Udostępnij przez

Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Po połączeniu źródeł danych z usługą Microsoft Sentinel wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel. Skoroszyty usługi Microsoft Sentinel są oparte na skoroszytach usługi Azure Monitor i dodają tabele i wykresy z analizą dzienników i zapytań do narzędzi dostępnych już na platformie Azure.

Usługa Microsoft Sentinel umożliwia tworzenie niestandardowych skoroszytów między danymi lub używanie istniejących szablonów skoroszytów dostępnych z spakowanych rozwiązań lub jako zawartości autonomicznej z centrum zawartości. Każdy skoroszyt jest zasobem platformy Azure, podobnie jak każdy inny, i możesz przypisać go za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zdefiniować i ograniczyć, kto może uzyskać dostęp.

W tym artykule opisano sposób wizualizowania danych w usłudze Microsoft Sentinel przy użyciu skoroszytów. Edytowanie skoroszytów bezpośrednio w portalu usługi Defender jest jako wersja zapoznawcza.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

  • Musisz mieć co najmniej uprawnienia czytelnika skoroszytu lub współautora skoroszytu w grupie zasobów obszaru roboczego usługi Microsoft Sentinel.

    Skoroszyty widoczne w usłudze Microsoft Sentinel są zapisywane w grupie zasobów obszaru roboczego usługi Microsoft Sentinel i są oznaczane przez obszar roboczy, w którym zostały utworzone.

  • Aby użyć szablonu skoroszytu, zainstaluj rozwiązanie zawierające skoroszyt lub zainstaluj skoroszyt jako autonomiczny element z centrum zawartości. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

  • Jeśli pracujesz w portalu usługi Defender za pomocą źródła danych usługi Azure Data Explorer, upewnij się, że skonfigurować i uwierzytelnić się w usłudze Azure Data Explorer z poziomu portalu usługi Defender.

Tworzenie skoroszytu na podstawie szablonu

Użyj szablonu zainstalowanego z centrum zawartości, aby utworzyć skoroszyt.

  1. W usłudze Microsoft Sentinel wybierz pozycję Skoroszyty zarządzania zagrożeniami>.

  2. Na stronie Skoroszyty wybierz kartę Szablony , aby wyświetlić listę zainstalowanych szablonów skoroszytów. Wybierz szablon, aby wyświetlić jego szczegóły.

    Niektóre skoroszyty wymagają określonych połączeń danych z funkcją. Przed zapisaniem skoroszytu sprawdź pole Wymagane typy danych upewnij się, że masz pozyskany tego typu dane.

    Na przykład:

  3. W okienku szczegółów wybierz pozycję Zapisz, a następnie wybierz lokalizację, w której chcesz zapisać skoroszyt. Ta akcja powoduje utworzenie zasobu platformy Azure w wybranej lokalizacji na podstawie odpowiedniego szablonu. Tylko plik JSON skoroszytu jest zapisywany w tej lokalizacji i nie ma danych.

  4. W okienku szczegółów wybierz pozycję Wyświetl zapisany skoroszyt , aby otworzyć go do edycji.

  5. Po otwarciu skoroszytu wybierz pozycję Edytuj , aby dostosować skoroszyt zgodnie z potrzebami.

    Zrzut ekranu przedstawiający zapisany skoroszyt.

    Podczas pracy w portalu usługi Defender niektóre wizualizacje można wyświetlać tylko w witrynie Azure Portal. W takich przypadkach wybierz pozycję Otwórz na platformie Azure , aby otworzyć skoroszyt w witrynie Azure Portal.

    Na przykład wybierz filtr TimeRange , aby wyświetlić dane dla innego zakresu czasu niż bieżący wybór. Aby edytować konkretny obszar skoroszytu, wybierz pozycję Edytuj lub wybierz wielokropek (...), aby dodać elementy lub przenieść, sklonować lub usunąć obszar.

    Aby sklonować skoroszyt, wybierz pozycję Zapisz jako. Zapisz klon pod inną nazwą w ramach tej samej subskrypcji i grupy zasobów. Sklonowane skoroszyty są również wyświetlane na karcie Moje skoroszyty na stronie Skoroszyty zarządzania zagrożeniami > w usłudze Microsoft Sentinel>.

  6. Gdy wszystko będzie gotowe, wybierz pozycję Gotowe edytowanie , aby zapisać zmiany.

Aby uzyskać więcej informacji, zobacz:

Tworzenie nowego skoroszytu

Utwórz skoroszyt od podstaw w usłudze Microsoft Sentinel.

  1. W usłudze Microsoft Sentinel wybierz pozycję Skoroszyty zarządzania zagrożeniami>, a następnie wybierz pozycję Dodaj skoroszyt.

