Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После подключения источников данных к Microsoft Sentinel визуализируйте и отслеживайте данные с помощью книг в Microsoft Sentinel. Microsoft Sentinel книги основаны на книгах Azure Мониторинг и добавляют таблицы и диаграммы с аналитикой для журналов и запросов в средства, уже доступные в Azure.
Microsoft Sentinel позволяет создавать пользовательские книги для данных или использовать существующие шаблоны книг, доступные в упакованных решениях или в качестве автономного содержимого из концентратора содержимого. Каждая книга является Azure ресурсом, как и любой другой, и ее можно назначить с помощью Azure управления доступом на основе ролей (RBAC), чтобы определить и ограничить доступ к ним.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
У вас должны быть по крайней мере разрешения на чтение книги или участник книги в группе ресурсов рабочей области Microsoft Sentinel.
Книги, отображаемые в Microsoft Sentinel, сохраняются в группе ресурсов рабочей области Microsoft Sentinel и помечаются рабочей областью, в которой они были созданы.
Чтобы использовать шаблон книги, установите решение, содержащее книгу, или установите книгу как автономный элемент из Центра содержимого. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.
Если вы работаете на портале Defender с источником данных Azure Data Explorer, обязательно настройте и выполните проверку подлинности для Azure Data Explorer с портала Defender.
Создание книги на основе шаблона
Используйте шаблон, установленный из центра содержимого, чтобы создать книгу.
В Microsoft Sentinel выберите Книги управления > угрозами.
На странице Книги выберите вкладку Шаблоны , чтобы просмотреть список установленных шаблонов книг. Выберите шаблон, чтобы просмотреть сведения о нем.
Для работы некоторых книг требуются определенные подключения к данным. Перед сохранением книги проверка для поля Обязательные типы данных убедитесь, что вы приняли этот тип данных.
Например, вы можете:
В области сведений выберите Сохранить, а затем выберите расположение, в котором вы хотите сохранить книгу. Это действие создает ресурс Azure в выбранном расположении на основе соответствующего шаблона. В этом расположении сохраняется только JSON-файл книги, и данные отсутствуют.
В области сведений выберите Просмотреть сохраненную книгу , чтобы открыть ее для редактирования.
Открыв книгу, выберите Изменить , чтобы настроить книгу в соответствии с вашими потребностями.
При работе на портале Defender некоторые визуализации можно просматривать только в портал Azure. В таких случаях выберите Открыть в Azure, чтобы открыть книгу в портал Azure.
Например, выберите фильтр TimeRange , чтобы просмотреть данные для диапазона времени, отличного от текущего выделенного. Чтобы изменить определенную область книги, выберите Изменить или нажмите кнопку с многоточием (...), чтобы добавить элементы, либо переместить, клонировать или удалить область.
Чтобы клонировать книгу, выберите Сохранить как. Сохраните клон с другим именем в той же подписке и группе ресурсов. Клонированные книги также отображаются на вкладке Мои книги на странице книги Microsoft Sentinel > Управление > угрозами.
По завершении выберите Готово редактирование , чтобы сохранить изменения.
Дополнительные сведения см. в разделе:
- Создание интерактивных отчетов с помощью Azure мониторинг книг
- Руководство. Визуальные данные в Log Analytics
Создание книги
Создайте книгу с нуля в Microsoft Sentinel.
В Microsoft Sentinel выберите Книги управления > угрозами, а затем — Добавить книгу.
Чтобы изменить книгу, выберите Изменить, а затем добавьте текст, запросы и параметры при необходимости.
Дополнительные сведения о настройке книги см. в статье Создание интерактивных отчетов с помощью Azure мониторинг книг.
При создании запроса задайте для параметра Источник данныхзначение Журналы , а для типа ресурса — Log Analytics, а затем выберите одну или несколько рабочих областей.
Рекомендуется использовать в запросе средство синтаксического анализа расширенной информационной модели безопасности (ASIM), а не встроенную таблицу. Затем запрос будет поддерживать любой текущий или будущий релевантный источник данных, а не один источник данных.
Завершив редактирование, выберите Готово редактирование , а затем — Сохранить. В боковой области введите понятное имя книги и выберите подписку и группу ресурсов для рабочей области.
При работе в портал Azure переключитесь между книгами в рабочей области, нажав кнопку Открыть
На панели инструментов любой книги. Экран переключится на список других книг, на которые можно переключаться.Выберите книгу, которую нужно открыть:
Создание плиток для книг
Чтобы добавить пользовательскую плитку в книгу Microsoft Sentinel, сначала создайте плитку в Log Analytics. Дополнительные сведения см. в разделе Визуальные данные в Log Analytics.
После создания плитки выберите Закрепить , а затем выберите книгу, в которой будет отображаться плитка.
Обновление данных книги
Обновите книгу, чтобы отобразить обновленные данные. На панели инструментов выберите один из следующих параметров:
Обновите, чтобы вручную обновить данные книги.
Автоматическое обновление, чтобы настроить автоматическое обновление книги с настроенным интервалом.Поддерживаемые интервалы автоматического обновления варьируются от 5 минут до 1 дня.
Автоматическое обновление приостанавливается при редактировании книги, а интервалы перезапускаются при каждом переключении в режим просмотра из режима редактирования.
Интервалы автоматического обновления также перезапускаются при обновлении данных вручную.
По умолчанию автоматическое обновление отключено. Если вы включили автоматическое обновление, оно снова отключается при каждом закрытии записной книжки, чтобы оптимизировать производительность и предотвратить ее запуск в фоновом режиме. Включите автоматическое обновление при необходимости при следующем открытии книги.
Печать книги или сохранение в формате PDF (только портал Azure)
Чтобы распечатать книгу или сохранить ее в формате PDF, используйте меню параметров справа от названия книги. Эти параметры доступны только в портал Azure. Если вы работаете на портале Defender, выберите Открыть в Azure, чтобы открыть книгу в портал Azure.
Выберите параметры >
Печать содержимого.На экране печати измените параметры печати по мере необходимости или выберите Сохранить как PDF , чтобы сохранить его локально.
Например, вы можете:
Удаление одной или нескольких книг
Сохраненные шаблоны и настраиваемые книги можно удалить на вкладке Мои книги . Сами шаблоны не могут быть удалены.
Чтобы удалить книгу, выберите ее на вкладке Мои книги , а затем нажмите кнопку Удалить. Это действие удаляет ресурс книги и все изменения, внесенные в шаблон. Исходный шаблон остается доступным.
Рекомендации по книгам
В этом разделе рассматриваются основные рекомендации по использованию книг с Microsoft Sentinel.
Добавление книг Microsoft Entra ID
Если вы используете Microsoft Entra ID с Microsoft Sentinel, рекомендуется установить решение Microsoft Entra для Microsoft Sentinel и использовать следующие книги:
- Microsoft Entra входа анализирует входы с течением времени, чтобы узнать, есть ли аномалии. Эта книга предоставляет неудачные входы приложений, устройств и расположений, чтобы вы могли сразу заметить, что происходит что-то необычное. Обратите внимание на несколько неудачных входов.
- Microsoft Entra журналы аудита анализируют действия администратора, такие как изменения в пользователях (добавление, удаление и т. д.), создание групп и изменения.
Добавление книг брандмауэра
Рекомендуется установить соответствующее решение из Центра содержимого , чтобы добавить книгу для брандмауэра.
Например, установите решение брандмауэра Palo Alto для Microsoft Sentinel, чтобы добавить книги Palo Alto. Книги анализируют трафик брандмауэра, предоставляя корреляции между данными брандмауэра и событиями угроз, а также выделяют подозрительные события между сущностями.
Создание разных книг для разных применений
Рекомендуется создавать различные визуализации для каждого типа персоны, использующего книги, в зависимости от роли и того, что он ищет. Например, создайте книгу для администратора сети, содержащую данные брандмауэра.
Кроме того, создавайте книги в зависимости от того, как часто вы хотите просматривать их, есть ли что-то, что вы хотите просматривать ежедневно, и другие элементы, которые вы хотите проверка один раз в час. Например, вам может потребоваться каждый час искать аномалии при входе в систему Microsoft Entra.
Пример запроса для сравнения тенденций трафика в неделях
Используйте следующий запрос, чтобы создать визуализацию, которая сравнивает тенденции трафика по неделям. В зависимости от среды переключитесь на поставщика устройства и источник данных, на который выполняется запрос.
В следующем примере запроса используется таблица SecurityEvent из Windows. Вы можете переключить его для запуска в таблице AzureActivity или CommonSecurityLog в любом другом брандмауэре.
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
Пример запроса с данными из нескольких источников
Может потребоваться создать запрос, включающий данные из нескольких источников. Например, создайте запрос, который просматривает журналы аудита Microsoft Entra для новых пользователей, которые были созданы, а затем проверяет журналы Azure, чтобы узнать, начал ли пользователь вносить изменения назначения ролей в течение 24 часов после создания. Это подозрительное действие будет отображаться в визуализации со следующим запросом:
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
Дополнительные сведения о следующих элементах, используемых в предыдущих примерах, см. в документации kusto:
- оператор where
- Оператор extend
- Оператор project
- Оператор project-away
- Оператор join
- Оператор summarize
- Функция ago()
- Функция bin()
- Функция iff()
- Функция tostring()
- Агрегатная функция count()
Дополнительные сведения о KQL см. в статье Общие сведения о язык запросов Kusto (KQL).
Другие ресурсы
Статьи по теме
Дополнительные сведения см. в разделе: