Übung: Visualisieren von Daten mithilfe von Microsoft Sentinel-Arbeitsmappen

  • 8 Minuten

Als technische Fachkraft für Sicherheit bei Contoso bemerken Sie verdächtige Aktivitäten in Ihrem Azure-Abonnement, und Sie möchten diese Aktivität mithilfe von Microsoft Sentinel-Arbeitsmappen analysieren.

Übung: Abfragen und Visualisieren von Daten mit Microsoft Sentinel-Arbeitsmappen

Sie möchten die Protokolle in Microsoft Sentinel über den Azure-Aktivitätsconnector analysieren. Ferner möchten Sie Visualisierung dieser Daten implementieren und sie in einer benutzerdefinierten Arbeitsmappe speichern.

In dieser Übung untersuchen Sie Protokolle und Microsoft Sentinel-Arbeitsmappen. Sie führen die folgenden Aufgaben aus:

  • Interagieren mit Protokolldaten auf der Seite Protokolle von Microsoft Sentinel
  • Erstellen und Bearbeiten einer benutzerdefinierten Arbeitsmappe, um wichtige Daten zu visualisieren

Hinweis

Sie müssen die Einheit Abfragen und Visualisieren von Daten mit Microsoft Sentinel-Arbeitsmappen abgeschlossen haben, bevor Sie diese Übung abschließen können. Falls noch nicht geschehen, schließen Sie sie jetzt ab, und fahren Sie dann mit den Übungsschritten fort.

Aufgabe 1: Arbeiten mit Protokollen in Microsoft Sentinel

  1. Suchen Sie im Azure-Portal nach Microsoft Sentinel, klicken Sie auf diese Option, und wählen Sie dann den zuvor erstellten Microsoft Sentinel-Arbeitsbereich aus.

  2. Wählen Sie auf der Seite Microsoft Sentinel im Abschnitt Allgemein die Option Protokolle aus.

    Hinweis

    Wenn Sie die Seite Protokolle zum ersten Mal öffnen, werden Sie möglicherweise zum Fenster Abfragen umgeleitet. Schließen Sie das Fenster Abfragen, und kehren Sie zum Abschnitt Neue Abfrage 1 zurück.

  3. Wählen Sie auf der Seite Microsoft Sentinel > Protokolle im Bereich Tabellen im Dropdownmenü Gruppieren nach: Lösung die Option Kategorie aus.

  4. Erweitern Sie im Bereich Tabellen in der Liste der Tabellen die Kategorie Azure-Ressourcen, und bewegen Sie den Cursor über die Tabelle Azure-Aktivität. Oder verwenden Sie die TAB-Taste, um zur Tabelle zu navigieren, und wählen Sie dann Datenvorschau aus.

  5. Wählen Sie im Fenster AzureActivity die Option Im Abfrage-Editor anzeigen aus. Mit dieser Option können Sie die Daten in der Vorschau anzeigen und überprüfen, ob die Ergebnisse erwartungsgemäß ausfallen, bevor Sie die Abfrage ausführen.

    Screenshot of the Tables pane.

    Im Abschnitt Abfrage wird die Abfragestruktur angezeigt. Diese Abfrage sucht nach den letzten zehn Ereignissen aus dem Azure-Aktivitätsprotokoll und zeigt diese an. Die erste Zeile der Abfrage lautet AzureActivity, und in dieser wird die in der Abfrage verwendete Tabelle angegeben. Die zweite Zeile enthält eine where-Anweisung, mit der die Datensätze vom letzten Tag gefiltert werden. Die dritte Zeile enthält eine weitere Anweisung, um nur die letzten 10 Ereignisse zu filtern.

    Im Abschnitt „Abfrageergebnisse“ werden die Ergebnisse der Abfrage angezeigt. Sie können jeden Datensatz erweitern, um die Werte in der Tabelle zu überprüfen. Wählen Sie den Namen einer beliebigen Spalte aus, um die Ergebnisse nach dieser Spalte zu sortieren.

