Rychlý Start: Začínáme s Sentinel AzureQuickstart: Get started with Azure Sentinel

V tomto rychlém startu se dozvíte, jak rychle zobrazit a monitorovat, co se děje ve vašem prostředí pomocí funkce Azure Sentinel.In this quickstart, you will learn how to quickly be able to view and monitor what's happening across your environment using Azure Sentinel. Po připojení zdrojů dat ke službě Azure Sentinel získáte okamžitou vizualizaci a analýzu dat, abyste mohli zjistit, co se děje napříč všemi připojenými zdroji dat.After you connected your data sources to Azure Sentinel, you get instant visualization and analysis of data so that you can know what's happening across all your connected data sources. Azure Sentinel vám poskytuje sešity, které vám poskytnou kompletní možnosti nástrojů, které jsou už dostupné v Azure, a také tabulky a grafy, které jsou integrované pro poskytování analýz pro vaše protokoly a dotazy.Azure Sentinel gives you workbooks that provide you with the full power of tools already available in Azure as well as tables and charts that are built in to provide you with analytics for your logs and queries. Můžete buď použít předdefinované sešity nebo vytvořit nový sešit snadno, od nuly nebo na základě existujícího sešitu.You can either use built-in workbooks or create a new workbook easily, from scratch or based on an existing workbook.

Získat vizualizaciGet visualization

Aby bylo možné vizualizovat a získat analýzu toho, co se děje ve vašem prostředí, nejprve se podívejte na řídicí panel přehled, abyste získali představu o stav zabezpečení vaší organizace.To visualize and get analysis of what's happening on your environment, first, take a look at the overview dashboard to get an idea of the security posture of your organization. Můžete kliknout na jednotlivé prvky těchto dlaždic a přejít k podrobnostem o nezpracovaná data, ze kterých jsou vytvořena.You can click on each element of these tiles to drill down to the raw data from which they are created. K tomu, abyste snížili šum a minimalizovali počet výstrah, které je třeba zkontrolovat a prozkoumat, využívá Azure Sentinel způsob fúze ke korelaci upozornění na incidenty.To help you reduce noise and minimize the number of alerts you have to review and investigate, Azure Sentinel uses a fusion technique to correlate alerts into incidents. incidenty jsou skupiny souvisejících výstrah, které společně vytvářejí incident s možnou činností, který můžete prozkoumat a vyřešit.incidents are groups of related alerts that together create an actionable incident that you can investigate and resolve.

  • V Azure Portal vyberte možnost Azure Sentinel a pak vyberte pracovní prostor, který chcete monitorovat.In the Azure portal, select Azure Sentinel and then select the workspace you want to monitor.

    Přehled služby Azure Sentinel

  • Na panelu nástrojů v horní části se dozvíte, kolik událostí jste ve vybraném časovém období, a porovná je s předchozími 24 hodinami.The toolbar across the top tells you how many events you got over the time period selected, and it compares it to the previous 24 hours. Panel nástrojů vás od těchto událostí upozorní, aktivované výstrahy (malé číslo představuje změnu za posledních 24 hodin) a pak vás upozorní na tyto události, počet otevřených, probíhajících a uzavřených.The toolbar tells you from these events, the alerts that were triggered (the small number represents change over the last 24 hours), and then it tells you for those events, how many are open, in progress, and closed. Zkontrolujte, že se nejedná o výrazné zvýšení ani pokles počtu událostí.Check to see that there isn't a dramatic increase or drop in the number of events. Pokud dojde k přerušení, může to být tím, že připojení zastavilo hlášení do Azure Sentinel.If there is a drop, it could be that a connection stopped reporting to Azure Sentinel. Pokud dojde ke zvýšení, může dojít k nějaké podezřelé situaci.If there is an increase, something suspicious may have happened. Podívejte se, jestli máte nové výstrahy.Check to see if you have new alerts.

    Filtr Sentinel Azure

Hlavní část stránky s přehledem poskytuje rychlý přehled o stavu zabezpečení vašeho pracovního prostoru:The main body of the overview page gives insight at a glance into the security status of your workspace:

  • Události a výstrahy v průběhu času: vypíše počet událostí a kolik výstrah bylo z těchto událostí vytvořeno.Events and alerts over time: Lists the number of events and how many alerts were created from those events. Pokud se zobrazí špička, která je neobvyklá, měla by se vám zobrazit upozornění – pokud se vyskytnou špička v událostech, ale výstrahy nevidíte, může to způsobovat obavy.If you see a spike that's unusual, you should see alerts for it - if there's something unusual where there is a spike in events but you don't see alerts, it might be cause for concern.

