Визуализация и мониторинг данных с помощью рабочих книг в Microsoft Sentinel

После подключения источников данных к Microsoft Sentinel визуализируйте и отслеживайте данные с помощью рабочих тетрадей в Microsoft Sentinel. Рабочие книги Microsoft Sentinel основаны на рабочих книгах Azure Monitor и добавляют таблицы и диаграммы с аналитикой для журналов и запросов к средствам, уже доступным во Azure.

Microsoft Sentinel позволяет создавать пользовательские рабочие книги по всему вашему набору данных или использовать существующие шаблоны рабочих книг, доступные в составе пакетных решений или как автономный контент из центра контента. Каждая рабочая книга — это ресурс Azure, как и любой другой, и вы можете назначить доступ с помощью управления доступом на основе ролей Azure (RBAC), чтобы указать и ограничить, кто может получить доступ.

В этой статье описывается, как визуализировать данные в Microsoft Sentinel с помощью рабочих книг. Редактирование рабочих книг непосредственно на портале Defender доступно в режиме предварительной версии.

Предварительные условия

• Необходимо иметь по крайней мере разрешения читатель рабочей книги или соавтор рабочей книги в группе ресурсов рабочей области Microsoft Sentinel.

  Рабочие тетради, которые вы видите в Microsoft Sentinel, сохраняются в группе ресурсов рабочей области Microsoft Sentinel и ассоциированы с рабочей областью, в которой они были созданы.

• Чтобы использовать шаблон книги, установите решение, содержащее книгу, или установите книгу в качестве автономного элемента из Центра контента. Дополнительные сведения см. в статье "Обнаружение и управление готовым содержимым Microsoft Sentinel".

• Если вы работаете на портале Defender с источником данных Azure Data Explorer, обязательно настройте и выполните проверку подлинности в Azure Data Explorer на портале Defender.

Создание книги из шаблона

Используйте шаблон, установленный из контент-хаба, для создания рабочей книги.

1. В Microsoft Sentinel выберите Рабочие книги управления рисками > угрозами.

2. На странице рабочих книг выберите вкладку Шаблоны, чтобы просмотреть список установленных шаблонов рабочих книг. Выберите шаблон для просмотра сведений.

   Для некоторых книг требуются определенные подключения к данным. Перед сохранением книги проверьте наличие поля Обязательные типы данных, чтобы убедиться, что вы загрузили данные этого типа.

   Например:

   • Портал Defender
   • Портал Azure

   

3. В области сведений нажмите кнопку "Сохранить", а затем выберите расположение, в котором нужно сохранить книгу. Это действие создает ресурс Azure в выбранном расположении на основе соответствующего шаблона. В этом расположении сохраняется только JSON-файл рабочей книги, данные не сохраняются.

4. В области сведений выберите Просмотреть сохранённую книгу, чтобы открыть её для редактирования.

5. Открыв книгу, выберите "Изменить ", чтобы настроить книгу в соответствии с вашими потребностями.

   • Портал Defender
   • Портал Azure

   

   При работе на портале Defender некоторые визуализации можно просматривать только на портале Azure. В таких случаях нажмите кнопку "Открыть в Azure ", чтобы открыть книгу на портале Azure.

   Например, выберите фильтр TimeRange , чтобы просмотреть данные для другого диапазона времени, чем текущий выбор. Чтобы изменить определенную область книги, выберите "Изменить " или выберите многоточие (...), чтобы добавить элементы, переместить, клонировать или удалить область.

   Чтобы клонировать книгу, нажмите кнопку "Сохранить как". Сохраните клон с другим именем в той же подписке и группе ресурсов. Клонированные рабочие книги также отображаются на вкладке "Мои рабочие книги" на странице рабочих книг наблюдения за угрозами > Microsoft Sentinel >.

6. По завершении нажмите кнопку "Готовое редактирование" , чтобы сохранить изменения.

Дополнительные сведения см. в разделе:

• Создавайте интерактивные отчеты с помощью Workbooks Azure Monitor
• Руководство. Визуальные данные в Log Analytics

Создание новой книги

Создайте книгу с нуля в Microsoft Sentinel.

1. В Microsoft Sentinel выберите >, а затем выберите Добавить рабочую книгу.

2. Чтобы изменить книгу, нажмите кнопку "Изменить", а затем добавьте текст, запросы и параметры по мере необходимости.

   Дополнительные сведения о настройке рабочей книги см. в разделе "Создание интерактивных отчетов в рабочих книгах Azure Monitor".

   

3. При создании запроса установите Источник данных на Логи и Тип ресурса на Log Analytics, а затем выберите одну или несколько рабочих областей.

   Мы рекомендуем использовать средство синтаксического анализа расширенной информационной модели безопасности (ASIM), а не встроенную таблицу. Затем запрос будет поддерживать любой текущий или будущий соответствующий источник данных, а не один источник данных.

4. После завершения редактирования нажмите кнопку "Готово" и " Сохранить". В боковой области введите понятное имя книги и выберите подписку и группу ресурсов для рабочей области.

5. При работе на портале Azure переключитесь между рабочими книгами в вашей рабочей области, выбрав Открыть на панели инструментов любой рабочей книги. Отобразится список других книг, на которые можно переключиться.

   Выберите книгу, которую требуется открыть:

   

Создание новых таблиц для рабочих книг

Чтобы добавить кастомную плитку в книгу Microsoft Sentinel, сначала создайте плитку в Log Analytics. Дополнительные сведения см. в разделе "Визуальные данные" в Log Analytics.

После создания плитки выберите "Закрепить ", а затем выберите книгу, в которой будет отображаться плитка.

Обновите данные в рабочей книге

Чтобы отобразить в книге обновленные данные, обновите ее. На панели инструментов выберите одну из следующих команд:

• Обновите, чтобы вручную обновить данные рабочей книги.

• Автоматическое обновление, чтобы установить автоматическое обновление книги с заданным интервалом.

  • Поддерживаемые интервалы автоматического обновления варьируются от 5 минут до 1 дня.

  • Автоматическое обновление приостанавливается во время правки книги, а отсчет интервалов начинается заново при каждом переключении в режим просмотра из режима правки.

  • Кроме того, отсчет интервалы автоматического обновления начинается с нуля при ручном обновлении данных.

  По умолчанию автоматическое обновление данных отключено. Если вы включили автоматическое обновление, оно снова отключается каждый раз, когда вы закрываете записную книжку, для оптимизации производительности и предотвращения работы в фоновом режиме. Включите снова автоматическое обновление при следующем открытии книги, если потребуется.

Печать книги или сохранение в формате PDF (только на портале Azure)

Чтобы распечатать книгу или сохранить ее в формате PDF, используйте меню параметров справа от заголовка книги. Эти параметры доступны только на портале Azure. Если вы работаете на портале Defender, выберите "Открыть в Azure ", чтобы открыть книгу на портале Azure.

1. Выберите параметры >печати содержимого.

2. На экране печати настройте параметры печати по мере необходимости или нажмите кнопку "Сохранить как PDF" , чтобы сохранить его локально.

   Например:

   

Удаление одной или нескольких рабочих книг

Вы можете удалить сохраненные шаблоны и настраиваемые книги на вкладке "Мои книги ". Сами шаблоны не могут быть удалены.

Чтобы удалить книгу, выберите книгу на вкладке "Мои книги " и нажмите кнопку "Удалить". Это действие удаляет ресурс рабочей книги и все изменения, которые вы внесли в шаблон. Исходный шаблон остается доступным.

Рекомендации по рабочей книге

В этом разделе рассматриваются основные рекомендуемые нами рекомендации по использованию рабочих книг с Microsoft Sentinel.

Добавить рабочие книги Microsoft Entra ID

Если вы используете Microsoft Entra ID с Microsoft Sentinel, рекомендуется установить Microsoft Entra Solution для Microsoft Sentinel и использовать следующие рабочие книги:

• Входы Microsoft Entra анализируются с течением времени, чтобы определить, есть ли аномалии. Этот учебник предоставляет данные о неудачных попытках входа в систему по приложениям, устройствам и местоположениям, чтобы вы могли сразу заметить, если произойдет что-то необычное. Обратите внимание на многочисленные неудачные попытки входа.
• Журналы аудита Microsoft Entra анализируют действия администратора, такие как изменения пользователей (добавление, удаление и т. д.), создание группы и изменения.

Добавление шаблонов брандмауэра

Рекомендуем установить решение из Концентратора контента, чтобы добавить рабочую тетрадь для брандмауэра.

Например, установите решение брандмауэра Palo Alto для Microsoft Sentinel, чтобы добавить встроенные отчёты Palo Alto. Рабочие тетради анализируют трафик брандмауэра, предоставляя корреляции между данными брандмауэра и событиями угроз, и выделяя подозрительные события среди сущностей.

Создайте разные книги для различного использования

Мы рекомендуем создавать различные визуализации для каждого типа персоны, использующего книги, на основе роли человека и того, что они ищут. Например, создайте книгу для сетевого администратора, включающую данные брандмауэра.

Или же создайте рабочие книги на основе того, как часто вы хотите их просматривать: есть ли вещи, которые вы хотите проверять ежедневно, и другие пункты, которые вы хотите просматривать каждый час. Например, вы можете просматривать входы в систему Microsoft Entra каждый час для поиска аномалий.

Пример запроса для сравнения тенденций трафика в течение нескольких недель

Используйте следующий запрос, чтобы создать визуализацию, которая сравнивает тенденции трафика в течение нескольких недель. Переключите поставщик устройства и источник данных, на который выполняется запрос, в зависимости от среды.

В следующем примере запроса используется таблица SecurityEvent из Windows. Вы можете переключить его для запуска в таблице AzureActivity или CommonSecurityLog на любом другом брандмауэре.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Пример запроса с данными из нескольких источников

Вы можете создать запрос, который включает в себя данные из нескольких источников. Например, создайте запрос, который просматривает журналы аудита Microsoft Entra для новых пользователей, созданных, а затем проверяет журналы Azure, чтобы узнать, начал ли пользователь вносить изменения в назначение ролей в течение 24 часов после создания. Это подозрительное действие будет отображаться в визуализации со следующим запросом:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации Kusto:

• Оператор where
• Оператор расширения
• Оператор проекта
• Оператор project-away
• Оператор соединения
• Оператор суммировать
• функция ago()
• функция bin()
• Функция iff()
• функция tostring()
• Функция агрегирования count()

Дополнительные сведения о KQL см. в обзоре языка запросов Kusto (KQL).

Другие ресурсы:

• Краткий справочник по KQL
• Ресурсы обучения языка запросов Kusto

Известные проблемы для редактирования книг на портале Defender (предварительная версия)

Редактирование книг непосредственно на портале Defender в настоящее время находится в предварительной версии и в настоящее время включает следующие известные проблемы:

• Расширенный редактор может отображаться в светлом режиме, даже если на портале задан темный режим.
• Пользовательские данные конечной точки не поддерживаются для редактирования рабочих книг на портале Защитника.
• Вложенные рабочие книги не поддерживаются для редактирования на портале Defender.
• Общий доступ только для чтения не поддерживается для рабочих книг в портале Защитник.
• Схемы Mermaid не поддерживаются для редактирования рабочих книг в портале Defender.

Связанные статьи

Дополнительные сведения см. в разделе:

• Часто используемые рабочие книги Microsoft Sentinel

• Рабочие книги Azure Monitor