  6. Wählen Sie das Filtersymbol neben der Spalte aus, um eine Filterbedingung anzugeben. Dieser Ansatz ähnelt dem Hinzufügen einer Filterbedingung zu der eigentlichen Abfrage, mit dem Unterschied, dass dieser Filter gelöscht wird, wenn Sie die Abfrage erneut ausführen. Wenn Sie das Dropdownmenü Spalten auswählen, können Sie die Tabellenspalten filtern, die Sie anzeigen möchten. Durch Auswahl von Spalten gruppieren können Sie Datensätze nach einer bestimmten Spalte gruppieren.

    Screenshot of the Query results with the previous items called out.

  7. Wählen Sie im linken Bereich die Registerkarte Abfragen aus. Dieser Bereich enthält Beispielabfragen, die Sie dem Abfragefenster hinzufügen können. Wenn Sie Ihren eigenen Arbeitsbereich verwenden, sollten Sie über verschiedene Abfragen in mehreren Kategorien verfügen. Wenn Sie die Demoumgebung verwenden, wird möglicherweise nur eine einzelne Kategorie für Log Analytics-Arbeitsbereiche angezeigt.

    Hinweis

    In der folgenden Demonstrationsumgebung können Sie das Schreiben von Abfragen üben.

Aufgabe 2: Arbeiten mit Arbeitsmappen in Microsoft Sentinel

  1. Wählen Sie auf der Seite Microsoft Sentinel im Abschnitt Bedrohungsmanagement die Option Arbeitsmappen aus.

  2. Wählen Sie auf der Seite Microsoft Sentinel > Arbeitsmappen die Registerkarte Vorlagen aus.

  3. Geben Sie Azure-Aktivität im Feld Suchen ein, und wählen Sie diese Aktivität aus.

  4. Überprüfen Sie im Detailbereich die für die Vorlage angegebenen Informationen, und wählen Sie dann Speichern aus. Wählen Sie im Fenster Arbeitsmappe speichern in den Speicherort aus, den Sie in der Vorbereitungsübung ausgewählt haben, und klicken Sie dann auf OK.

  5. Wählen Sie auf der Seite Microsoft Sentinel > Arbeitsmappen die Registerkarte Meine Arbeitsmappen aus. Wählen Sie in der Liste der gespeicherten Vorlagen Azure-Aktivität aus. Wählen Sie dann im Detailbereich Gespeicherte Arbeitsmappe anzeigen aus.

  6. Überprüfen Sie auf der Seite Azure-Aktivität-Sentinelname alle Elemente der Arbeitsmappe. Sie können mit der Arbeitsmappe interagieren, indem Sie einige der Elemente auswählen.

  7. Wählen Sie das Feld Zeitbereich aus, um für die in der Tabelle Azure-Aktivität angezeigten Datensätze einen anderen Zeitbereich auszuwählen. Wählen Sie das Dropdownmenü Aufrufer aus, um die Datensätze basierend auf dem Benutzer oder dem Dienst zu filtern, der die Ereignisse generiert. Wählen Sie das Dropdownmenü Ressourcengruppe aus, um die Ereignisse für eine bestimmte Ressourcengruppe zu filtern.

    Screenshot of the Azure Activity page, with the previous elements called out.

  8. Scrollen Sie nach unten zur Tabelle Caller activities (Aufruferaktivitäten), in der die Aktivitäten angezeigt werden, die von den Benutzern oder Sicherheitsprinzipalen ausgeführt werden. Sortieren Sie die Tabellendaten in jeder Spalte, indem Sie die Pfeile in der Spaltenüberschrift auswählen.

  9. Scrollen Sie nach oben zur Kopfzeile auf der Seite Azure-Aktivität-Sentinelname. Wählen Sie die Option Bearbeiten aus, um die Arbeitsmappe in den Bearbeitungsmodus zu versetzen. Beachten Sie die verschiedenen Optionen Bearbeiten, die auf der Seite angezeigt werden.