  • Potenciální škodlivé události: když se zjistí provoz ze zdrojů, u kterých se ví, že jsou škodlivé, Azure Sentinel vás na mapě upozorní.Potential malicious events: When traffic is detected from sources that are known to be malicious, Azure Sentinel alerts you on the map. Pokud vidíte oranžová, jedná se o příchozí provoz: někdo se snaží o přístup k vaší organizaci ze známé škodlivé IP adresy.If you see orange, it is inbound traffic: someone is trying to access your organization from a known malicious IP address. Pokud se zobrazí odchozí (červená) aktivita, znamená to, že data z vaší sítě se streamují z vaší organizace na známou škodlivou IP adresu.If you see Outbound (red) activity, it means that data from your network is being streamed out of your organization to a known malicious IP address.

    Mapování Sentinel Azure

  • Nedávné incidenty: Pokud si chcete zobrazit poslední incidenty, jejich závažnost a počet výstrah přidružených k incidentu.Recent incidents: To view your recent incidents, their severity and the number of alerts associated with the incident. Pokud se u určitého typu výstrahy zobrazí jako náhlé špičky, může to znamenat, že aktuálně probíhá aktivní útok.If you see as sudden peak in a specific type of alert, it could mean that there is an active attack currently running. Pokud máte například náhlou špičku 20 událostí pass-the-hash z Azure ATP, je možné, že se někdo aktuálně snaží o útok.For example, if you have a sudden peak of 20 Pass-the-hash events from Azure ATP, it's possible that someone is currently trying to attack you.

  • Anomálie zdrojů dat: analytiky dat Microsoftu vytvořily modely, které neustále vyhledávají data ze zdrojů dat, a to kvůli anomáliím.Data source anomalies: Microsoft's data analysts created models that constantly search the data from your data sources for anomalies. Pokud neexistují žádné anomálie, nic se nezobrazí.If there aren't any anomalies, nothing is displayed. Pokud se zjistí anomálie, měli byste je podrobněovat, abyste zjistili, co se stalo.If anomalies are detected, you should deep dive into them to see what happened. Například klikněte na špička v aktivitě Azure.For example, click on the spike in Azure Activity. Kliknutím na graf můžete zobrazit, kdy špička proběhla, a potom filtrovat aktivity, ke kterým došlo během tohoto časového období, abyste viděli, co způsobilo špičku.You can click on Chart to see when the spike happened, and then filter for activities that occurred during that time period to see what caused the spike.

    Mapování Sentinel Azure

Použití vestavěných sešitůUse built-in workbooks

Předdefinované sešity poskytují integrovaná data z připojených zdrojů dat a umožňují vám tak podrobně události vygenerované v těchto službách.Built-in workbooks provide integrated data from your connected data sources to let you deep dive into the events generated in those services. Předdefinované sešity zahrnují Azure AD, události aktivit Azure a místní, což může být data z událostí systému Windows ze serverů, výstrahy od první strany, od jakékoli třetí strany, včetně protokolů přenosů z brány firewall, sady Office 365 a nezabezpečené protokoly založené na událostech systému Windows.The built-in workbooks include Azure AD, Azure activity events, and on-premises, which can be data from Windows Events from servers, from first party alerts, from any third-party including firewall traffic logs, Office 365, and insecure protocols based on Windows events. Sešity jsou založené na Azure Monitor sešity, které vám poskytnou rozšířenou možnost úprav a flexibility při navrhování vlastního sešitu.The workbooks are based on Azure Monitor Workbooks to provide you with enhanced customizability and flexibility in designing your own workbook. Další informace najdete v tématu sešity.For more information, see Workbooks.

  1. V části Nastavenívyberte sešity.Under Settings, select Workbooks. V části nainstalovánouvidíte všechny nainstalované sešity.Under Installed, you can see all your installed workbook. V části všemůžete zobrazit celou galerii vestavěných sešitů, které jsou k dispozici pro instalaci.Under All, you can see the whole gallery of built-in workbooks that are available for installation.
  2. Vyhledáním konkrétního sešitu zobrazíte celý seznam a popis toho, co jednotlivé nabídky nabízí.Search for a specific workbook to see the whole list and description of what each offers.
  3. Za předpokladu, že používáte Azure AD, můžete začít pracovat se službou Azure Sentinel, doporučujeme nainstalovat alespoň následující sešity:Assuming you use Azure AD, to get up and running with Azure Sentinel, we recommend that you install at least the following workbooks:
    • Azure AD: použijte jednu nebo obě z následujících možností:Azure AD: Use either or both of the following:

      • Přihlášení Azure AD analyzuje přihlášení v průběhu času, aby bylo možné zjistit, jestli existují anomálie.Azure AD sign-ins analyzes sign-ins over time to see if there are anomalies. Tyto sešity poskytují neúspěšné přihlášení aplikací, zařízení a umístění, takže můžete na první pohled všimnout, že se něco nestane.This workbooks provides failed sign-ins by applications, devices, and locations so that you can notice, at a glance if something unusual happens. Věnujte pozornost několika neúspěšným přihlášením.Pay attention to multiple failed sign-ins.
      • Protokoly auditu Azure AD analyzují aktivity správců, například změny uživatelů (přidávání, odebírání atd.), vytváření skupin a změny.Azure AD audit logs analyzes admin activities, such as changes in users (add, remove, etc.), group creation, and modifications.
    • Přidejte sešit pro bránu firewall.Add a workbook for your firewall. Přidejte například sešit Palo Alto.For example, add the Palo Alto workbook. Sešit analyzuje provoz brány firewall a poskytuje korelace mezi daty brány firewall a událostmi hrozeb a zvýrazňuje podezřelé události napříč entitami.The workbook analyzes your firewall traffic, providing you with correlations between your firewall data and threat events, and highlights suspicious events across entities. V sešitech získáte informace o trendech v provozu a umožňují přejít k podrobnostem a filtrovat výsledky.Workbooks provide you with information about trends in your traffic and let you drill down into and filter results.

      Řídicí panel PAL Alto

Sešity můžete přizpůsobit úpravou tlačítka hlavní dotaz  .You can customize the workbooks either by editing the main query button. Kliknutím na tlačítko tlačítka můžete  přejít na Log Analytics a Upravit dotaz tam. můžete také vybrat tři tečky (...) a vybrat přizpůsobit data dlaždice, což umožňuje upravit hlavní filtr času nebo odebrat konkrétní dlaždice ze sešitu.You can click the button button to go to Log Analytics to edit the query there, and you can select the ellipsis (...) and select Customize tile data, which enables you to edit the main time filter, or remove the specific tiles from the workbook.

Další informace o práci s dotazy najdete v tématu kurz: vizuální data v Log AnalyticsFor more information on working with queries, see Tutorial: Visual data in Log Analytics

Přidat novou dlaždiciAdd a new tile

Pokud chcete přidat novou dlaždici, můžete ji přidat do existujícího sešitu, který vytvoříte, nebo do předdefinovaného sešitu ověřovacího protokolu Azure.If you want to add a new tile, you can add it to an existing workbook, either one that you create or an Azure Sentinel built-in workbook.

  1. V Log Analytics vytvořte dlaždici pomocí pokynů v tématu kurz: vizuální data v Log Analytics.In Log Analytics, create a tile using the instructions found in Tutorial: Visual data in Log Analytics.
  2. Po vytvoření dlaždice vyberte v části připnoutsešit, ve kterém se má dlaždice zobrazit.After the tile is created, under Pin, select the workbook in which you want the tile to appear.

Vytváření nových sešitůCreate new workbooks

Můžete vytvořit nový sešit úplně od začátku nebo použít vestavěný sešit jako základ pro nový sešit.You can create a new workbook from scratch or use a built-in workbook as the basis for your new workbook.

  1. Chcete-li vytvořit nový sešit od začátku, vyberte sešity a potom + nový sešit.To create a new workbook from scratch, select Workbooks and then +New workbook.

  2. Vyberte předplatné, ve kterém se sešit vytvoří, a sdělte mu popisný název.Select the subscription the workbook is created in and give it a descriptive name. Každý sešit je prostředek Azure, podobně jako jakýkoli jiný, a k definování a omezení přístupu k nim můžete přiřadit role pro IT (RBAC).Each workbook is an Azure resource like any other, and you can assign it roles (RBAC) to define and limit who can access.

  3. Pokud ho chcete povolit zobrazení v sešitech a připnout vizualizace na, budete ho muset sdílet.To enable it to show up in your workbooks to pin visualizations to, you have to share it. Klikněte na sdílet a pak na Spravovat uživatele.Click Share and then Manage users.

  4. Použijte přiřazení přístupových oprávnění a rolí stejně jako u všech ostatních prostředků Azure.Use the Check access and Role assignments as you would for any other Azure resource. Další informace najdete v tématu sdílení sešitů Azure pomocí RBAC.For more information, see Share Azure workbooks by using RBAC.

Příklady nových sešitůNew workbook examples

Následující vzorový dotaz vám umožní porovnat trendy provozu v různých týdnech.The following sample query enables you to compare trends of traffic across weeks. Můžete snadno přepnout daného dodavatele zařízení a zdroje dat, na kterém jste dotaz spustili.You can easily switch which device vendor and data source you run the query on. V tomto příkladu se používá SecurityEvent ze systému Windows, takže ho můžete přepnout na AzureActivity nebo CommonSecurityLog na kterékoli jiné brány firewall.This example uses SecurityEvent from Windows, you can switch it to run on AzureActivity or CommonSecurityLog on any other firewall.

 |where DeviceVendor == "Palo Alto Networks":
  // week over week query
  SecurityEvent
  | where TimeGenerated > ago(14d)
  | summarize count() by bin(TimeGenerated, 1d)
  | extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Možná budete chtít vytvořit dotaz, který zahrnuje data z více zdrojů.You might want to create a query that incorporates data from multiples sources. Můžete vytvořit dotaz, který bude Azure Active Directory protokoly auditu pro nové uživatele, které jste právě vytvořili, a pak zkontrolovat protokoly Azure, abyste viděli, jestli uživatel začal provádět změny přiřazení role během 24 hodin od vytvoření.You can create a query that looks at Azure Active Directory audit logs for new users that were just created, and then checks your Azure logs to see if the user started making role assignment changes within 24 hours of creation. Tato podezřelá aktivita by se zobrazila na tomto řídicím panelu:That suspicious activity would show up on this dashboard:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Můžete vytvářet různé sešity na základě role osoby, která si hledá data a co hledají.You can create different workbooks based on role of person looking at the data and what they're looking for. Můžete například vytvořit sešit pro správce sítě, který obsahuje data brány firewall.For example, you can create a workbook for your network admin that includes the firewall data. Můžete také vytvořit sešity na základě toho, jak často je chcete zobrazit, zda existují věci, které chcete kontrolovat denně, a další položky, které chcete kontrolovat jednou za hodinu, například můžete chtít v každé hodiny podívat se na přihlášení ke službě Azure AD a vyhledat anomálie.You can also create workbooks based on how frequently you want to look at them, whether there are things you want to review daily, and others items you want to check once an hour, for example, you might want to look at your Azure AD sign-ins every hour to search for anomalies.

Vytvořit nové detekceCreate new detections

Vygenerujte zjišťování zdrojů dat, ke kterým jste se připojili ke službě Azure Sentinel, a prozkoumejte hrozby ve vaší organizaci.Generate detections on the data sources that you connected to Azure Sentinel to investigate threats in your organization.

Když vytváříte nové zjišťování, využijte integrované detekce vytvořené odborníky na zabezpečení Microsoftu, které jsou přizpůsobené zdrojům dat, které jste připojili.When you create a new detection, leverage the built-in detections crafted by Microsoft security researchers that are tailored to the data sources you connected.

Pokud chcete zobrazit všechna připravená zjišťování, pokračujte na analýzy a pak na šablony pravidel.To view all the out-of-the-box detections, go to Analytics and then Rule templates. Tato karta obsahuje všechna předdefinovaná pravidla Azure Sentinel.This tab contains all the Azure Sentinel built-in rules.

Použití vestavěných detekcí k nalezení hrozeb pomocí Sentinel Azure

Další informace o tom, jak získat připravená zjišťování, najdete v tématu kurz: získání integrovaných analýz.For more information about getting out-of-the-box detections, see Tutorial: Get built-in-analytics.

Další krokyNext steps

V tomto rychlém startu jste zjistili, jak začít používat Azure Sentinel.In this quickstart, you learned how to get started using Azure Sentinel. Pokračujte v tomto kurzu, kde zjistíte hrozby.Continue to the tutorial for how to detect threats.

Vytvářejte vlastní pravidla detekce hrozeb pro automatizaci reakcí na hrozby.Create custom threat detection rules to automate your responses to threats.