Usare le cartelle di lavoro predefinite di Microsoft Sentinel
Microsoft Sentinel offre diversi modelli pronti per l'uso. È possibile usare questi modelli per creare una cartella di lavoro personalizzata e quindi modificarla in base alle esigenze di Contoso.
Cartelle di lavoro di Microsoft Sentinel
La maggior parte dei connettori dati usati da Microsoft Sentinel per inserire i dati è dotata di cartelle di lavoro corrispondenti. È possibile ottenere informazioni dettagliate sui dati che vengono inseriti usando tabelle e visualizzazioni, inclusi i grafici a barre e a torta. Si possono anche creare cartelle di lavoro personalizzate da zero anziché usare i modelli predefiniti.
Pagina Cartella di lavoro
È possibile accedere alla pagina Cartella di lavoro di Microsoft Sentinel dal riquadro di spostamento. Nella pagina Cartella di lavoro, è possibile aggiungere una nuova cartella di lavoro ed esaminare le cartelle di lavoro e i modelli salvati disponibili.
È possibile accedere ai modelli di cartella di lavoro esistenti nella scheda Modelli. È possibile salvare alcune cartelle di lavoro per l'accesso rapido. Queste verranno visualizzate nella scheda Cartelle di lavoro personali.
Dalla scheda Modelli è possibile selezionare una cartella di lavoro esistente per visualizzare un riquadro dei dettagli, che contiene informazioni aggiuntive per il modello. Il riquadro dei dettagli contiene anche informazioni sui tipi di dati e sui connettori dati necessari che devono essere connessi a Microsoft Sentinel. È anche possibile verificare la modalità di visualizzazione del report.
Esaminare un modello di cartella di lavoro esistente
Come indicato in precedenza, Contoso è preoccupato per eventuali compromissioni delle identità. L'amministratore della sicurezza può esaminare cartella di lavoro log di accesso di Microsoft Entra esistenti selezionando tale modello nella sezione Modelli. Selezionare quindi Visualizza modello nel riquadro dei dettagli.
La cartella di lavoro Log di accesso di Microsoft Entra contiene diagrammi, grafici e tabelle predefiniti che possono fornire informazioni dettagliate importanti sull'attività di accesso in Microsoft Entra ID. È possibile trovare informazioni sugli accessi e le posizioni, gli indirizzi di posta elettronica e gli indirizzi IP degli utenti. Si possono esaminare le informazioni sulle attività non riuscite e sugli errori corrispondenti.
Nella pagina dei log di accesso di Microsoft Entra è possibile espandere l'intervallo di tempo o filtrare le app e gli utenti con privilegi di accesso in Microsoft Entra ID. Contoso, ad esempio, vuole identificare gli utenti che possono accedere al portale di Azure, in modo che si possano filtrare i dati come indicato di seguito.
Contoso è interessato a identificare i tentativi di accesso non riusciti. È possibile visualizzare questi account selezionando i riquadri delle informazioni e quindi selezionare un riquadro o una riga per visualizzare altre informazioni, ad esempio:
- Accessi per posizione. Questa sezione indica il percorso da cui l'utente ha eseguito l'accesso a Microsoft Entra ID.
- Dettagli di accesso della posizione. In questa sezione vengono visualizzati gli utenti, lo stato di accesso e l'ora del tentativo di accesso.
- Accessi per dispositivo. Questa sezione elenca i dispositivi usati dagli utenti per accedere a Microsoft Entra ID.
- Dettagli di accesso del dispositivo. In questa sezione vengono visualizzati gli utenti che hanno eseguito l'accesso in un determinato dispositivo e l'ora di accesso.
Questo riquadro di informazioni in background è configurato per eseguire la query e filtrare i dati raccolti dal connettore di Microsoft Entra. Microsoft Sentinel visualizza e presenta quindi i dati raccolti usando tabelle, che sono più significative e forniscono informazioni dettagliate utili sui tentativi di accesso degli utenti.
