Delen via

Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, visualiseert en bewaakt u de gegevens met behulp van werkmappen in Microsoft Sentinel. Microsoft Sentinel-werkmappen zijn gebaseerd op Azure Monitor-werkmappen en voegen tabellen en grafieken met analyses voor uw logboeken en query's toe aan de hulpprogramma's die al beschikbaar zijn in Azure.

Met Microsoft Sentinel kunt u aangepaste werkmappen maken in uw gegevens of bestaande werkmapsjablonen gebruiken die beschikbaar zijn met verpakte oplossingen of als zelfstandige inhoud van de inhoudshub. Elke werkmap is een Azure-resource zoals elke andere, en u kunt deze toewijzen met op rollen gebaseerd toegangsbeheer van Azure (RBAC) om te definiëren en te beperken wie toegang heeft.

In dit artikel wordt beschreven hoe u uw gegevens in Microsoft Sentinel kunt visualiseren met behulp van werkmappen. Het bewerken van werkmappen rechtstreeks in de Defender-portal is als preview.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.

Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.

Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.

Vereisten

  • U moet ten minste machtigingen voor werkmaplezer of Werkmapbijdrager hebben voor de resourcegroep van de Microsoft Sentinel-werkruimte.

    De werkmappen die u in Microsoft Sentinel ziet, worden opgeslagen in de resourcegroep van de Microsoft Sentinel-werkruimte en worden gelabeld door de werkruimte waarin ze zijn gemaakt.

  • Als u een werkmapsjabloon wilt gebruiken, installeert u de oplossing die de werkmap bevat of installeert u de werkmap als een zelfstandig item uit de Content Hub. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

  • Als u in de Defender-portal werkt met een Azure Data Explorer-gegevensbron, moet u ervoor zorgen dat u azure Data Explorer configureert en verifieert vanuit de Defender-portal.

Een werkmap maken op basis van een sjabloon

Gebruik een sjabloon die is geïnstalleerd vanuit de inhoudshub om een werkmap te maken.

  1. In Microsoft Sentinel selecteert u Werkmappen voor bedreigingsbeheer>.

  2. Selecteer op de pagina Werkmappen het tabblad Sjablonen om de lijst met werkmapsjablonen weer te geven die zijn geïnstalleerd. Selecteer een sjabloon om de details ervan weer te geven.

    Voor sommige werkmappen zijn specifieke gegevensverbindingen vereist om te kunnen functioneren. Voordat u een werkmap opslaat, controleert u op het veld Vereiste gegevenstypen of u dat type gegevens hebt opgenomen.

    Voorbeeld:

  3. Selecteer Opslaan in het detailvenster en selecteer vervolgens de locatie waar u de werkmap wilt opslaan. Met deze actie maakt u een Azure-resource op de geselecteerde locatie op basis van de relevante sjabloon. Alleen het JSON-bestand van de werkmap wordt op deze locatie opgeslagen en geen gegevens.

  4. Selecteer in het detailvenster Opgeslagen werkmap weergeven om deze te openen voor bewerking.

  5. Wanneer de werkmap is geopend, selecteert u Bewerken om de werkmap aan te passen aan uw behoeften.

    Schermopname van de opgeslagen werkmap.

    Wanneer u in de Defender-portal werkt, kunnen sommige visualisaties alleen worden weergegeven in Azure Portal. In dergelijke gevallen selecteert u Openen in Azure om de werkmap te openen in Azure Portal.

    Selecteer bijvoorbeeld het filter TimeRange om gegevens voor een ander tijdsbereik weer te geven dan de huidige selectie. Als u een specifiek werkmapgebied wilt bewerken, selecteert u Bewerken of selecteert u het beletselteken (...) om elementen toe te voegen of het gebied te verplaatsen, te klonen of te verwijderen.

    Als u de werkmap wilt klonen, selecteert u Opslaan als. Sla de kloon op met een andere naam, onder hetzelfde abonnement en dezelfde resourcegroep. Gekloonde werkmappen worden ook weergegeven op het tabblad Mijn werkmappen op de pagina Microsoft Sentinel > Threat Management > Workbooks .

  6. Wanneer u klaar bent, selecteert u Klaar met bewerken om uw wijzigingen op te slaan.

Zie voor meer informatie:

Nieuwe werkmap maken

Maak een volledig nieuwe werkmap in Microsoft Sentinel.

  1. Selecteer in Microsoft Sentinel De werkmappen voor bedreigingsbeheer >en selecteer vervolgens Werkmap toevoegen.

  2. Als u de werkmap wilt bewerken, selecteert u Bewerken en voegt u indien nodig tekst, query's en parameters toe.

    Zie hoe u interactieve rapporten maakt met Azure Monitor Workbooks voor meer informatie over het aanpassen van de werkmap.

    Schermopname van een nieuwe werkmap.

  3. Wanneer u een query maakt, stelt u de gegevensbron in op Logboeken en resourcetype op Log Analytics en kiest u vervolgens een of meer werkruimten.

    Het is raadzaam dat uw query gebruikmaakt van een ASIM-parser (Advanced Security Information Model) en niet van een ingebouwde tabel. De query ondersteunt vervolgens alle huidige of toekomstige relevante gegevensbronnen in plaats van één gegevensbron.

  4. Wanneer u klaar bent met uw bewerkingen, selecteert u Klaar met bewerken en vervolgens Opslaan. Voer in het zijvenster een betekenisvolle naam in voor uw werkmap en selecteer het abonnement en de resourcegroep voor uw werkruimte.

  5. Wanneer u in Azure Portal werkt, schakelt u tussen werkmappen in uw werkruimte door het pictogram Openen te selecteren om een werkmap te openen. Op de werkbalk van een werkmap. Het scherm schakelt over naar een lijst met andere werkmappen waarnaar u kunt overschakelen.

    Selecteer de werkmap die u wilt openen:

    Schermopname van het schakelen tussen werkmappen.

Nieuwe tegels maken voor uw werkmappen

Als u een aangepaste tegel wilt toevoegen aan een Microsoft Sentinel-werkmap, maakt u eerst de tegel in Log Analytics. Zie Visuele gegevens in Log Analytics voor meer informatie.

Nadat u een tegel hebt gemaakt, selecteert u Vastmaken en selecteert u vervolgens de werkmap waar u de tegel wilt weergeven.

De werkmapgegevens vernieuwen

Vernieuw uw werkmap om bijgewerkte gegevens weer te geven. Selecteer op de werkbalk een van de volgende opties:

  • Vernieuw deze om de werkmapgegevens handmatig te vernieuwen.

  • Automatisch vernieuwen, zodat uw werkmap automatisch wordt vernieuwd met een geconfigureerd interval.

    • Ondersteunde intervallen voor automatisch vernieuwen variëren van 5 minuten tot 1 dag.

    • Automatisch vernieuwen wordt onderbroken terwijl u een werkmap bewerkt en intervallen worden telkens opnieuw gestart wanneer u terugschakelt naar de weergavemodus vanuit de bewerkingsmodus.

    • Intervallen voor automatisch vernieuwen worden ook opnieuw gestart als u uw gegevens handmatig vernieuwt.

    Automatisch vernieuwen is standaard uitgeschakeld. Als u automatisch vernieuwen hebt ingeschakeld, wordt deze telkens weer uitgeschakeld wanneer u het notitieblok sluit om de prestaties te optimaliseren en te voorkomen dat het op de achtergrond wordt uitgevoerd. Schakel automatisch vernieuwen zo nodig weer in wanneer u de werkmap de volgende keer opent.

Als u een werkmap wilt afdrukken of als PDF wilt opslaan, gebruikt u het menu Opties rechts van de titel van de werkmap. Deze opties zijn alleen beschikbaar in Azure Portal. Als u in de Defender-portal werkt, selecteert u Openen in Azure om de werkmap te openen in Azure Portal.

  1. Selecteer de opties >Inhoud afdrukken.

  2. Pas in het afdrukscherm de afdrukinstellingen zo nodig aan of selecteer Opslaan als PDF om het lokaal op te slaan.

    Voorbeeld:

    Schermopname van het afdrukken van uw werkmap of opslaan als PDF.

Een of meer werkmappen verwijderen

U kunt zowel opgeslagen sjablonen als aangepaste werkmappen verwijderen op het tabblad Mijn werkmappen . Sjablonen zelf kunnen niet worden verwijderd.

Als u een werkmap wilt verwijderen, selecteert u de werkmap op het tabblad Mijn werkmappen en selecteert u Verwijderen. Met deze actie verwijdert u de werkmapresource en eventuele wijzigingen die u in de sjabloon hebt aangebracht. De oorspronkelijke sjabloon blijft beschikbaar.

Aanbevelingen voor werkmappen

In deze sectie worden de basisaanvelingen besproken die we hebben voor het gebruik van werkmappen met Microsoft Sentinel.

Microsoft Entra ID-werkmappen toevoegen

Als u Microsoft Entra ID met Microsoft Sentinel gebruikt, raden we u aan de Microsoft Entra-oplossing voor Microsoft Sentinel te installeren en de volgende werkmappen te gebruiken:

  • Met Microsoft Entra-aanmeldingen worden aanmeldingen in de loop van de tijd geanalyseerd om te zien of er afwijkingen zijn. Deze werkmap biedt mislukte aanmeldingen door toepassingen, apparaten en locaties, zodat u in één oogopslag kunt zien of er iets ongebruikelijks gebeurt. Let met name op meerdere mislukte aanmeldingen.
  • Auditlogboeken van Microsoft Entra analyseren beheeractiviteiten, zoals wijzigingen in gebruikers (toevoegen, verwijderen, enzovoort), het maken van groepen en wijzigingen.

Firewallwerkmappen toevoegen

U wordt aangeraden de juiste oplossing te installeren vanuit de Inhoudshub om een werkmap voor uw firewall toe te voegen.

Installeer bijvoorbeeld de Palo Alto-firewalloplossing voor Microsoft Sentinel om de Palo Alto-werkmappen toe te voegen. De werkmappen analyseren uw firewallverkeer, zodat u correlaties krijgt tussen uw firewallgegevens en bedreigingsevenementen en verdachte gebeurtenissen in entiteiten markeert.

Schermopname van de Palo Alto-werkmap.

Verschillende werkmappen maken voor verschillende toepassingen

U wordt aangeraden verschillende visualisaties te maken voor elk type persona dat gebruikmaakt van werkmappen, op basis van de rol van de persona en wat ze zoeken. Maak bijvoorbeeld een werkmap voor uw netwerkbeheerder die de firewallgegevens bevat.

U kunt ook werkmappen maken op basis van hoe vaak u ze wilt bekijken, of er dingen zijn die u dagelijks wilt bekijken en andere items die u eenmaal per uur wilt controleren. U kunt bijvoorbeeld elk uur uw Microsoft Entra-aanmeldingen bekijken om te zoeken naar afwijkingen.

Gebruik de volgende query om een visualisatie te maken waarmee verkeerstrends in weken worden vergeleken. Schakel over naar de leverancier van het apparaat en de gegevensbron waarop u de query uitvoert, afhankelijk van uw omgeving.

In de volgende voorbeeldquery wordt de tabel SecurityEvent uit Windows gebruikt. Mogelijk wilt u deze overschakelen om te worden uitgevoerd op de AzureActivity - of CommonSecurityLog-tabel op een andere firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Voorbeeldquery met gegevens uit meerdere bronnen

Mogelijk wilt u een query maken die gegevens uit meerdere bronnen combineert. Maak bijvoorbeeld een query die naar Microsoft Entra-auditlogboeken kijkt voor nieuwe gebruikers die zijn gemaakt en controleert vervolgens uw Azure-logboeken om te zien of de gebruiker binnen 24 uur na het maken van de roltoewijzing wijzigingen heeft aangebracht. Deze verdachte activiteit zou worden weergegeven in een visualisatie met de volgende query:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Zie de Kusto-documentatie voor meer informatie over de volgende items die in de voorgaande voorbeelden worden gebruikt:

Zie het overzicht van Kusto-querytaal (KQL) voor meer informatie over KQL.

Andere resources:

Bekende problemen voor het bewerken van werkmappen in de Defender-portal (preview)

Het rechtstreeks bewerken van werkmappen in de Defender-portal is momenteel beschikbaar als preview-versie en bevat momenteel de volgende bekende problemen:

  • De geavanceerde editor wordt mogelijk weergegeven in de lichte modus, zelfs als uw portal is ingesteld op de donkere modus.
  • Aangepaste eindpuntgegevens worden niet ondersteund voor het bewerken van werkmappen in de Defender-portal.
  • Werkmappen in werkmappen worden niet ondersteund voor bewerking in de Defender-portal.
  • Delen met het kenmerk Alleen-lezen wordt niet ondersteund voor werkmappen in de Defender-portal.
  • Mermaid-diagrammen worden niet ondersteund voor het bewerken van werkmappen in de Defender-portal.

Zie voor meer informatie:

  • Last updated on