Verwenden von Microsoft Sentinel-Standardarbeitsmappen
Microsoft Sentinel bietet verschiedene einsatzbereite Vorlagen. Sie können anhand dieser Vorlagen eine eigene Arbeitsmappe erstellen und sie dann nach Bedarf für Contoso ändern.
Microsoft Sentinel-Arbeitsmappen
Die meisten von Microsoft Sentinel zum Erfassen von Daten verwendeten Datenconnectors verfügen über eigene Arbeitsmappen. Sie erhalten Erkenntnisse zu den erfassten Daten, indem Sie Tabellen und Visualisierungen verwenden, einschließlich Balken- und Kreisdiagrammen. Sie können auch eigene Arbeitsmappen von Grund auf neu erstellen, anstatt die vordefinierten Vorlagen zu verwenden.
Seite „Arbeitsmappe“
Sie können in Microsoft Sentinel über den Navigationsbereich auf die Seite Arbeitsmappen zugreifen. Auf der Seite Arbeitsmappen können Sie eine neue Arbeitsmappe hinzufügen und die gespeicherten Arbeitsmappen und Vorlagen überprüfen, die zur Verfügung stehen.
Auf der Registerkarte Vorlagen können Sie auf vorhandene Arbeitsmappenvorlagen zugreifen. Sie können einige der Arbeitsmappen für den schnellen Zugriff speichern. Sie werden auf der Registerkarte Meine Arbeitsmappen angezeigt.
Auf der Registerkarte Vorlagen können Sie eine vorhandene Arbeitsmappe auswählen, um einen Detailbereich für sie anzuzeigen, der zusätzliche Informationen für die Vorlage enthält. Der Detailbereich enthält außerdem Informationen zu den erforderlichen Datentypen und Datenconnectors, die mit Microsoft Sentinel verbunden werden müssen. Ferner können Sie überprüfen, wie der Bericht angezeigt wird.
Überprüfen einer vorhandenen Arbeitsmappenvorlage
Wie bereits erwähnt, ist Contoso bezüglich kompromittierter Identitäten besorgt. Als Sicherheitsadministrator können Sie die vorhandene Arbeitsmappe Microsoft Entra-Anmeldeprotokolle überprüfen, indem Sie die Vorlage im Abschnitt Vorlagen auswählen. Wählen Sie dann im Detailbereich Vorlage anzeigen aus.
Die Arbeitsmappe Microsoft Entra ID-Anmeldeprotokolle enthält vordefinierte Diagramme, Graphen und Tabellen, die wichtige Einblicke in die Anmeldeaktivitäten in Microsoft Entra ID bieten können. Hier können Sie Informationen zu Benutzeranmeldungen und -standorten, E-Mail-Adressen und IP-Adressen der Benutzer finden. Außerdem können Sie Informationen zu fehlgeschlagenen Aktivitäten und den ursächlichen Fehlern überprüfen.
Auf der Anmeldeprotokollseite von Microsoft Entra können Sie den Zeitraum erweitern oder die Apps und Benutzer filtern, die über Anmeldeberechtigungen in Microsoft Entra ID verfügen. Beispielsweise möchte Contoso die Benutzer*innen identifizieren, die sich beim Azure-Portal anmelden können, damit Sie die Daten wie folgt filtern können.
Contoso ist daran interessiert, die fehlgeschlagenen Anmeldeversuche zu identifizieren. Sie können diese Konten anzeigen, indem Sie die Informationskacheln auswählen und dann eine einzelne Kachel oder Zeile auswählen, um weitere Informationen wie diese anzuzeigen:
- Anmeldungen nach Standort In diesem Abschnitt wird der Standort angegeben, an dem sich der Benutzer bei Microsoft Entra ID angemeldet hat.
- Details zur Anmeldung nach Standort In diesem Abschnitt werden die Benutzer, ihr Anmeldestatus und der Zeitpunkt des Anmeldeversuchs angezeigt.
- Anmeldungen nach Gerät In diesem Abschnitt werden Geräte aufgelistet, die von den Benutzern für die Anmeldung bei Microsoft Entra ID verwendet werden.
- Details zur Anmeldung nach Gerät In diesem Abschnitt werden die Benutzer, die sich auf einem bestimmten Gerät angemeldet haben, sowie der Zeitpunkt der Anmeldung angezeigt.
Diese Informationskachel im Hintergrund ist so konfiguriert, dass die Abfrage ausgeführt wird und die vom Microsoft Entra-Connector gesammelten Daten gefiltert werden. Microsoft Sentinel visualisiert dann die gesammelten Daten und stellt sie in Tabellen dar, die aussagekräftiger sind und nützliche Erkenntnisse zu den Anmeldeversuchen der Benutzer*innen liefern.
Die Arbeitsmappe enthält zusätzliche Kacheln, die die Benutzer*innen angeben, die sich mit bedingtem Zugriff angemeldet haben. In der Tabelle Status des bedingten Zugriffs können Sie Benutzer überprüfen, für deren Identitätsüberprüfung mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) erforderlich war.
Der Rest der Seite enthält ebenfalls Tabellen und Diagramme, die interaktiv sind. Wählen Sie einige der Zeilen oder Kacheln aus, um die angezeigten Daten zu filtern. Einige Tabellen werden mit Links zu entsprechenden Protokollen erstellt, wie im folgenden Screenshot gezeigt.
Hinweis
Sie können auch den Abfrageschritt an das private oder freigegebene Dashboard anheften, um ihn schnell abzurufen.
Bearbeiten der Abfrage in der Arbeitsmappe
Contoso möchte beispielsweise die Protokolle nach weiteren Informationen durchsuchen, die die fehlgeschlagenen Benutzer*innenanmeldungen darstellen. Sie werden zum Azure Data Explorer umgeleitet, in dem Microsoft Sentinel die Protokollabfrage zum Filtern der Informationen ausführt.
Erkunden gespeicherter Arbeitsmappen
Auf der Seite Vorlagen können Sie eine Arbeitsmappe aus vorhandenen Vorlagen speichern. Wählen Sie dazu eine der Vorlagen und dann Speichern aus. Sie müssen einen Speicherort für die Arbeitsmappe angeben. Bei diesem Vorgang wird mit der JSON-Datei der Vorlage eine auf der Vorlage basierende Azure-Ressource erstellt.
Gespeicherte Arbeitsmappen sind auf der Registerkarte Meine Arbeitsmappen verfügbar und können von Ihnen angepasst werden. Sie können gespeicherte Arbeitsmappen öffnen, indem Sie Gespeicherte Arbeitsmappe anzeigen auswählen. Diese Aktion öffnet dieselbe Seite wie die Seite der Vorlagenarbeitsmappe. Sie können diese jedoch entsprechend den Anforderungen von Contoso anpassen.
Wählen Sie Bearbeiten aus, um die Arbeitsmappe im Bearbeitungsmodus zu öffnen. Sie können Elemente hinzufügen oder entfernen und weitere Anpassungen vornehmen. Im Bearbeitungsmodus werden alle Inhalte in der Arbeitsmappe angezeigt, einschließlich der Schritte und Parameter, die im Lesemodus ausgeblendet werden.
Die Kopfzeile im Bearbeitungsmodus enthält mehrere Optionen, die im folgenden Screenshot dargestellt werden.
Wenn Sie zum Bearbeitungsmodus wechseln, werden mehrere Optionen Bearbeiten angezeigt, die jedem Einzelaspekt der Arbeitsmappe entsprechen. Wenn Sie eine dieser Bearbeitungsoptionen auswählen, können Sie die Abfrage untersuchen, die von Microsoft Sentinel zum Filtern der Daten aus dem entsprechenden Protokoll verwendet wird.
Wenn Sie auf das Symbol für die Einstellungen klicken, wird die Seite Einstellungen geöffnet, auf der Sie weitere Ressourcen bereitstellen können, die Sie in der Arbeitsmappe verwenden möchten. Sie können auch den Stil der Arbeitsmappe ändern, Markierungen bereitstellen oder ein Element in der Arbeitsmappe anheften.
Sie können die Anordnung verschiedener Tabellen in der Arbeitsmappe ändern, indem Sie Optionen zum Anheften anzeigen auswählen.
Für eine erweiterte Anpassung können Sie Erweiterter Editor auswählen, um die JSON-Darstellung der aktuellen Arbeitsmappe zu öffnen, und sie dann im Text-Editor weiter anpassen. Sie können die Änderungen in der vorhandenen Arbeitsmappe speichern oder sie als andere Arbeitsmappe speichern. Wenn Sie die gesamte Anpassung abgeschlossen haben, können Sie den Bearbeitungsmodus beenden, indem Sie Bearbeitung abgeschlossen auswählen.
Informationen zum Microsoft Sentinel-Repository auf GitHub
Das Microsoft Sentinel-Repository enthält Standarderkennungen, Untersuchungsabfragen, Huntingabfragen, Arbeitsmappen, Playbooks und vieles mehr, um Sie beim Schützen Ihrer Umgebung und dem Erkennen von Bedrohungen zu unterstützen. Microsoft und die Microsoft Sentinel-Community tragen zu diesem Repository bei.
Das Repository enthält Ordner mit beigetragenen Inhalten für verschiedene Bereiche der Microsoft Sentinel-Features, einschließlich Erkennungsabfragen. Sie können den Code aus diesen Abfragen zum Erstellen von benutzerdefinierten Abfragen in Ihrem Microsoft Sentinel-Arbeitsbereich verwenden.