Esercizio: Visualizzare i dati tramite le cartelle di lavoro di Microsoft Sentinel

  • 8 minuti

In qualità di tecnico della sicurezza di Contoso, si notano attività sospette nella sottoscrizione di Azure e si decide di analizzare questa attività usando le cartelle di lavoro di Microsoft Sentinel.

Esercizio: Eseguire query e visualizzare i dati con le cartelle di lavoro di Microsoft Sentinel

Si vogliono analizzare i log in Microsoft Sentinel dal connettore di Attività di Azure. Si vuole implementare la visualizzazione di questi dati e salvarli in una cartella di lavoro personalizzata.

In questo esercizio vengono presentati i log e le cartelle di lavoro di Microsoft Sentinel. Vengono eseguite queste operazioni:

  • Interagire con i dati dei log nella pagina Log di Microsoft Sentinel.
  • Creare e modificare una cartella di lavoro personalizzata per visualizzare dati importanti.

Nota

Per completare questo esercizio, è necessario aver completato prima di tutto l'unità Eseguire query e visualizzare i dati con le cartelle di lavoro di Microsoft Sentinel. Se non è stato fatto, completarla ora e continuare con i passaggi dell'esercizio.

Attività 1: Lavorare con i log in Microsoft Sentinel

  1. Nel portale di Azure cercare e selezionare Microsoft Sentinel, quindi selezionare l'area di lavoro di Microsoft Sentinel creata in precedenza.

  2. Nella pagina Microsoft Sentinel nella sezione Generale selezionare Log.

    Nota

    Quando si apre la pagina Log per la prima volta, è possibile che si venga reindirizzati alla finestra Query. Chiudere la finestra Query e tornare alla sezione Nuova query 1.

  3. Nella pagina Microsoft Sentinel | Log, nel riquadro Tabelle, nel menu a discesa Raggruppa per: Soluzione selezionare Categoria.

  4. Nell'elenco di tabelle del riquadro Tabelle espandere la categoria Risorse di Azure, spostare il cursore sulla tabella Attività di Azure oppure usare il tasto TAB per passare alla tabella e quindi selezionare Anteprima dati.

  5. Nella finestra AzureActivity selezionare Visualizza nell'editor di query. Questa opzione consente di visualizzare in anteprima i dati e verificare se i risultati sono quelli previsti prima di eseguire effettivamente una query.

    Screenshot of the Tables pane.

    Nella sezione Query è possibile osservare la struttura della query. Questa query cerca e presenta gli ultimi 10 eventi dal log di Attività di Azure. La prima riga della query AzureActivity specifica la tabella utilizzata nella query. La seconda riga contiene un'istruzione where, che filtra i record dell'ultimo giorno. La terza riga contiene un'altra istruzione per filtrare solo gli ultimi 10 eventi.

    Nella sezione dei risultati della query vengono presentati i risultati della query. È possibile espandere uno dei record per esaminare i valori nella tabella. Selezionare il nome di una colonna per ordinare i risultati in base a tale colonna.

  6. Selezionare l'icona del filtro accanto per specificare una condizione di filtro. Questo approccio è simile all'aggiunta di una condizione di filtro alla query stessa, con la differenza che questo filtro viene cancellato se si esegue di nuovo la query. Se si seleziona il menu a discesa Colonne è possibile filtrare le colonne della tabella da visualizzare. Selezionando Group columns (Raggruppa colonne) è possibile raggruppare i record in base a una determinata colonna.

    Screenshot of the Query results with the previous items called out.

  7. Selezionare la scheda Query nel riquadro a sinistra. In questo riquadro sono incluse le query di esempio che è possibile aggiungere alla finestra Query. Se si usa la propria area di lavoro, è necessario avere varie query in più categorie. Se si usa l'ambiente di dimostrazione, è possibile che venga visualizzata solo una categoria di Aree di lavoro Log Analytics.

    Nota

    È possibile sperimentare la scrittura di query nel seguente ambiente dimostrativo.

Attività 2: Lavorare con le cartelle di lavoro in Microsoft Sentinel

  1. Nella pagina Microsoft Sentinel, nella sezione Gestione delle minacce selezionare Cartelle di lavoro.

  2. Nella pagina Microsoft Sentinel | Cartelle di lavoro selezionare la scheda Modelli.

  3. Nel campo Cerca immettere e selezionare Attività di Azure.

  4. Nel riquadro dei dettagli esaminare le informazioni fornite per il modello e quindi selezionare Salva. Nella finestra Save workbook to… (Salva cartella di lavoro in...) selezionare la stessa posizione selezionata nell'esercizio di preparazione, quindi selezionareOK.

