - 使用 Microsoft Sentinel 活頁簿將資料視覺化

  • 8 分鐘

Contoso 的資訊安全工程師注意到 Azure 訂用帳戶中有可疑的活動,並決定使用 Microsoft Sentinel 活頁簿來分析此活動。

練習:使用 Microsoft Sentinel 活頁簿查詢及視覺化資料

您想要從 Azure 活動連接器分析 Microsoft Sentinel 中的記錄。 您想要進一步實作此資料的視覺效果,並將其儲存在自訂的活頁簿中。

在此練習中,您將探索記錄和 Microsoft Sentinel 活頁簿。 您執行了下列工作:

  • 與 Microsoft Sentinel [記錄] 頁面中的記錄資料互動。
  • 建立和編輯自訂活頁簿,以將重要資料視覺化。

注意

完成此練習前,您必須先使用 Microsoft Sentinel 活頁簿單元完成查詢並視覺化資料。 如果您尚未這麼做,請先完成該單元,然後再繼續進行練習步驟。

工作 1:使用 Microsoft Sentinel 中的 [記錄]

  1. 在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel],然後選取先前建立的 Microsoft Sentinel 工作區。

  2. 在 [Microsoft Sentinel] 頁面的 [一般] 區段中,選取 [記錄]

    注意

    您第一次開啟 [記錄] 頁面時,系統可能會將您重新導向至 [查詢] 視窗。 關閉 [查詢] 視窗,然後返回 [新查詢 1] 區段。

  3. 在 [Microsoft Sentinel | 記錄] 頁面的 [資料表] 窗格中,從 [依解決方案分組] 下拉式選單選取 [類別]

  4. 在 [資料表] 窗格中,從資料表清單中展開 [Azure 資源] 類別,將游標移到 [Azure 活動] 資料表上,或使用 [TAB] 鍵瀏覽至資料表,然後選取 [預覽資料]

  5. 在 [AzureActivity] 視窗中,選取 [在查詢編輯器中查看]。 此選項可讓您預覽資料,並在實際執行查詢之前,檢查結果是否如同預期。

    資料表窗格的螢幕擷取畫面。

    您可以在 [查詢] 區段中觀察查詢結構。 此查詢會搜尋並顯示 Azure 活動記錄中的最後 10 個事件。 查詢的第一個資料列,AzureActivity 會指定用於查詢的資料表。 第二行當中包含 where 陳述式,會從最後一天篩選記錄。 第三行則包含另一個陳述式,只對最後 10 個事件進行篩選。

    [查詢結果] 區段會顯示查詢的結果。 您可以展開任何記錄,以檢閱資料表中的值。 選取任何資料行的名稱,以依據該資料行來排序結果。

  6. 選取其旁邊的篩選圖示,以提供篩選條件。 此方法類似於將篩選條件新增至查詢本身,但如果您再次執行查詢,則會清除此篩選條件。 如果您選取 [資料行] 下拉式功能表,可以從您要顯示的資料表中篩選資料行。 您可以選取 [將資料行分組],依據特定資料行對記錄進行分組。

    具有先前已呼叫項目的查詢結果螢幕擷取畫面。

  7. 在左側窗格中選取 [查詢] 索引標籤。 此窗格包含您可以新增至查詢視窗的範例查詢。 如果您使用自己的工作區,應該有多個類別中的各種查詢。 如果您使用展示版本環境,可能只會看到單一 Log Analytics 工作區類別。

    注意

    您可以在下列示範環境中嘗試練習撰寫查詢。

工作 2:使用 Microsoft Sentinel 中的 [活頁簿]

  1. 在 [Microsoft Sentinel] 頁面的 [威脅管理] 區段中,選取 [活頁簿]

  2. 在 [Microsoft Sentinel | 活頁簿] 頁面上,選取 [範本] 索引標籤。

  3. 在 [搜尋] 欄位中,輸入並選取 [Azure 活動]

  4. 在 [詳細資料] 窗格中,檢閱為範本提供的資訊,然後選取 [儲存]。 在 [將活頁簿儲存至...] 視窗中,選取您在準備練習中選取的相同位置,然後選取 [確定]

  5. 在 [Microsoft Sentinel | 活頁簿] 頁面上,選取 [我的活頁簿] 索引標籤。從儲存的範本清單中選取 [Azure 活動]。 在詳細資料窗格中,選取 [檢視已儲存的活頁簿]

  6. 在 [Azure 活動] 的 [sentinelname] 頁面上,檢閱活頁簿的所有元素。 您可以選取部分元素來與活頁簿互動。

  7. 選取 [時間範圍] 欄位,以選取顯示於 Azure 活動資料表中記錄的不同時間範圍。 選取 [呼叫者] 下拉式功能表,以根據產生事件的使用者或服務來篩選記錄。 選取 [資源群組] 下拉式功能表,以根據特定資源群組來篩選事件。

    具有先前已呼叫元素的 Azure 活動頁面螢幕擷取畫面。

  8. 向下捲動至呼叫者活動資料表,其中顯示使用者或安全性主體所執行的活動。 選取資料行標題中的箭號,以排序每個資料行中的資料表資料。

  9. 向上捲動至 Azure 活動sentinelname 頁面上的標題列。 選取 [編輯] 選項,以將活頁簿切換至編輯模式。 觀察顯示在頁面上的各種 [編輯] 選項。

  10. 選取第一個 [編輯] 選項。 此動作會顯示活頁簿中其中一個步驟的編輯窗格。 您可以調整樣式並依不同順序重新排序,自訂元素的呈現方式。

  11. 您可以新增其他類型的參數,例如文字、下拉式清單、多重值或類似參數。

  12. 選取 [新增參數]

  13. 在 [新參數] 頁面中,輸入下列值:

    名稱 描述
    參數名稱 層級
    顯示名稱 層級
    參數類型 從下拉式功能表中,選取 [下拉式清單]
    [必要?] 選取此核取方塊。
    允許多重選取 選取此核取方塊。
    [限制複選] 請勿選取此核取方塊。
    分隔符號 保留預設值。
    [引用] 保留預設值。
    說明 此參數會根據層級篩選事件。
    [在閱讀模式中隱藏參數] 請勿選取此核取方塊。
    [取得資料來源] 查詢

  14. 在 [Log Analytics 工作區記錄查詢] 區段中,輸入下列查詢,然後選取 [執行查詢]

    AzureActivity
|summarize by Level

  15. 確認查詢結果是否根據層級傳回兩種類型的事件:[知識] 和 [警告]

    [新參數] 窗格的螢幕擷取畫面,其中包含新增參數的步驟。螢幕擷取畫面中醒目提示了 [儲存]、[查詢]、[執行查詢] 選項和 [AzureActivity] 區段。

  16. 選取 [儲存] 以認可變更,並注意現在參數步驟包含稱為 Level 的參數。

    提示

    在編輯模式中,您可以選取 [編輯] 選項旁邊的省略符號圖示,以顯示新的下拉式功能表。 從該功能表中,您可以將此步驟移至活頁簿的其他位置。 您也可以從活頁簿複製或移除步驟。

  17. 在標題列上,選取另存新檔圖示,以儲存自訂的活頁簿。

  18. 在 [標題] 欄位中,提供新活頁簿的名稱,然後選取 [儲存]

  19. 當您完成變更時,請選取 [完成編輯]

    提示

    您的新活頁簿可從 [我的活頁簿] 索引標籤中的 [Microsoft Sentinel | 活頁簿窗格]存取。若未列出您的新活頁簿,請選取 [重新整理] 選項。

清除資源

  1. 在 Azure 入口網站中,搜尋資源群組
  2. 選取 [azure-sentinel-rg]。
  3. 在標頭列上,選取 [刪除資源群組]
  4. 在 [輸入資源群組名稱:] 欄位中,輸入資源群組名稱 azure-sentinel-rg,然後選取 [刪除]