  2. Aby edytować skoroszyt, wybierz pozycję Edytuj, a następnie w razie potrzeby dodaj tekst, zapytania i parametry.

    Aby uzyskać więcej informacji na temat dostosowywania skoroszytu, zobacz jak tworzyć interaktywne raporty za pomocą skoroszytów usługi Azure Monitor.

    Zrzut ekranu przedstawiający nowy skoroszyt.

  3. Podczas tworzenia zapytania ustaw źródło danych na Dzienniki i typ zasobu na Log Analytics, a następnie wybierz co najmniej jeden obszar roboczy.

    Zalecamy użycie analizatora advanced Security Information Model (ASIM), a nie wbudowanej tabeli. Zapytanie będzie następnie obsługiwać dowolne bieżące lub przyszłe odpowiednie źródło danych, a nie jedno źródło danych.

  4. Po zakończeniu edycji wybierz pozycję Zakończono edytowanie , a następnie pozycję Zapisz. W okienku bocznym wprowadź zrozumiałą nazwę skoroszytu, a następnie wybierz subskrypcję i grupę zasobów dla obszaru roboczego.

  5. Podczas pracy w witrynie Azure Portal przełącz się między skoroszytami w obszarze roboczym, wybierając pozycję Otwórzikonę, aby otworzyć skoroszyt. Na pasku narzędzi dowolnego skoroszytu. Ekran przełącza się na listę innych skoroszytów, do których można się przełączyć.

    Wybierz skoroszyt, który chcesz otworzyć:

    Zrzut ekranu przedstawiający sposób przełączania skoroszytów.

Tworzenie nowych kafelków dla skoroszytów

Aby dodać kafelek niestandardowy do skoroszytu usługi Microsoft Sentinel, najpierw utwórz kafelek w usłudze Log Analytics. Aby uzyskać więcej informacji, zobacz Dane wizualne w usłudze Log Analytics.

Po utworzeniu kafelka wybierz pozycję Przypnij , a następnie wybierz skoroszyt, w którym ma zostać wyświetlony kafelek.

Odświeżanie danych skoroszytu

Odśwież skoroszyt, aby wyświetlić zaktualizowane dane. Na pasku narzędzi wybierz jedną z następujących opcji:

  • Odśwież, aby ręcznie odświeżyć dane skoroszytu.

  • Automatyczne odświeżanie, aby ustawić skoroszyt na automatyczne odświeżanie w skonfigurowanym interwale.

    • Obsługiwane interwały automatycznego odświeżania wahają się od 5 minut do 1 dnia.

    • Automatyczne odświeżanie jest wstrzymane podczas edytowania skoroszytu, a interwały są uruchamiane ponownie za każdym razem, gdy przełączysz się z powrotem do trybu wyświetlania z trybu edycji.

    • Interwały automatycznego odświeżania są również uruchamiane ponownie w przypadku ręcznego odświeżania danych.

    Domyślnie automatyczne odświeżanie jest wyłączone. Jeśli funkcja automatycznego odświeżania została włączona, jest ona ponownie wyłączona za każdym razem, gdy zamkniesz notes, aby zoptymalizować działanie perforamnce i zapobiec jego uruchomieniu w tle. Włącz automatyczne odświeżanie ponownie zgodnie z potrzebami przy następnym otwarciu skoroszytu.

Aby wydrukować skoroszyt lub zapisać go jako plik PDF, użyj menu opcji po prawej stronie tytułu skoroszytu. Te opcje są dostępne tylko w witrynie Azure Portal. Jeśli pracujesz w portalu usługi Defender, wybierz pozycję Otwórz na platformie Azure , aby otworzyć skoroszyt w witrynie Azure Portal.

  1. Wybierz opcje >Drukuj zawartość.

  2. Na ekranie wydruku dostosuj ustawienia drukowania zgodnie z potrzebami lub wybierz pozycję Zapisz jako plik PDF , aby zapisać go lokalnie.

    Na przykład:

    Zrzut ekranu przedstawiający sposób drukowania skoroszytu lub zapisywania go w formacie PDF.

Usuwanie co najmniej jednego skoroszytu

Zapisane szablony i dostosowane skoroszyty można usunąć z karty Moje skoroszyty . Nie można usunąć samych szablonów.

Aby usunąć skoroszyt, wybierz skoroszyt na karcie Moje skoroszyty , a następnie wybierz pozycję Usuń. Ta akcja powoduje usunięcie zasobu skoroszytu i wszelkich zmian wprowadzonych w szablonie. Oryginalny szablon pozostaje dostępny.

