Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel

После подключения источников данных к Microsoft Sentinel визуализировать и отслеживать данные с помощью книг в Microsoft Sentinel. Книги Microsoft Sentinel основаны на книгах Azure Monitor и добавляют таблицы и диаграммы с аналитикой для журналов и запросов к средствам, уже доступным в Azure.

Microsoft Sentinel позволяет создавать пользовательские книги в данных или использовать существующие шаблоны книг, доступные с упакованными решениями или как автономное содержимое из концентратора контента. Каждая книга — это ресурс Azure, как и любой другой, и вы можете назначить его с помощью управления доступом на основе ролей Azure (RBAC), чтобы определить и ограничить доступ пользователей.

В этой статье описывается визуализация данных в Microsoft Sentinel с помощью книг. Редактирование рабочих книг непосредственно на портале Defender доступно в режиме предварительной версии.

Необходимые компоненты

• Необходимо иметь по крайней мере разрешения читатель рабочей книги или соавтор рабочей книги в группе ресурсов рабочей области Microsoft Sentinel.

  Книги, которые вы видите в Microsoft Sentinel, сохраняются в группе ресурсов рабочей области Microsoft Sentinel и помечены рабочей областью, в которой они были созданы.

• Чтобы использовать шаблон книги, установите решение, содержащее книгу, или установите книгу в качестве автономного элемента из Центра контента. Дополнительные сведения см. в статье "Обнаружение и управление готовым содержимым Microsoft Sentinel".

• Если вы работаете на портале Defender с источником данных Azure Data Explorer, обязательно настройте и выполните проверку подлинности в Azure Data Explorer на портале Defender.

Создание книги из шаблона

Используйте шаблон, установленный из концентратора содержимого, для создания книги.

1. В Microsoft Sentinel выберите Рабочие книги управления рисками > угрозами.

2. На странице рабочих книг выберите вкладку Шаблоны, чтобы просмотреть список установленных шаблонов рабочих книг. Выберите шаблон для просмотра сведений.

   Для некоторых книг требуются определенные подключения к данным. Перед сохранением книги проверьте наличие поля Обязательные типы данных, чтобы убедиться, что вы загрузили данные этого типа.

   Например:

   • Портал Defender
   • Портал Azure

   

3. В области сведений нажмите кнопку "Сохранить", а затем выберите расположение, в котором нужно сохранить книгу. Это действие создает ресурс Azure в выбранном расположении на основе соответствующего шаблона. В этом расположении сохраняется только JSON-файл рабочей книги, данные не сохраняются.

4. В области сведений выберите Просмотреть сохранённую книгу, чтобы открыть её для редактирования.

5. Открыв книгу, выберите "Изменить ", чтобы настроить книгу в соответствии с вашими потребностями.

   • Портал Defender
   • Портал Azure

   

   При работе на портале Defender некоторые визуализации можно просматривать только на портале Azure. В таких случаях нажмите кнопку "Открыть в Azure ", чтобы открыть книгу на портале Azure.

   Например, выберите фильтр TimeRange , чтобы просмотреть данные для другого диапазона времени, чем текущий выбор. Чтобы изменить определенную область книги, выберите "Изменить " или выберите многоточие (...), чтобы добавить элементы, переместить, клонировать или удалить область.

   Чтобы клонировать книгу, нажмите кнопку "Сохранить как". Сохраните клон с другим именем в той же подписке и группе ресурсов. Клонированные рабочие книги также отображаются на вкладке "Мои рабочие книги" на странице рабочих книг наблюдения за угрозами > Microsoft Sentinel >.

6. По завершении нажмите кнопку "Готовое редактирование" , чтобы сохранить изменения.

Дополнительные сведения см. в разделе:

• Создавайте интерактивные отчеты с помощью Workbooks Azure Monitor
• Руководство. Визуальные данные в Log Analytics

Создание новой книги

Создайте книгу с нуля в Microsoft Sentinel.

1. В Microsoft Sentinel выберите Рабочие книги по управлению угрозами, а затем выберите Добавить рабочую книгу.

2. Чтобы изменить книгу, нажмите кнопку "Изменить", а затем добавьте текст, запросы и параметры по мере необходимости.

   Дополнительные сведения о настройке рабочей книги см. в разделе "Создание интерактивных отчетов в рабочих книгах Azure Monitor".

   

3. При создании запроса установите Источник данных на Логи и Тип ресурса на Log Analytics, а затем выберите одну или несколько рабочих областей.

   Мы рекомендуем использовать средство синтаксического анализа расширенной информационной модели безопасности (ASIM), а не встроенную таблицу. Затем запрос будет поддерживать любой текущий или будущий соответствующий источник данных, а не один источник данных.

4. После завершения редактирования нажмите кнопку "Готово" и " Сохранить". В боковой области введите понятное имя книги и выберите подписку и группу ресурсов для рабочей области.

5. При работе на портале Azure переключитесь между рабочими книгами в вашей рабочей области, выбрав Открыть на панели инструментов любой рабочей книги. Отобразится список других книг, на которые можно переключиться.

   Выберите книгу, которую требуется открыть:

   

Создание новых плиток для книг

Чтобы добавить пользовательскую плитку в книгу Microsoft Sentinel, сначала создайте плитку в Log Analytics. Дополнительные сведения см. в разделе "Визуальные данные" в Log Analytics.

После создания плитки выберите "Закрепить ", а затем выберите книгу, в которой будет отображаться плитка.

Обновление данных в книге

Чтобы отобразить в книге обновленные данные, обновите ее. На панели инструментов выберите одну из следующих команд:

• Обновите, чтобы вручную обновить данные рабочей книги.

• Автоматическое обновление, чтобы установить автоматическое обновление книги с заданным интервалом.

  • Поддерживаемые интервалы автоматического обновления варьируются от 5 минут до 1 дня.

  • Автоматическое обновление приостанавливается во время правки книги, а отсчет интервалов начинается заново при каждом переключении в режим просмотра из режима правки.

  • Кроме того, отсчет интервалы автоматического обновления начинается с нуля при ручном обновлении данных.

  По умолчанию автоматическое обновление данных отключено. Если вы включили автоматическое обновление, оно снова отключается каждый раз, когда вы закрываете записную книжку, для оптимизации производительности и предотвращения работы в фоновом режиме. Включите автоматическое обновление по необходимости при следующем открытии книги.

Печать книги или сохранение в формате PDF (только на портале Azure)

Чтобы распечатать книгу или сохранить ее в формате PDF, используйте меню параметров справа от заголовка книги. Эти параметры доступны только на портале Azure. Если вы работаете на портале Defender, выберите "Открыть в Azure ", чтобы открыть книгу на портале Azure.

1. Выберите параметры >печати содержимого.

2. На экране печати настройте параметры печати по мере необходимости или нажмите кнопку "Сохранить как PDF" , чтобы сохранить его локально.

   Например:

   

Удаление одной или нескольких рабочих книг

Вы можете удалить сохраненные шаблоны и настраиваемые книги на вкладке "Мои книги ". Сами шаблоны не могут быть удалены.

Чтобы удалить книгу, выберите книгу на вкладке "Мои книги " и нажмите кнопку "Удалить". Это действие удаляет ресурс рабочей книги и все изменения, которые вы внесли в шаблон. Исходный шаблон остается доступным.

Рекомендации по книге

В этом разделе рассматриваются основные рекомендуемые нами рекомендации по использованию рабочих книг с Microsoft Sentinel.

Добавление книг идентификатора Microsoft Entra

Если вы используете идентификатор Microsoft Entra с Microsoft Sentinel, рекомендуется установить решение Microsoft Entra для Microsoft Sentinel и использовать следующие книги:

• Входы Microsoft Entra анализируются с течением времени, чтобы определить, есть ли аномалии. Эта книга предоставляет неудачные входы в систему приложениями, устройствами и расположениями, чтобы вы могли заметить, если произойдет что-то необычное. Обратите внимание на несколько неудачных входов.
• Журналы аудита Microsoft Entra анализируют действия администратора, такие как изменения пользователей (добавление, удаление и т. д.), создание группы и изменения.

Добавление книг брандмауэра

Рекомендуем установить решение из Концентратора контента, чтобы добавить рабочую тетрадь для брандмауэра.

Например, установите решение брандмауэра Palo Alto для Microsoft Sentinel, чтобы добавить книги Palo Alto. Книги анализируют трафик брандмауэра, обеспечивая корреляцию между данными брандмауэра и событиями угроз и выделением подозрительных событий между сущностями.

Создание разных книг для различных использования

Мы рекомендуем создавать различные визуализации для каждого типа персоны, использующего книги, на основе роли человека и того, что они ищут. Например, создайте книгу для сетевого администратора, включающую данные брандмауэра.

Кроме того, создайте книги на основе того, насколько часто вы хотите их посмотреть, есть ли вещи, которые вы хотите просматривать ежедневно, и другие элементы, которые вы хотите проверить один раз в час. Например, вы можете посмотреть на входы Microsoft Entra каждый час, чтобы искать аномалии.

Пример запроса для сравнения тенденций трафика в течение нескольких недель

Используйте следующий запрос, чтобы создать визуализацию, которая сравнивает тенденции трафика в течение нескольких недель. Переключите поставщик устройства и источник данных, на который выполняется запрос, в зависимости от среды.

В следующем примере запроса используется таблица SecurityEvent из Windows. Вы можете переключить его для запуска в таблице AzureActivity или CommonSecurityLog на любом другом брандмауэре.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Пример запроса с данными из нескольких источников

Вы можете создать запрос, который включает в себя данные из нескольких источников. Например, создайте запрос, который просматривает журналы аудита Microsoft Entra для новых пользователей, созданных, а затем проверяет журналы Azure, чтобы узнать, начал ли пользователь вносить изменения в назначение ролей в течение 24 часов после создания. Это подозрительное действие будет отображаться в визуализации со следующим запросом:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации Kusto:

• Оператор where
• Оператор расширения
• Оператор проекта
• Оператор project-away
• Оператор соединения
• Оператор суммировать
• функция ago()
• функция bin()
• Функция iff()
• функция tostring()
• Функция агрегирования count()

Дополнительные сведения о KQL см. в обзоре язык запросов Kusto (KQL).

Другие ресурсы:

• Краткий справочник по KQL
• Ресурсы обучения языка запросов Kusto

Известные проблемы для редактирования книг на портале Defender (предварительная версия)

Редактирование книг непосредственно на портале Defender в настоящее время находится в предварительной версии и в настоящее время включает следующие известные проблемы:

• Расширенный редактор может отображаться в светлом режиме, даже если на портале задан темный режим.
• Пользовательские данные конечной точки не поддерживаются для редактирования рабочих книг на портале Защитника.
• Вложенные рабочие книги не поддерживаются для редактирования на портале Defender.
• Общий доступ только для чтения не поддерживается для рабочих книг в портале Защитник.
• Схемы Mermaid не поддерживаются для редактирования рабочих книг в портале Defender.

Связанные статьи

Дополнительные сведения см. в разделе:

• Часто используемые рабочие книги Microsoft Sentinel

• Рабочие книги Azure Monitor