Visualisera insamlade data

I den här artikeln får du lära dig hur du snabbt kan visa och övervaka vad som händer i din miljö med hjälp av Microsoft Sentinel. När du har anslutit dina datakällor till Microsoft Sentinel får du en omedelbar visualisering och analys av data så att du vet vad som händer i alla dina anslutna datakällor. Microsoft Sentinel ger dig arbetsböcker som ger dig tillgång till alla verktyg som redan finns i Azure samt tabeller och diagram som är inbyggda för att ge dig analyser för dina loggar och frågor. Du kan antingen använda inbyggda arbetsböcker eller skapa en ny arbetsbok enkelt, från grunden eller baserat på en befintlig arbetsbok.

Hämta visualisering

Om du vill visualisera och få en analys av vad som händer i din miljö kan du först ta en titt på översiktsinstrumentpanelen för att få en uppfattning om din organisations säkerhetsstatus. Du kan klicka på varje element i dessa paneler för att öka detaljgranskningen till de rådata som de skapas från. För att hjälpa dig att minska bruset och minimera antalet aviseringar som du måste granska och undersöka använder Microsoft Sentinel en fusionsteknik för att korrelera aviseringar i incidenter. Incidenter är grupper av relaterade aviseringar som tillsammans skapar en åtgärdsbar incident som du kan undersöka och lösa.

• I Azure Portal väljer du Microsoft Sentinel och sedan den arbetsyta som du vill övervaka.

  

• Verktygsfältet längst upp visar hur många händelser du har fått under den valda tidsperioden och jämför det med de senaste 24 timmarna. I verktygsfältet visas aviseringar som utlöstes från dessa händelser (det lilla antalet representerar ändringar under de senaste 24 timmarna) och sedan visas information om dessa händelser, hur många som är öppna, pågår och stängda. Kontrollera att antalet händelser inte ökar dramatiskt eller sjunker. Om det finns en minskning kan det vara så att en anslutning slutade rapportera till Microsoft Sentinel. Om det finns en ökning kan något misstänkt ha hänt. Kontrollera om du har nya aviseringar.

  

Huvuddelen av översiktssidan ger en snabb inblick i arbetsytans säkerhetsstatus:

• Händelser och aviseringar över tid: Visar antalet händelser och hur många aviseringar som skapades från dessa händelser. Om du ser en topp som är ovanlig bör du se aviseringar för den – om det finns något ovanligt där det finns en topp i händelser men du inte ser aviseringar kan det orsaka problem.

• Potentiella skadliga händelser: När trafik identifieras från källor som är kända för att vara skadliga, varnar Microsoft Sentinel dig på kartan. Om du ser orange är det inkommande trafik: någon försöker komma åt din organisation från en känd skadlig IP-adress. Om du ser utgående (röd) aktivitet innebär det att data från nätverket strömmas ut från din organisation till en känd skadlig IP-adress.

  

• Senaste incidenter: Om du vill visa dina senaste incidenter, deras allvarlighetsgrad och antalet aviseringar som är associerade med incidenten. Om du ser en plötslig topp i en viss typ av avisering kan det innebära att en aktiv attack körs för närvarande. Om du till exempel har en plötslig topp på 20 Pass-the-hash-händelser från Microsoft Defender for Identity (tidigare Azure ATP) är det möjligt att någon för närvarande försöker attackera dig.

• Avvikelser i datakällan: Microsofts dataanalytiker skapade modeller som ständigt söker efter avvikelser i datakällorna. Om det inte finns några avvikelser visas ingenting. Om avvikelser identifieras bör du titta på dem för att se vad som hände. Klicka till exempel på topp i Azure-aktivitet. Du kan klicka på Diagram om du vill se när topparna inträffade och sedan filtrera efter aktiviteter som inträffade under den tidsperioden för att se vad som orsakade topparna.

  

Använda inbyggda arbetsböcker

Inbyggda arbetsböcker tillhandahåller integrerade data från dina anslutna datakällor så att du kan fördjupa dig i de händelser som genereras i dessa tjänster. De inbyggda arbetsböckerna omfattar Azure AD, Azure-aktivitetshändelser och lokala, som kan vara data från Windows-händelser från servrar, från aviseringar från första part, från tredje part, inklusive brandväggstrafikloggar, Office 365 och osäkra protokoll baserat på Windows-händelser. Arbetsböckerna baseras på Azure Monitor arbetsböcker för att ge dig förbättrad anpassningsbarhet och flexibilitet vid utformning av din egen arbetsbok. Mer information finns i Arbetsböcker.

1. Under Inställningar väljer du Arbetsböcker. Under Installerad kan du se alla installerade arbetsböcker. Under Alla kan du se hela galleriet med inbyggda arbetsböcker som är tillgängliga för installation.
2. Sök efter en specifik arbetsbok för att se hela listan och beskrivningen av vad varje arbetsbok erbjuder.
3. Om du använder Azure AD rekommenderar vi att du installerar minst följande arbetsböcker för att komma igång med Microsoft Sentinel:

   • Azure AD: Använd något av eller båda av följande:

     • Azure AD-inloggningar analyserar inloggningar över tid för att se om det finns avvikelser. De här arbetsböckerna tillhandahåller misslyckade inloggningar av program, enheter och platser så att du snabbt kan se om något ovanligt inträffar. Var uppmärksam på flera misslyckade inloggningar.
     • Azure AD-granskningsloggar analyserar administratörsaktiviteter, till exempel ändringar i användare (lägga till, ta bort osv.), skapa grupper och ändringar.

   • Lägg till en arbetsbok för brandväggen. Lägg till exempel till Palo Alto-arbetsboken. Arbetsboken analyserar brandväggstrafiken, vilket ger korrelationer mellan brandväggsdata och hothändelser, och visar misstänkta händelser mellan entiteter. Arbetsböcker ger dig information om trender i trafiken och gör att du kan öka detaljgranska och filtrera resultat.

     

Du kan anpassa arbetsböckerna antingen genom att redigera huvudknappen frågeredigering. Du kan klicka på knappen Log Analytics-knapp för att gå till Log Analytics för att redigera frågan där, och du kan välja ellipsen (...) och välja Anpassa paneldata , vilket gör att du kan redigera huvudtidsfiltret eller ta bort de specifika panelerna från arbetsboken.

Mer information om hur du arbetar med frågor finns i Självstudie: Visuella data i Log Analytics

Lägga till en ny panel

Om du vill lägga till en ny panel kan du lägga till den i en befintlig arbetsbok, antingen en som du skapar eller en inbyggd Arbetsbok i Microsoft Sentinel.

1. I Log Analytics skapar du en panel med hjälp av anvisningarna i Självstudie: Visuella data i Log Analytics.
2. När panelen har skapats går du till Fäst och väljer den arbetsbok där du vill att panelen ska visas.

Skapa nya arbetsböcker

Du kan skapa en ny arbetsbok från grunden eller använda en inbyggd arbetsbok som grund för din nya arbetsbok.

1. Om du vill skapa en ny arbetsbok från grunden väljer du Arbetsböcker och sedan +Ny arbetsbok.
2. Välj den prenumeration som arbetsboken skapas i och ge den ett beskrivande namn. Varje arbetsbok är en Azure-resurs som vilken annan som helst och du kan tilldela den roller (Azure RBAC) för att definiera och begränsa vem som har åtkomst.
3. Om du vill att den ska visas i dina arbetsböcker för att fästa visualiseringar måste du dela den. Klicka på Dela och sedan på Hantera användare.
4. Använd Kontrollera åtkomst och Rolltilldelningar på samma sätt som för andra Azure-resurser. Mer information finns i Dela Azure-arbetsböcker med hjälp av Azure RBAC.

Exempel på nya arbetsböcker

Med följande exempelfråga kan du jämföra trender för trafik över veckor. Du kan enkelt växla vilken enhetsleverantör och datakälla som du kör frågan på. I det här exemplet används SecurityEvent från Windows, du kan växla den till att köras på AzureActivity eller CommonSecurityLog på en annan brandvägg.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Du kanske vill skapa en fråga som införlivar data från flera källor. Du kan skapa en fråga som tittar på Azure Active Directory-granskningsloggar för nya användare som precis har skapats och kontrollerar sedan dina Azure-loggar för att se om användaren började göra ändringar i rolltilldelningen inom 24 timmar efter skapandet. Den misstänkta aktiviteten visas på den här instrumentpanelen:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Du kan skapa olika arbetsböcker baserat på rollen för person som tittar på data och vad de letar efter. Du kan till exempel skapa en arbetsbok för nätverksadministratören som innehåller brandväggsdata. Du kan också skapa arbetsböcker baserat på hur ofta du vill titta på dem, om det finns saker som du vill granska dagligen och andra objekt som du vill kontrollera en gång i timmen. Du kanske till exempel vill titta på dina Azure AD-inloggningar varje timme för att söka efter avvikelser.

Skapa nya identifieringar

Generera identifieringar för de datakällor som du har anslutit till Microsoft Sentinel för att undersöka hot i din organisation.

När du skapar en ny identifiering kan du använda de inbyggda identifieringar som skapats av Microsofts säkerhetsforskare och som är skräddarsydda för de datakällor som du har anslutit.

Om du vill visa alla färdiga identifieringar går du till Analys och sedan Regelmallar. Den här fliken innehåller alla inbyggda regler för Microsoft Sentinel.

Mer information om hur du får inbyggda identifieringar finns i Hämta inbyggd analys.

Nästa steg

I den här snabbstarten har du lärt dig hur du kommer igång med Microsoft Sentinel. Fortsätt till artikeln om hur du identifierar hot.