Zalecenia dotyczące skoroszytu

W tej sekcji przedstawiono podstawowe zalecenia dotyczące używania skoroszytów z usługą Microsoft Sentinel.

Dodawanie skoroszytów identyfikatora Entra firmy Microsoft

Jeśli używasz identyfikatora Entra firmy Microsoft z usługą Microsoft Sentinel, zalecamy zainstalowanie rozwiązania Microsoft Entra dla usługi Microsoft Sentinel i użycie następujących skoroszytów:

  • Logowania Microsoft Entra analizują logowania z upływem czasu, aby sprawdzić, czy występują anomalie. Ten skoroszyt zawiera nieudane logowania według aplikacji, urządzeń i lokalizacji, dzięki czemu można łatwo zauważyć, gdy wystąpi coś niezwykłego. Zwróć uwagę na wiele nieudanych logowania.
  • Dzienniki inspekcji firmy Microsoft Entra analizują działania administratora, takie jak zmiany użytkowników (dodawanie, usuwanie itp.), tworzenie grup i modyfikacje.

Dodawanie skoroszytów zapory

Zalecamy zainstalowanie odpowiedniego rozwiązania z Centrum Zawartości, aby dodać skoroszyt dla zapory.

Na przykład zainstaluj rozwiązanie zapory Palo Alto dla usługi Microsoft Sentinel, aby dodać skoroszyty Palo Alto. Skoroszyty analizują ruch zapory, zapewniając korelacje między danymi zapory i zdarzeniami zagrożenia oraz wyróżniają podejrzane zdarzenia między jednostkami.

Zrzut ekranu przedstawiający skoroszyt Palo Alto.

Tworzenie różnych skoroszytów dla różnych zastosowań

Zalecamy utworzenie różnych wizualizacji dla każdego typu osoby korzystającej ze skoroszytów na podstawie roli osoby i szukanych elementów. Na przykład utwórz skoroszyt dla administratora sieci, który zawiera dane zapory.

Alternatywnie utwórz skoroszyty na podstawie tego, jak często chcesz je przeglądać, czy są rzeczy, które chcesz przeglądać codziennie, a inne elementy, które chcesz sprawdzić raz na godzinę. Na przykład możesz sprawdzić logowania firmy Microsoft co godzinę, aby wyszukać anomalie.

Użyj następującego zapytania, aby utworzyć wizualizację, która porównuje trendy ruchu w tygodniach. Przełącz dostawcę urządzenia i źródło danych, na którym uruchamiasz zapytanie, w zależności od środowiska.

Poniższe przykładowe zapytanie używa tabeli SecurityEvent z systemu Windows. Możesz zmienić konfigurację, aby działało na tabeli AzureActivity lub CommonSecurityLog, na innych zaporach sieciowych.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Przykładowe zapytanie z danymi z wielu źródeł

Możesz utworzyć zapytanie zawierające dane z wielu źródeł. Na przykład utwórz zapytanie, które analizuje dzienniki inspekcji firmy Microsoft Entra dla nowych użytkowników, którzy zostali utworzeni, a następnie sprawdza dzienniki platformy Azure, aby sprawdzić, czy użytkownik zaczął wprowadzać zmiany przypisania roli w ciągu 24 godzin od utworzenia. To podejrzane działanie zostanie wyświetlone w wizualizacji z następującym zapytaniem:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Więcej informacji na temat następujących elementów używanych w poprzednich przykładach można znaleźć w dokumentacji usługi Kusto:

Aby uzyskać więcej informacji na temat języka KQL, zobacz Omówienie języka Kusto Query Language (KQL).

Inne zasoby:

Znane problemy dotyczące edytowania skoroszytów w portalu usługi Defender (wersja zapoznawcza)

Edytowanie skoroszytów bezpośrednio w portalu usługi Defender jest obecnie dostępne w wersji zapoznawczej i obecnie obejmuje następujące znane problemy:

  • Edytor zaawansowany może być wyświetlany w trybie jasnym, nawet jeśli portal jest ustawiony na tryb ciemny.
  • Niestandardowe dane punktu końcowego nie są obsługiwane w przypadku edytowania skoroszytów w portalu usługi Defender.
  • Skoroszyty w skoroszytach nie są obsługiwane do edycji w portalu usługi Defender.
  • Udostępnianie tylko do odczytu nie jest obsługiwane w przypadku skoroszytów w portalu usługi Defender.
  • Diagramy syreny nie są obsługiwane w przypadku edytowania skoroszytów w portalu usługi Defender.

Aby uzyskać więcej informacji, zobacz:

  • Last updated on