Vizualizovat shromážděná data

Poznámka

Azure Sentinel se teď označuje jako Microsoft Sentinel a my aktualizujeme tyto stránky v nadcházejících týdnech. Přečtěte si další informace o nejnovějších vylepšeních zabezpečení Microsoftu.

V tomto článku se dozvíte, jak rychle zobrazit a monitorovat, co se děje v rámci vašeho prostředí, pomocí Microsoft Sentinel. Po připojení zdrojů dat ke službě Microsoft Sentinel získáte okamžitou vizualizaci a analýzu dat, abyste mohli zjistit, co se děje napříč všemi připojenými zdroji dat. Microsoft Sentinel vám poskytuje sešity, které vám poskytnou kompletní možnosti nástrojů, které jsou už dostupné v Azure, a také tabulky a grafy, které jsou integrované pro poskytování analýz pro vaše protokoly a dotazy. Můžete buď použít předdefinované sešity nebo vytvořit nový sešit snadno, od nuly nebo na základě existujícího sešitu.

Získat vizualizaci

Aby bylo možné vizualizovat a získat analýzu toho, co se děje ve vašem prostředí, nejprve se podívejte na řídicí panel přehled, abyste získali představu o stav zabezpečení vaší organizace. Můžete kliknout na jednotlivé prvky těchto dlaždic a přejít k podrobnostem o nezpracovaná data, ze kterých jsou vytvořena. Abychom vám pomohli snížit šum a minimalizovat počet výstrah, které je třeba zkontrolovat a prozkoumat, používá Microsoft Sentinel způsob, jak v souvislosti s incidenty sladit výstrahy. Incidenty jsou skupiny souvisejících výstrah, které společně vytvářejí incident s možnou činností, který můžete prozkoumat a vyřešit.

  • V Azure Portal vyberte možnost Microsoft Sentinel a pak vyberte pracovní prostor, který chcete monitorovat.

    Microsoft Sentinel overview

  • Na panelu nástrojů v horní části se dozvíte, kolik událostí jste ve vybraném časovém období, a porovná je s předchozími 24 hodinami. Panel nástrojů vás od těchto událostí upozorní, aktivované výstrahy (malé číslo představuje změnu za posledních 24 hodin) a pak vás upozorní na tyto události, počet otevřených, probíhajících a uzavřených. Zkontrolujte, že se nejedná o výrazné zvýšení ani pokles počtu událostí. Pokud dojde k přerušení, může to být tím, že připojení zastavilo hlášení do programu Microsoft Sentinel. Pokud dojde ke zvýšení, může dojít k nějaké podezřelé situaci. Podívejte se, jestli máte nové výstrahy.

    Microsoft Sentinel counters

Hlavní část stránky s přehledem poskytuje rychlý přehled o stavu zabezpečení vašeho pracovního prostoru:

  • Události a výstrahy v průběhu času: vypíše počet událostí a kolik výstrah bylo z těchto událostí vytvořeno. Pokud se zobrazí špička, která je neobvyklá, měla by se vám zobrazit upozornění – pokud se vyskytnou špička v událostech, ale výstrahy nevidíte, může to způsobovat obavy.

  • Potenciální škodlivé události: když se zjistí provoz ze zdrojů, u kterých se ví, že jsou škodlivé, Microsoft Sentinel vás na mapě upozorní. Pokud vidíte oranžová, jedná se o příchozí provoz: někdo se snaží o přístup k vaší organizaci ze známé škodlivé IP adresy. Pokud se zobrazí odchozí (červená) aktivita, znamená to, že data z vaší sítě se streamují z vaší organizace na známou škodlivou IP adresu.

    Malicious traffic map

  • Nedávné incidenty: Pokud si chcete zobrazit poslední incidenty, jejich závažnost a počet výstrah přidružených k incidentu. Pokud se v konkrétním typu výstrahy zobrazí náhlé špičky, může to znamenat, že aktuálně probíhá aktivní útok. Například pokud máte náhlé špičky 20 událostí pass-the-hash od Microsoft Defenderu po identitu (dřív ATP. Azure ATP), je možné, že se někdo momentálně snaží o útok.

  • Anomálie zdrojů dat: analytiky dat Microsoftu vytvořily modely, které neustále vyhledávají data ze zdrojů dat, a to kvůli anomáliím. Pokud neexistují žádné anomálie, nic se nezobrazí. Pokud se zjistí anomálie, měli byste je podrobněovat, abyste zjistili, co se stalo. Například klikněte na špička v aktivitě Azure. Kliknutím na graf můžete zobrazit, kdy špička proběhla, a potom filtrovat aktivity, ke kterým došlo během tohoto časového období, abyste viděli, co způsobilo špičku.

    Anomalous data sources

Použití vestavěných sešitů

Předdefinované sešity poskytují integrovaná data z připojených zdrojů dat a umožňují vám tak podrobně události vygenerované v těchto službách. předdefinované sešity zahrnují azure AD, události aktivit azure a místní, což může být data z Windowsch událostí ze serverů, výstrahy od první strany, od jiných výrobců, včetně protokolů přenosů firewallu, Office 365 a nezabezpečených protokolů na základě Windowsch událostí. Sešity jsou založené na Azure Monitor sešity, které vám poskytnou rozšířenou možnost úprav a flexibility při navrhování vlastního sešitu. Další informace najdete v tématu sešity.

