可视化收集的数据

在本文中,你将了解如何使用 Microsoft Sentinel 快速查看和监视整个环境中发生的情况。 将数据源连接到 Microsoft Sentinel 之后,可以即时可视化和分析数据,以了解所有已连接的数据源中发生的情况。 Microsoft Sentinel 提供工作簿,让你利用 Azure 中已提供的工具的强大功能,并提供内置的表和图表,用于分析日志与查询。 可以使用工作簿模版,也可以从头开始或基于现有的工作簿轻松新建工作簿。

获取可视化效果

若要可视化和分析环境中发生的情况,请先查看概述仪表板,以大致了解组织的安全态势。 为了帮助降低干扰并尽量减少需要检查和调查的警报数目,Microsoft Sentinel 使用一种融合技术将警报关联到事件。 “事件”是相关警报的分组,它们共同创建了可以调查和解决的可处理事件。

在 Azure 门户中选择“Microsoft Sentinel”,然后选择要监视的工作区。

Screenshot of the Microsoft Sentinel overview page.

如果你想要刷新仪表板所有部分的数据,请选择仪表板顶部的“刷新”。 为了提高性能,仪表板每个部分的数据都是预先计算的,你可以在每个部分的顶部看到刷新时间。

查看事件数据

可以在“事件”下看到不同类型的事件数据。

Screenshot of the Incidents section in the Microsoft Sentinel Overview page.

  • 在左上方,可以看到过去 24 小时的新事件、活动事件和已关闭事件的数量。
  • 在右上方,可以看到按严重性组织的事件,以及按关闭分类显示的已关闭事件。
  • 在左下方,有一个图形按四小时间隔内的创建时间细分了事件状态。
  • 在右下方,可以看到确认事件的平均时间和结束事件的平均时间,以及 SOC 效率工作簿的链接。

查看自动化数据

可以在“自动化”下看到不同类型的自动化数据。

Screenshot of the Automation section in the Microsoft Sentinel Overview page.

  • 在顶部,可以看到自动化规则活动的摘要:自动化关闭的事件、自动化保存的时间,以及相关的 playbook 运行状况。
  • 在摘要下方,有一个图形按操作类型汇总了自动化执行的操作数量。
  • 在底部,可以看到活动自动化规则的计数以及自动化边栏选项卡的链接。

查看数据记录、数据收集器和威胁情报的状态

可以在“数据”下看到有关数据记录、数据收集器和威胁情报的不同类型的数据。

Screenshot of the Data section in the Microsoft Sentinel Overview page.

  • 在左侧,有一个图形显示了 Microsoft Sentinel 在过去 24 小时收集的记录数、与前一 24 小时的对比,以及在该时间段内检测到的异常数。
  • 在右上方,可以看到按不正常和活动连接器划分的数据连接器状态的摘要。 “不正常的连接器数”指示有多少个连接器存在错误。 “活动连接器”是将数据流式传输到 Microsoft Sentinel 的连接器,由连接器中包含的查询进行度量。
  • 在右下方,可以按入侵指标查看 Microsoft Sentinel 中的威胁情报记录。

查看分析数据

可以在“分析”下看到分析规则的数据。

Screenshot of the Analytics section in the Microsoft Sentinel Overview page.

可以按已启用、已禁用或已自动禁用状态查看 Microsoft Sentinel 中的分析规则数。

使用工作簿模板

工作簿模版提供连接的数据源中的集成数据,让你深入调查这些服务中生成的事件。 工作簿模版包括 Microsoft Entra ID、Azure 活动事件和本地信息,这些数据可能来自服务器的 Windows 事件、第一方警报或任何第三方(包括防火墙流量日志、Office 365 和基于 Windows 事件的不安全协议)。 这些工作簿基于 Azure Monitor 工作簿,为你提供增强的可定制性和灵活性,方便你设计自己的工作簿。 有关详细信息,请参阅工作簿

  1. 在“设置”下,选择“工作簿”。 在“我的工作簿”下,可以看到所有已保存的工作簿。 在“模板”下,可以看到已安装的工作簿模板。 要查找更多工作簿模板,请转到 Microsoft Sentinel 中的内容中心以安装产品解决方案或独立内容。
  2. 搜索特定的工作簿以查看整个列表,以及每个工作簿的功能说明。
  3. 假设你使用 Microsoft Entra ID,要启动和运行 Microsoft Sentinel,我们建议为 Microsoft Sentinel 安装 Microsoft Entra 解决方案并使用以下工作簿:
    • Microsoft Entra ID:使用以下两项中的一个或两个:

      • “Microsoft Entra 登录”可分析不同时间的登录活动,以确定是否存在异常。 此工作簿按应用程序、设备和位置列出失败的登录,使你能够即时注意到有异常情况发生。 请注意是否出现了多个失败的登录活动。
      • “Microsoft Entra 审核日志”可分析管理活动,例如用户更改(添加、删除等)、组创建和修改。
    • 安装相应的解决方案,为防火墙添加工作簿。 例如,安装适用于 Microsoft Sentinel 的 Palo Alto 防火墙解决方案以添加 Palo Alto 工作簿。 该工作簿可分析防火墙流量,在防火墙数据与威胁事件之间提供关联,并突出显示各个实体的可疑事件。 工作簿提供有关流量趋势的信息,并允许向下钻取和筛选结果。

      Palo Alto dashboard

可以通过编辑主要查询 query edit button来自定义工作簿。 可以单击按钮 Log Analytics button 转到 Log Analytics 以编辑查询;可以选择省略号 (...) 并选择“自定义磁贴数据”,以编辑主要时间筛选器,或者从工作簿中删除特定的磁贴。

有关使用查询的详细信息,请参阅教程:Log Analytics 中的视觉数据

添加新磁贴

若要添加新磁贴,可将其添加到现有工作簿 - 你创建的工作簿,或 Microsoft Sentinel 的内置工作簿。

  1. 在 Log Analytics 中,遵照 Log Analytics 中的视觉数据中的说明创建磁贴。
  2. 创建磁贴后,在“固定”下,选择要在其中显示该磁贴的工作簿。

创建新工作簿

可以从头开始新建工作簿,也可以基于某个工作簿模版新建工作簿。

  1. 若要从头开始创建新工作簿,请选择“工作簿”,然后选择“+新建工作簿”。
  2. 选择要在其中创建该工作簿的订阅,并为其指定一个描述性的名称。 与其他任何元素一样,每个工作簿都是一个 Azure 资源,你可为其分配角色 (Azure RBAC) 以定义和限制哪些用户可以访问它。
  3. 若要使其显示在要将可视化效果固定到的工作簿中,必须将其共享。 依次单击“共享”、“管理用户”。
  4. 像设置其他任何 Azure 资源一样,使用“检查访问权限”和“角色分配”。 有关详细信息,请参阅使用 Azure RBAC 共享 Azure 工作簿

新工作簿示例

使用以下示例查询可以比较不同周次的流量趋势。 可以轻松切换要对其运行查询的设备供应商和数据源。 此示例使用来自 Windows 的 SecurityEvent。可将其切换为针对其他任何防火墙中的 AzureActivity 或 CommonSecurityLog 运行。

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

可以创建一个查询用于合并多个源中的数据。 可以创建一个查询,用于在 Microsoft Entra 审核日志中查找刚刚创建的新用户,然后检查 Azure 日志,以确定该用户在创建后的 24 小时内,是否开始进行角色分配更改。 该可疑活动会显示在此仪表板上:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

可以基于用户的角色创建不同的工作簿,以查看该用户的数据并了解其正在查找哪些信息。 例如,可以针对网络管理员创建包含防火墙数据的工作簿。 此外,可以根据数据的查找频率创建工作簿,不管这些数据是每日都要查看的数据,还是每隔一小时检查一次的其他项(例如,你可能想要每隔一小时查看自己的 Microsoft Entra 登录,以搜索异常)。

创建新的检测

连接到 Microsoft Sentinel 的数据源上生成检测,以调查组织中的威胁。

新建检测时,可以利用 Microsoft 安全研究人员为你连接的数据源量身定制的检测功能。

要查看安装的现成检测功能,请转到 Analytics,然后转到“规则模板”。 此选项卡包含了所有已安装的 Microsoft Sentinel 规则模板。

Use built-in detections to find threats with Microsoft Sentinel

若要详细了解如何获取现成的检测,请参阅获取内置分析

后续步骤

使用现成的威胁检测功能,并创建自定义威胁检测规则,以自动响应威胁。