Поделиться через


Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel

После подключения источников данных к Microsoft Sentinel визуализировать и отслеживать данные с помощью книг в Microsoft Sentinel. Книги Microsoft Sentinel основаны на книгах Azure Monitor и добавляют таблицы и диаграммы с аналитикой для журналов и запросов к средствам, уже доступным в Azure.

Microsoft Sentinel позволяет создавать пользовательские книги в данных или использовать существующие шаблоны книг, доступные с упакованными решениями или как автономное содержимое из концентратора контента. Каждая книга — это ресурс Azure, как и любой другой, и вы можете назначить его с помощью управления доступом на основе ролей Azure (RBAC), чтобы определить и ограничить доступ пользователей.

В этой статье описывается визуализация данных в Microsoft Sentinel с помощью книг.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

  • У вас должна быть по меньшей мере роль читателя книги (а лучше участника книги) в группе ресурсов рабочей области Microsoft Sentinel.

    Книги, которые вы видите в Microsoft Sentinel, сохраняются в группе ресурсов рабочей области Microsoft Sentinel и помечены рабочей областью, в которой они были созданы.

  • Чтобы использовать шаблон книги, установите решение, содержащее книгу, или установите книгу в качестве автономного элемента из Центра контента. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".

Создание книги из шаблона

Используйте шаблон, установленный из концентратора содержимого, для создания книги.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите книги.
    Для Microsoft Sentinel на портале Defender выберите книги Microsoft Sentinel>Threat Management>.

  2. Перейдите к книгам и выберите шаблоны , чтобы просмотреть список установленных шаблонов книг.

    Чтобы узнать, какие шаблоны относятся к подключенным типам данных, просмотрите поле "Обязательные типы данных" в каждой книге, где доступно.

  3. Выберите "Сохранить " в области сведений о шаблоне и расположение, в котором нужно сохранить JSON-файл для шаблона. Это действие создает ресурс Azure на основе соответствующего шаблона и сохраняет JSON-файл книги, а не данные.

  4. Выберите "Вид сохраненной книги " в области сведений о шаблоне.

  5. Нажмите кнопку Изменить на панели инструментов книги, после чего настройте книгу в соответствии со своими потребностями.

    Снимок экрана: сохраненная книга.

    Например, выберите фильтр TimeRange , чтобы просмотреть данные для другого диапазона времени, чем текущий выбор. Чтобы изменить определенную область книги, выберите "Изменить " или выберите многоточие (...), чтобы добавить элементы, переместить, клонировать или удалить область.

    Чтобы клонировать книгу, нажмите кнопку "Сохранить как". Сохраните клон с другим именем в той же подписке и группе ресурсов. Клонированные книги отображаются на вкладке Мои книги.

  6. Когда все будет готово, нажмите кнопку Сохранить, чтобы сохранить изменения.

Дополнительные сведения см. в разделе:

Создание новой книги

Создайте книгу с нуля в Microsoft Sentinel.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите книги.
    Для Microsoft Sentinel на портале Defender выберите книги Microsoft Sentinel>Threat Management>.

  2. Выберите " Добавить книгу".

  3. Чтобы изменить книгу, щелкните Изменить и добавьте нужные строки, запросы и (или) параметры. Дополнительные сведения о настройке книги см. в статье о создании интерактивных отчетов с помощью книг Azure Monitor.

    Снимок экрана, на котором показана новая книга.

  4. При создании запроса задайте для источника данных значение Log Analytics и тип ресурса, а затем выберите одну или несколько рабочих областей.

    Мы рекомендуем использовать в запросе средство синтаксического анализа модели расширенной информации о безопасности (ASIM), а не встроенную таблицу. Затем запрос будет поддерживать любой текущий или будущий соответствующий источник данных, а не один источник данных.

  5. После создания книги сохраните книгу в подписке и группе ресурсов рабочей области Microsoft Sentinel.

  6. Если вы хотите, чтобы другие пользователи в организации могли использовать эту книгу, в разделе Сохранить в выберите Общие отчеты. Если книга должна быть доступна только вам, выберите Мои отчеты.

  7. Чтобы переключиться между книгами в рабочей области, выберите "ОткрытьЗначок открытия книги." на панели инструментов любой книги. Отобразится список других книг, на которые можно переключиться.

    Выберите книгу, которую требуется открыть:

    Переключение книг.

Создание новых плиток для книг

Чтобы добавить пользовательскую плитку в книгу Microsoft Sentinel, сначала создайте плитку в Log Analytics. Дополнительные сведения см. в разделе "Визуальные данные" в Log Analytics.