  1. v části Nastavenívyberte sešity. V části nainstalovánouvidíte všechny nainstalované sešity. V části Všechny se zobrazí celá galerie předdefinovaných sešitů dostupných k instalaci.
  2. Vyhledáním konkrétního sešitu zobrazíte celý seznam a popis toho, co jednotlivé nabídky nabízí.
  3. Za předpokladu, že používáte službu Azure AD, můžete začít pracovat se službou Microsoft Sentinel, doporučujeme nainstalovat alespoň následující sešity:
    • Azure AD: použijte jednu nebo obě z následujících možností:

      • Přihlášení Azure AD analyzuje přihlášení v průběhu času, aby bylo možné zjistit, jestli existují anomálie. Tyto sešity poskytují neúspěšné přihlášení aplikací, zařízení a umístění, takže můžete na první pohled všimnout, že se něco nestane. Věnujte pozornost několika neúspěšným přihlášením.
      • Protokoly auditu Azure AD analyzují aktivity správců, například změny uživatelů (přidávání, odebírání atd.), vytváření skupin a změny.
    • Přidejte sešit pro bránu firewall. Přidejte například sešit Palo Alto. Sešit analyzuje provoz brány firewall a poskytuje korelace mezi daty brány firewall a událostmi hrozeb a zvýrazňuje podezřelé události napříč entitami. V sešitech získáte informace o trendech v provozu a umožňují přejít k podrobnostem a filtrovat výsledky.

      Palo Alto dashboard

Sešity můžete přizpůsobit úpravou hlavního dotazu query edit button . Kliknutím na toto tlačítko můžete Log Analytics button Přejít na Log Analytics a upravit dotaz tam. můžete také vybrat tři tečky (...) a vybrat přizpůsobit data dlaždice, což vám umožní upravit hlavní filtr času nebo odebrat konkrétní dlaždice ze sešitu.

Další informace o práci s dotazy najdete v tématu kurz: vizuální data v Log Analytics

Přidat novou dlaždici

Pokud chcete přidat novou dlaždici, můžete ji přidat do existujícího sešitu, který vytvoříte, nebo z předdefinovaného sešitu Microsoft Sentinel.

  1. V Log Analytics vytvořte dlaždici pomocí pokynů v tématu kurz: vizuální data v Log Analytics.
  2. Po vytvoření dlaždice vyberte v části připnoutsešit, ve kterém se má dlaždice zobrazit.

Vytváření nových sešitů

Můžete vytvořit nový sešit úplně od začátku nebo použít vestavěný sešit jako základ pro nový sešit.

  1. Chcete-li vytvořit nový sešit od začátku, vyberte sešity a potom + nový sešit.
  2. Vyberte předplatné, ve kterém se sešit vytvoří, a sdělte mu popisný název. Každý sešit je prostředek Azure, stejně jako jiný, a k definování a omezení toho, kdo může mít přístup, můžete přiřadit role pro IT (Azure RBAC).
  3. Pokud ho chcete povolit zobrazení v sešitech a připnout vizualizace na, budete ho muset sdílet. Klikněte na sdílet a pak na Spravovat uživatele.
  4. Použijte přiřazení přístupových oprávnění a rolí stejně jako u všech ostatních prostředků Azure. Další informace najdete v tématu sdílení sešitů Azure pomocí služby Azure RBAC.

Příklady nových sešitů

Následující vzorový dotaz vám umožní porovnat trendy provozu v různých týdnech. Můžete snadno přepnout daného dodavatele zařízení a zdroje dat, na kterém jste dotaz spustili. v tomto příkladu se používá SecurityEvent z Windows, můžete ho přepnout na AzureActivity nebo CommonSecurityLog na kterékoli jiné brány firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Možná budete chtít vytvořit dotaz, který zahrnuje data z více zdrojů. můžete vytvořit dotaz, který bude Azure Active Directory protokoly auditu pro nové uživatele, které jste právě vytvořili, a pak zkontrolovat protokoly Azure, abyste viděli, jestli uživatel začal provádět změny přiřazení role během 24 hodin od vytvoření. Tato podezřelá aktivita by se zobrazila na tomto řídicím panelu:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Můžete vytvářet různé sešity na základě role osoby, která si hledá data a co hledají. Můžete například vytvořit sešit pro správce sítě, který obsahuje data brány firewall. Můžete také vytvořit sešity na základě toho, jak často je chcete zobrazit, zda existují věci, které chcete kontrolovat denně, a další položky, které chcete kontrolovat jednou za hodinu, například můžete chtít v každé hodiny podívat se na přihlášení ke službě Azure AD a vyhledat anomálie.

Vytvořit nové detekce

Vygenerujte zjišťování zdrojů dat, které jste připojili k Microsoft Sentinel, a prozkoumejte hrozby ve vaší organizaci.

Když vytváříte nové zjišťování, využijte integrované detekce vytvořené odborníky na zabezpečení Microsoftu, které jsou přizpůsobené zdrojům dat, které jste připojili.

Pokud chcete zobrazit všechna připravená zjišťování, pokračujte na analýzy a pak na šablony pravidel. Tato karta obsahuje všechna předdefinovaná pravidla Microsoft Sentinel.

Use built-in detections to find threats with Microsoft Sentinel

Další informace o tom, jak získat integrované detekce, najdete v tématu získání integrovaných analýz.

Další kroky

V tomto rychlém startu jste zjistili, jak začít používat Microsoft Sentinel. Pokračujte v tomto článku, kde zjistíte hrozby.

Vytvářejte vlastní pravidla detekce hrozeb pro automatizaci reakcí na hrozby.