  5. Nella pagina Microsoft Sentinel | Cartelle di lavoro selezionare la scheda Cartelle di lavoro personali. Dall'elenco di modelli salvati selezionare Attività di Azure. Nel riquadro dei dettagli selezionare quindi Visualizza la cartella di lavoro salvata.

  6. Nella pagina Attività di Azure-sentinelname esaminare tutti gli elementi della cartella di lavoro. È possibile interagire con la cartella di lavoro selezionando alcuni degli elementi.

  7. Selezionare il campo Intervallo di tempo per selezionare un intervallo di tempo diverso per i record presentati nella tabella Attività di Azure. Selezionare il menu a discesa Chiamante per filtrare i record in base all'utente o al servizio che genera gli eventi. Selezionare il menu a discesa Gruppo di risorse per filtrare gli eventi in base a un gruppo di risorse specifico.

    Screenshot of the Azure Activity page, with the previous elements called out.

  8. Scorrere verso il basso fino alla tabella Caller activities (Attività chiamante), che visualizza le attività eseguite dagli utenti o dalle entità di sicurezza. Ordinare i dati della tabella in ogni colonna selezionando le frecce nell'intestazione di colonna.

  9. Scorrere verso l'alto fino alla barra di intestazione nella pagina Attività di Azure-sentinelname. Selezionare l'opzione Modifica per passare alla modalità di modifica della cartella di lavoro. Osservare le varie opzioni Modifica visualizzate nella pagina.

  10. Selezionare la prima opzione Modifica. Questa azione visualizza il riquadro di modifica per uno dei passaggi nella cartella di lavoro. Per personalizzare la presentazione degli elementi, è possibile modificare lo stile e riordinarli diversamente.

  11. È possibile aggiungere altri parametri con tipi diversi, ad esempio testo, elenco a discesa, più valori o simile.

  12. Selezionare Aggiungi parametri.

  13. Nella pagina Nuovo partner immettere i valori seguenti:

    Nome Descrizione
    Nome parametro Livello
    Nome visualizzato Livello
    Tipo parametro Nel menu a discesa selezionare Elenco a discesa.
    Obbligatorio? Selezionare questa casella di controllo.
    Consenti selezioni multiple Selezionare questa casella di controllo.
    Limita selezioni multiple Non selezionare questa casella di controllo.
    Delimitatore Mantenere i valori predefiniti.
    Racchiudi tra virgolette Mantenere i valori predefiniti.
    Spiegazione Questo parametro consente di filtrare gli eventi in base al livello.
    Nascondi il parametro in modalità di lettura Non selezionare questa casella di controllo.
    Recupera i dati da Query

  14. Nella sezione Analytics workspace Logs Query (Query log area di lavoro Log Analytics) immettere la query seguente e quindi selezionare Esegui query.

    AzureActivity
|summarize by Level

  15. Verificare che il risultato della query restituisca due tipi di eventi in base al livello: Informativo e Avviso.

    Screenshot of the New Parameter pane, with steps for adding a new parameter. The Save, Query, Run query options and the AzureActivity section are highlighted in the screenshot.

  16. Selezionare Salva per confermare le modifiche. Si noti che il passaggio del parametro include ora un parametro denominato Level.

    Suggerimento

    In modalità di modifica è possibile selezionare l'icona con i puntini di sospensione accanto all'opzione Modifica per visualizzare un nuovo menu a discesa. Da tale menu è possibile spostare questo passaggio in parti diverse della cartella di lavoro. È anche possibile clonare o rimuovere il passaggio dalla cartella di lavoro.

  17. Nella barra delle intestazioni selezionare l'icona Salva con nome per salvare la cartella di lavoro personalizzata.

  18. Nel campo Titolo specificare un nome per la nuova cartella di lavoro e quindi selezionare Salva.

  19. Dopo aver apportato le modifiche, selezionare Modifica completata.

    Suggerimento

    La nuova cartella di lavoro è accessibile dal riquadro Microsoft Sentinel | Cartelle di lavoro nella scheda Cartelle di lavoro. Se la nuova cartella di lavoro non è inclusa nell'elenco, selezionare l'opzione Aggiorna.

Pulire le risorse

  1. Nel portale di Azure cercare Gruppi di risorse.
  2. Selezionare azure-sentinel-rg.
  3. Nella barra dell'intestazione selezionare Elimina gruppo di risorse.
  4. Nel campo TYPE THE RESOURCE GROUP NAME: (DIGITARE IL NOME DEL GRUPPO DI RISORSE) immettere il nome del gruppo di risorse azure-sentinel-rg e selezionare Elimina.