После создания плитки выберите " Закрепить ", а затем выберите книгу, в которой будет отображаться плитка.

Обновление данных в книге

Чтобы отобразить в книге обновленные данные, обновите ее. На панели инструментов выберите одну из следующих команд:

  • Обновить — для обновления данных книги вручную;

  • Автообновление — для настройки автоматического обновления книги с заданным интервалом.

    • Поддерживаемые интервалы автоматического обновления — от 5 минут до 1 дня.

    • Автоматическое обновление приостанавливается во время правки книги, а отсчет интервалов начинается заново при каждом переключении в режим просмотра из режима правки.

    • Кроме того, отсчет интервалы автоматического обновления начинается с нуля при ручном обновлении данных.

    По умолчанию автоматическое обновление данных отключено. Чтобы оптимизировать производительность, автоматическое обновление отключается при каждом закрытии книги. Он не выполняется в фоновом режиме. Включите автоматическое обновление по необходимости при следующем открытии книги.

Чтобы распечатать книгу или сохранить ее в формате PDF, используйте меню параметров справа от заголовка книги.

  1. Щелкните значок параметров, а затем выберите пункт Print content (Печать содержимого).

  2. На экране печати настройте нужные параметры печати или выберите Сохранить как PDF, чтобы сохранить книгу локально.

    Например:

    Снимок экрана: печать книги или сохранение в формате PDF.

Удаление книг

Чтобы удалить сохраненную книгу, сохраните шаблон или настраиваемую книгу, выберите сохраненную книгу, которую вы хотите удалить, и нажмите кнопку "Удалить". Это действие удаляет сохраненную книгу. Он также удаляет ресурс книги и все изменения, внесенные в шаблон. Исходный шаблон остается доступным.

Рекомендации по книге

В этом разделе рассматриваются основные рекомендации по использованию книг Microsoft Sentinel.

Добавление книг идентификатора Microsoft Entra

Если вы используете идентификатор Microsoft Entra с Microsoft Sentinel, рекомендуется установить решение Microsoft Entra для Microsoft Sentinel и использовать следующие книги:

  • Вход Microsoft Entra анализирует входы со временем, чтобы узнать, есть ли аномалии. Эта книга предоставляет неудачные входы в систему приложениями, устройствами и расположениями, чтобы вы могли заметить, если произойдет что-то необычное. Обратите внимание на несколько неудачных входов.
  • Журналы аудита Microsoft Entra анализируют действия администратора, такие как изменения пользователей (добавление, удаление и т. д.), создание группы и изменения.

Добавление книг брандмауэра

Рекомендуется установить соответствующее решение из Концентратора контента, чтобы добавить книгу для брандмауэра.

Например, установите решение брандмауэра Palo Alto для Microsoft Sentinel, чтобы добавить книги Palo Alto. Книги анализируют трафик брандмауэра, обеспечивая корреляцию между данными брандмауэра и событиями угроз и выделением подозрительных событий между сущностями.

Снимок экрана: книга Palo Alto.

Создание разных книг для различных использования

Мы рекомендуем создавать различные визуализации для каждого типа персоны, использующего книги, на основе роли человека и того, что они ищут. Например, создайте книгу для сетевого администратора, включающую данные брандмауэра.

Кроме того, создайте книги на основе того, насколько часто вы хотите их посмотреть, есть ли вещи, которые вы хотите просматривать ежедневно, и другие элементы, которые вы хотите проверить один раз в час. Например, вы можете посмотреть на входы Microsoft Entra каждый час, чтобы искать аномалии.

Используйте следующий запрос, чтобы создать визуализацию, которая сравнивает тенденции трафика в течение нескольких недель. Переключите поставщик устройства и источник данных, на который выполняется запрос, в зависимости от среды.

В следующем примере запроса используется таблица SecurityEvent из Windows. Вы можете переключить его для запуска в таблице AzureActivity или CommonSecurityLog на любом другом брандмауэре.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Пример запроса с данными из нескольких источников

Вы можете создать запрос, который включает в себя данные из нескольких источников. Например, создайте запрос, который просматривает журналы аудита Microsoft Entra для новых пользователей, созданных, а затем проверяет журналы Azure, чтобы узнать, начал ли пользователь вносить изменения в назначение ролей в течение 24 часов после создания. Это подозрительное действие будет отображаться в визуализации со следующим запросом:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Дополнительные сведения см. в разделе: