Vizualizace shromážděných dat

  • Článek
  • 6 min ke čtení

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

V tomto článku se dozvíte, jak pomocí Microsoft Sentinelu rychle zobrazit a monitorovat, co se děje ve vašem prostředí. Po připojení zdrojů dat k Microsoft Sentinelu získáte okamžitou vizualizaci a analýzu dat, abyste věděli, co se děje ve všech připojených zdrojích dat. Microsoft Sentinel poskytuje sešity, které vám poskytnou plný výkon nástrojů, které jsou už v Azure k dispozici, a také tabulky a grafy, které jsou integrované a poskytují analýzy protokolů a dotazů. Můžete buď použít předdefinové sešity, nebo snadno vytvořit nový sešit, od začátku nebo na základě existujícího sešitu.

Získání vizualizace

Pokud chcete vizualizovat a získat analýzu toho, co se děje ve vašem prostředí, nejprve se podívejte na řídicí panel přehledu, abyste získali představu o stavu zabezpečení vaší organizace. Kliknutím na jednotlivé prvky těchto dlaždic můžete přejít k podrobnostem nezpracovaných dat, ze kterých jsou vytvořeny. Microsoft Sentinel používá fúzní techniku ke korelaci výstrah s incidenty, aby vám pomohl snížit šum a minimalizovat počet výstrah, které musíte zkontrolovat a prošetřit. Incidenty jsou skupiny souvisejících výstrah, které společně vytvářejí incident s akcemi, který můžete prošetřit a vyřešit.

  • V Azure Portal vyberte Microsoft Sentinel a pak vyberte pracovní prostor, který chcete monitorovat.

    Přehled Služby Microsoft Sentinel

  • Panel nástrojů v horní části vám řekne, kolik událostí jste během vybraného časového období získali, a porovná ho s předchozími 24 hodinami. Panel nástrojů vás na základě těchto událostí informuje o výstrahách, které byly aktivovány (malé číslo představuje změnu za posledních 24 hodin) a pak vám řekne o těchto událostech, o tom, kolik je otevřených, probíhá a uzavřeno. Zkontrolujte, jestli k výraznému zvýšení nebo poklesu počtu událostí ne došlo. Pokud dojde k poklesu, může to být tím, že se připojení přestalo hlašovat službě Microsoft Sentinel. Pokud dojde ke zvýšení, mohlo se stát něco podezřelého. Zkontrolujte, jestli máte nová upozornění.

    Čítače Microsoft Sentinelu

Hlavní část stránky přehledu poskytuje přehled o stavu zabezpečení vašeho pracovního prostoru:

  • Události a výstrahy v průběhu času: Uvádí počet událostí a počet výstrah vytvořených z těchto událostí. Pokud se zobrazí neobvyklá špička, měla by se zobrazit upozornění – pokud je v událostech něco neobvyklého, ale upozornění se nezminí, může to být příčinou obav.

  • Potenciální škodlivé události: Při zjištění provozu ze zdrojů, které jsou známé jako škodlivé, vás Microsoft Sentinel upozorní na mapu. Pokud se zobrazí oranžová, jedná se o příchozí provoz: někdo se pokouší získat přístup k vaší organizaci ze známé škodlivé IP adresy. Pokud se zobrazí odchozí (červená) aktivita, znamená to, že se data z vaší sítě streamuje z vaší organizace na známou škodlivou IP adresu.

    Škodlivá mapa provozu

  • Nedávné incidenty: Zobrazení nedávných incidentů, jejich závažnosti a počtu výstrah spojených s incidentem. Pokud se v určitém typu výstrahy zobrazí náhlý špička, může to znamenat, že právě probíhá aktivní útok. Pokud máte například náhlý vrchol 20 událostí pass-the-hash od společnosti Microsoft Defender for Identity (dříve Azure ATP), je možné, že se vás někdo snaží napadnout.

  • Anomálie zdrojů dat: Datní analytici Microsoftu vytvořili modely, které neustále vyhledáují anomálie v datech z vašich zdrojů dat. Pokud nejsou žádné anomálie, nezobrazí se nic. Pokud se detekují anomálie, měli byste se do nich ponořit do hloubky, abyste zjistili, co se stalo. Klikněte například na špičku v aktivitě Azure. Kliknutím na Graf můžete zobrazit, kdy k této špice došlo, a pak vyfiltrovat aktivity, ke kterým během tohoto časového období došlo, abyste viděli, co špičku způsobilo.

    Neobvyklé zdroje dat

Použití předdefiných sešitů

Předdefinované sešity poskytují integrovaná data z připojených zdrojů dat, která vám umožňují se ponořit do událostí generovaných v těchto službách. Mezi předdefinované sešity patří Azure AD, události aktivit Azure a místní prostředí, což mohou být data ze serverů událostí Windows, z výstrah od třetích stran, včetně protokolů provozu brány firewall, protokolu Office 365 a nezabezpečených protokolů založených na událostech Windows. Sešity jsou založené na Azure Monitor Workbooks, které vám poskytnou lepší přizpůsobitelnost a flexibilitu při navrhování vlastního sešitu. Další informace najdete v tématu Workbooks.

  1. V Nastavení vyberte Workbooks ( Sešity). V části Nainstalováno se zobrazí všechny nainstalované sešity. V části Všechny se zobrazí celá galerie předdefinovaných sešitů dostupných k instalaci.
  2. Vyhledáním konkrétního sešitu zobrazíte celý seznam a popis toho, co každý z nich nabízí.
  3. Za předpokladu, že používáte Azure AD a chcete se službou Microsoft Sentinel získejte přehled, doporučujeme nainstalovat alespoň následující sešity:

    • Azure AD: Použijte jednu nebo obě z následujících možností:

      • Přihlášení Azure AD analyzují přihlášení v průběhu času a vidíte, jestli existují anomálie. Tyto sešity poskytují neúspěšná přihlášení podle aplikací, zařízení a umístění, takže si můžete na první pohled všimnout, pokud se stane něco neobvyklého. Věnujte pozornost několika neúspěšných přihlášením.
      • Protokoly auditu Azure AD analyzují aktivity správců, jako jsou změny uživatelů (přidávání, odebírání atd.), vytváření skupin a úpravy.

    • Přidejte sešit pro bránu firewall. Přidejte například sešit Palo Alto. Sešit analyzuje provoz brány firewall, poskytuje korelace mezi daty brány firewall a událostmi hrozeb a zvýrazní podezřelé události napříč entitami. Sešity poskytují informace o trendech v provozu a umožňují přejít k podrobnostem a filtrovat výsledky.

      Řídicí panel Palo Alto

Sešity můžete přizpůsobit úpravou hlavního tlačítka pro úpravy dotazu. Kliknutím na tlačítko Log Analytics můžete přejít do Log Analytics a upravit dotaz tam. Můžete také vybrat tři tečky (...) a vybrat Přizpůsobit data dlaždic, což vám umožní upravit hlavní časový filtr nebo odebrat konkrétní dlaždice ze sešitu.

Další informace o práci s dotazy najdete v tématu Kurz: Vizuální data v Log Analytics.

Přidání nové dlaždice

Pokud chcete přidat novou dlaždici, můžete ji přidat do existujícího sešitu, ať už vytvořeného, nebo integrovaného sešitu Microsoft Sentinelu.

  1. V Log Analytics vytvořte dlaždici podle pokynů v kurzu: Vizuální data v Log Analytics.
  2. Po vytvoření dlaždice vyberte v části Připnout sešit, ve kterém se má dlaždice zobrazit.

Vytvoření nových sešitů

Můžete vytvořit nový sešit od začátku nebo použít integrovaný sešit jako základ nového sešitu.

  1. Pokud chcete vytvořit nový sešit od začátku, vyberte Workbooks (Sešity) a pak +New workbook (+Nový sešit).
  2. Vyberte předplatné, ve které je sešit vytvořený, a dejte mu popisný název. Každý sešit je prostředek Azure jako jakýkoli jiný a můžete mu přiřadit role (Azure RBAC), které definují a omezují přístup uživatelů.
  3. Pokud chcete, aby se v sešitech připínály vizualizace, musíte je sdílet. Klikněte na Sdílet a pak na Spravovat uživatele.
  4. Pro všechny ostatní prostředky Azure použijte přiřazení přístupů a rolí stejně jako u jiných prostředků Azure. Další informace najdete v tématu Sdílení sešitů Azure pomocí Azure RBAC.

Příklady nových sešitů

Následující ukázkový dotaz umožňuje porovnat trendy provozu v týdnech. Můžete snadno přepnout dodavatele zařízení a zdroj dat, na kterém dotaz spustíte. V tomto příkladu se z Windows SecurityEvent můžete přepnout tak, aby se spouštěl v AzureActivity nebo CommonSecurityLog na jakékoli jiné bráně firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Můžete chtít vytvořit dotaz, který zahrnuje data z více zdrojů. Můžete vytvořit dotaz, který se podívá na protokoly auditu nových uživatelů, kteří se právě vytvořili, Azure Active Directory pak v protokolech Azure zkontroluje, jestli uživatel do 24 hodin od vytvoření začal provádět změny přiřazení rolí. Tato podezřelá aktivita se zobrazí na tomto řídicím panelu:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Můžete vytvářet různé sešity na základě role osoby, která data prohlíží, a na tom, co hledá. Můžete například vytvořit sešit pro správce sítě, který obsahuje data brány firewall. Můžete také vytvořit sešity podle toho, jak často se na ně chcete dívat, jestli existují věci, které chcete kontrolovat každý den, a dalších položek, které chcete zkontrolovat jednou za hodinu, například můžete chtít kontrolovat přihlášení k Azure AD každou hodinu a hledat anomálie.

Vytváření nových detekcí

Generují detekce u zdrojů dat, které jste připojili k Microsoft Sentinelu, a prozkoumejte hrozby ve vaší organizaci.

Když vytvoříte novou detekci, využijte integrované detekce vytvořené výzkumníky zabezpečení Microsoftu, které jsou přizpůsobené pro zdroje dat, které jste připojili.

Pokud chcete zobrazit všechny předsudky detekce, přejděte do části Analýza a pak na Šablony pravidel. Tato karta obsahuje všechna předdefinová pravidla služby Microsoft Sentinel.

Použití integrovaných detekcí k vyhledání hrozeb pomocí služby Microsoft Sentinel

Další informace o získání integrovaných detekcí najdete v tématu Získání integrované analýzy.

Další kroky

V tomto rychlém startu jste zjistili, jak začít používat Microsoft Sentinel. Pokračujte k článku, kde zjistíte hrozby.

Vytvořte vlastní pravidla detekce hrozeb pro automatizaci odpovědí na hrozby.