La cartella di lavoro contiene altri riquadri che indicano gli utenti che hanno eseguito l'accesso con l'accesso condizionale. Dalla tabella Stato accesso condizionale è possibile esaminare gli utenti che hanno richiesto l'autenticazione a più fattori per convalidare la propria identità.
Il resto della pagina contiene anche tabelle e grafici interattivi. Selezionare alcune righe o riquadri per filtrare i dati presentati. Alcune tabelle vengono create con collegamenti ai log corrispondenti, come mostrato nello screenshot seguente.
Nota
È anche possibile aggiungere il passaggio di query nel dashboard privato o condiviso per recuperarlo rapidamente.
Modificare la query dalla cartella di lavoro
Ad esempio, Contoso vuole cercare i log per altre informazioni che presentano l'accesso utente non riuscito. Vengono reindirizzati a Esplora dati di Azure, in cui Microsoft Sentinel esegue la query di log per filtrare le informazioni.
Esplorare le cartelle di lavoro salvate
Nella pagina Modelli è possibile salvare una cartella di lavoro dai modelli esistenti selezionando uno dei modelli e quindi Salva. È necessario specificare una posizione per indicare dove salvare la cartella di lavoro. Questo processo crea una risorsa di Azure basata sul modello con il file JSON del modello.
Le cartelle di lavoro salvate sono disponibili nella scheda Cartelle di lavoro personali, dove è possibile personalizzarle. È possibile aprire cartelle di lavoro salvate selezionando Visualizza la cartella di lavoro salvata. Questa azione apre la stessa pagina della pagina della cartella di lavoro modello, ma è possibile personalizzarla in base ai requisiti di Contoso.
Selezionare Modifica per aprire la cartella di lavoro nella modalità di modifica. È possibile aggiungere o rimuovere elementi e fornire altre personalizzazioni. La modalità di modifica consente di visualizzare tutto il contenuto della cartella di lavoro, inclusi i passaggi e i parametri che risulterebbero nascosti in modalità di lettura.
La barra di intestazione in modalità di modifica contiene diverse opzioni, illustrate nello screenshot seguente.
Quando si passa alla modalità di modifica, si noteranno varie opzioni di Modifica che corrispondono a ogni singolo aspetto della cartella di lavoro. Se si seleziona una di queste opzioni di modifica, è possibile esaminare la query usata da Microsoft Sentinel per filtrare i dati dal log corrispondente.
Quando si seleziona l'icona delle impostazioni, viene visualizzata la pagina Impostazioni, in cui è possibile specificare altre risorse che si vogliono usare nella cartella di lavoro. È anche possibile modificare lo stile della cartella di lavoro, fornire tag o aggiungere un elemento nella cartella di lavoro.
È possibile modificare la posizione delle diverse tabelle nella cartella di lavoro selezionando Mostra opzioni di aggiunta.
Per la personalizzazione avanzata, è possibile selezionare Editor avanzato per aprire la rappresentazione JSON della cartella di lavoro corrente e quindi personalizzarla ulteriormente nell'editor di testo. Le modifiche possono essere salvate nella cartella di lavoro esistente o in un'altra cartella di lavoro. Al termine della personalizzazione è possibile uscire dalla modalità di modifica selezionando Modifica completata.
Esplorare il repository di Microsoft Sentinel in GitHub
Il repository di Microsoft Sentinel contiene rilevamenti, query di esplorazione, query di ricerca, cartelle di lavoro, playbook e altri strumenti utili predefiniti per agevolare la protezione dell'ambiente e il rilevamento delle minacce. Microsoft e la community di Microsoft Sentinel contribuiscono a questo repository.
Il repository contiene cartelle con il contenuto dei contributi per diverse aree funzionali di Microsoft Sentinel, incluse le query di rilevamento. È possibile usare il codice di queste query per creare query personalizzate nell'area di lavoro di Microsoft Sentinel.