Monitorare e visualizzare i dati
I log di Microsoft Sentinel consentono di accedere ai vari log raccolti dai connettori di sicurezza. Microsoft Sentinel raccoglie questi log dai connettori integrati e li archivia nell'area di lavoro Azure Log Analytics.
Area di lavoro Log Analytics
L'area di lavoro Log Analytics è un repository che archivia dati e informazioni di configurazione. È possibile creare query per filtrare le informazioni importanti, che possono quindi essere usate per creare regole di analisi e rilevare le minacce. Ad esempio, è possibile usare i log di Microsoft Sentinel per cercare dati da più origini, aggregare set di dati di grandi dimensioni ed eseguire operazioni complesse per individuare potenziali minacce e vulnerabilità per la sicurezza.
Esplorare la pagina dei log di Microsoft Sentinel
È possibile cercare log specifici nella pagina Log di Microsoft Sentinel. Visualizzare la pagina selezionando Log nel riquadro di spostamento in Microsoft Sentinel.
La pagina Log è composta da queste parti principali:
- L'intestazione di pagina contiene collegamenti alle Query, alle impostazioni e alla sezione della Guida.
- Il riquadro Tabelle visualizza i dati raccolti dai log in tabelle, ognuna composta da più colonne.
- Il riquadro Query è la posizione in cui si possono scrivere espressioni di query personalizzate.
- Nel riquadro Risultati query vengono visualizzati i risultati delle query.
Query
Quando si seleziona il collegamento Query nell'intestazione di pagina, viene visualizzata una nuova finestra, in cui è possibile selezionare una delle query di esempio predefinite. Dal menu a discesa Query è possibile filtrare le query in base a:
- Category
- Tipo di query
- Tipo di risorsa
- Soluzione
- Argomento
Selezionare Esegui per avviare una query predefinita. Questa azione reindirizza al riquadro delle query. È possibile osservare la struttura della query e i risultati. Per affrontare le preoccupazioni di Contoso in merito agli utenti non autorizzati, eseguire la query predefinita Utenti non autorizzati.
Esplora query
Usare Esplora query per accedere alle query salvate in precedenza. È anche possibile accedere ad alcune Query della soluzione che consentono sostanzialmente di visualizzare le query più comuni che è possibile usare per filtrare i dati. Dall'elenco Query della soluzione è possibile eseguire la query o aggiungere la query nella sezione Preferiti selezionando il simbolo di stella.
Riquadro Tabelle
Il riquadro Tabelle raggruppa i log da diverse soluzioni in tabelle. È possibile espandere il gruppo di soluzioni e osservare tutti i log raccolti. È anche possibile selezionare uno dei log nel riquadro Tabelle. È possibile visualizzare l'anteprima dei dati o aggiungere il log alla sezione Preferiti.
Lo screenshot seguente mostra i log raccolti nella soluzione Microsoft Sentinel.
Riquadro Query
Usare il riquadro Query per creare query che recuperano i dati in base all'espressione specificata. Il riquadro Query consente di scrivere una query accurata fornendo suggerimenti e compilando automaticamente gli elementi previsti della query.
Sfruttare le funzionalità del linguaggio KQL (Kusto Query Language) per scrivere una query che recuperi i dati dai log. Nell'esempio seguente viene illustrato come usare il codice KQL nelle query per identificare le macchine virtuali eliminate.
AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress
Barra degli strumenti nell'intestazione
La barra degli strumenti nell'intestazione consente una maggiore interazione con la query, come illustrato nello screenshot seguente.
Salvare la query dal riquadro Query selezionando Salva. Questa azione apre una nuova finestra in cui viene richiesto di immettere il nome della query salvata e la categoria. Le query salvate vengono visualizzate in Esplora query.
Nel campo Intervallo di tempo è possibile specificare un intervallo diverso per la visualizzazione dei risultati della query.
Creare un collegamento per la query e condividerlo con altri membri del team selezionando Copia collegamento alla query. È anche possibile copiare il testo della query.
Dalla barra degli strumenti nell'intestazione del riquadro Query è possibile creare un Nuovo avviso di Monitoraggio di Azure o un Nuovo avviso di Microsoft Sentinel. Se si sceglie di creare un nuovo avviso di Microsoft Sentinel, si verrà indirizzati ai passaggi successivi per la creazione di una regola di analisi.
Esportare la query in uno dei formati seguenti:
- Esporta in CSV. Esportare tutte le colonne, sia visibili che nascoste, in un file CSV che è possibile aprire con Microsoft Excel.
- Esporta in CSV - Colonne visualizzate. Esportare solo le colonne visualizzate nelle finestre dei risultati della query.
- Esporta in Power BI (query M). Creare e scaricare un file PowerBIQuery.txt che è possibile aprire con l'applicazione Microsoft Power BI.
È possibile aggiungere i risultati della query in un dashboard privato o condiviso per esaminarli rapidamente.
È possibile usare Formatta query sulla barra degli strumenti nell'intestazione per rendere la query più leggibile.
Nota
È possibile esportare o aggiungere la query solo se l'espressione di query genera dati nella sezione relativa dei risultati della query.
Risultati query
In Risultati è possibile osservare i risultati della query. È anche possibile presentare i risultati con un grafico oppure nascondere e visualizzare altre colonne per filtrare i risultati della query.