  10. Wählen Sie die erste Option Bearbeiten aus. Durch diese Aktion wird der Bearbeitungsbereich für einen der Schritte in der Arbeitsmappe angezeigt. Sie können die Darstellung der Elemente anpassen, indem Sie die Formatvorlage anpassen und ihre Anordnung ändern.

  11. Sie können weitere Parameter mit unterschiedlichen Typen hinzufügen (z. B. „Text“, „Dropdown“, „Mehrfachwert“ oder „Ähnlich“).

  12. Wählen Sie Parameter hinzufügen aus.

  13. Geben Sie auf der Seite Neuer Parameter die folgenden Werte ein:

    Name BESCHREIBUNG
    Parametername Ebene
    Anzeigename Ebene
    Parametertyp Wählen Sie im Dropdownmenü die Option Dropdown aus.
    Erforderlich? Aktiviere dieses Kontrollkästchen.
    Mehrfachauswahl zulassen Aktiviere dieses Kontrollkästchen.
    Mehrfachauswahl beschränken Lassen Sie dieses Kontrollkästchen deaktiviert.
    Trennzeichen Übernehmen Sie die Standardwerte.
    Umschließen mit Übernehmen Sie die Standardwerte.
    Erklärung Durch diesen Parameter werden die Ereignisse auf Grundlage der Ebene gefiltert.
    Parameter im Lesemodus ausblenden Lassen Sie dieses Kontrollkästchen deaktiviert.
    Daten abrufen aus Abfrage

  14. Geben Sie im Abschnitt Log Analytics workspace Logs Query (Log Analytics-Arbeitsbereich – Protokollabfrage) die folgende Abfrage ein, und wählen Sie dann Abfrage ausführen aus.

    AzureActivity
|summarize by Level

  15. Vergewissern Sie sich, dass die Abfrage zwei Typen von Ereignissen auf Grundlage der Ebene zurückgibt: Information und Warnung.

    Screenshot of the New Parameter pane, with steps for adding a new parameter. The Save, Query, Run query options and the AzureActivity section are highlighted in the screenshot.

  16. Wählen Sie Speichern aus, um einen Commit der Änderungen auszuführen. Beachten Sie, dass der Parameterschritt jetzt einen Parameter mit dem Namen Ebene enthält.

    Tipp

    Im Bearbeitungsmodus können Sie das Symbol mit den Auslassungspunkten neben der Option Bearbeiten auswählen, um ein neues Dropdownmenü anzuzeigen. In diesem Menü können Sie diesen Schritt in andere Teile der Arbeitsmappe verschieben. Sie können den Schritt auch klonen oder aus der Arbeitsmappe entfernen.

  17. Wählen Sie in der Kopfzeile das Symbol Speichern unter aus, um die angepasste Arbeitsmappe zu speichern.

  18. Geben Sie im Feld Titel einen Namen für die neue Arbeitsmappe an, und wählen Sie dann Speichern aus.

  19. Wählen Sie Bearbeitung abgeschlossen aus, wenn Sie die Änderungen abgeschlossen haben.

    Tipp

    Auf die neue Arbeitsmappe kann im Bereich Microsoft Sentinel > Arbeitsmappen auf der Registerkarte Meine Arbeitsmappen zugegriffen werden. Wählen Sie Aktualisieren aus, wenn Ihre neue Arbeitsmappe nicht aufgeführt wird.

Bereinigen der Ressourcen

  1. Suchen Sie im Azure-Portal nach Ressourcengruppen.
  2. Wählen Sie azure-sentinel-rg aus.
  3. Wählen Sie in der Kopfzeile Ressourcengruppe löschen aus.
  4. Geben Sie im Feld TYPE THE RESOURCE GROUP NAME: (Ressourcengruppennamen eingeben) den Namen der Ressourcengruppe ein (azure-sentinel-rg), und klicken Sie auf Löschen.