在 Microsoft Sentinel 中使用工作簿可视化和监视数据

将数据源连接到 Microsoft Sentinel 后，使用 Microsoft Sentinel 中的工作簿可视化和监视数据。 Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿，并向 Azure 中已提供的工具添加具有日志和查询分析的表格和图表。

借助 Microsoft Sentinel，可以跨数据创建自定义工作簿，或使用打包解决方案提供的现有工作簿模板，或将其用作来自内容中心的独立内容。 与其他任何元素一样，每个工作簿都是一个 Azure 资源，并且可以通过 Azure 基于角色的访问控制 (RBAC) 为其分配角色，以定义和限制哪些用户可以访问它。

本文介绍了如何使用工作簿在 Microsoft Sentinel 中可视化数据。

先决条件

• 对于 Microsoft Sentinel 工作区的资源组，你需要至少具有工作簿读者或工作簿参与者权限 。

  在 Microsoft Sentinel 中查看的工作簿保存在 Microsoft Sentinel 工作区的资源组中，并由创建它们的工作区进行标记。

• 要使用工作簿模板，可安装包含工作簿的解决方案，或将工作簿作为内容中心中的独立项目进行安装。 有关详细信息，请参阅发现和管理 Microsoft Sentinel 的现成内容。

从模板创建工作簿

使用从内容中心安装的模板创建工作簿。

1. 转到 Azure 门户，在“威胁管理”下，选择“工作簿”。

2. 转到“工作簿”，然后选择“模板”来查看所安装工作簿模板的列表。

   若要查看哪些模板与连接的数据类型相关，请查看每个工作簿中可用的“必需数据类型”字段。

   

3. 从模板详细信息窗格中选择“保存”，然后选择要将模板 JSON 文件保存到的位置。 此操作基于相关模板创建 Azure 资源，并保存工作簿的 JSON 文件，而不是数据。

4. 从模板详细信息窗格中选择“查看已保存的工作簿”。

5. 选择工作簿工具栏中的“编辑”按钮，根据需要自定义工作簿。

   

   例如，选择“TimeRange”筛选器可查看与当前选择不同的时间范围的数据。 要编辑特定工作簿区域，请选择“编辑”或选择省略号（“...”）以添加元素，或移动、克隆或移除该区域。

   要克隆工作簿，请选择“另存为”。 在同一订阅和资源组下使用其他名称保存克隆。 克隆的工作簿显示在“我的工作簿”选项卡下。

6. 完成后，选择“保存”以保存更改。

有关详细信息，请参阅：

• 使用 Azure Monitor 工作簿创建交互式报表
• 教程：Log Analytics 中的视觉数据

创建新的工作簿

在 Microsoft Sentinel 中从头开始创建工作簿。

1. 转到 Azure 门户，在“威胁管理”下，选择“工作簿”。

2. 选择“添加工作簿”。

3. 若要编辑工作簿，请选择“编辑”，然后根据需要添加文本、查询和参数。 有关如何自定义工作簿的详细信息，请参阅如何使用 Azure Monitor 工作簿创建交互式报表。

   

4. 生成查询时，请将“数据源”设置为“日志”，将“资源类型”设置为“Log Analytics”，然后选择一个或多个工作区。

   建议查询使用高级安全信息模型 (ASIM) 分析程序，而不是内置表。 然后，查询将支持任何当前或未来的相关数据源，而不是单个数据源。

5. 创建工作簿后，将该工作簿保存在 Microsoft Sentinel 工作区的订阅和资源组下。

6. 如果要让组织中的其他人使用该工作簿，请在“保存到”下选择“共享报表”。 如果希望此工作簿仅供你使用，请选择“我的报表”。

7. 若要在工作区中的工作簿之间切换，请在任何工作簿的工具栏中选择“打开”。 屏幕将切换到可以切换到的其他工作簿的列表。

   选择要打开的工作簿：

   

为工作簿创建新磁贴

要将自定义磁贴添加到 Microsoft Sentinel 工作簿，请先在 Log Analytics 中创建磁贴。 有关详细信息，请参阅 Log Analytics 中的视觉数据。

创建磁贴后，选择“固定”，然后选择要在其中显示磁贴的工作簿。

刷新工作簿数据

刷新工作簿以显示更新的数据。 在工具栏中，选择下列选项之一：

• 刷新：手动刷新工作簿数据。

• 自动刷新：将工作簿设置为按配置的间隔自动刷新。

  • 支持的自动刷新间隔范围为“5 分钟”到“1 天” 。

  • 在编辑工作簿时，自动刷新会暂停，且每次从编辑模式切换回视图模式时，将重启间隔。

  • 如果手动刷新数据，自动刷新间隔也会重启。

  默认情况下，自动刷新处于关闭状态。 为了优化性能，每次关闭工作簿时都会关闭自动刷新。 它不会在后台运行。 当你下次打开工作簿时，请根据需要重新启用自动刷新。

打印工作簿或另存为 PDF

若要打印工作簿或将其另存为 PDF，请使用工作簿标题右侧的选项菜单。

1. 选择选项 >“打印内容”。

2. 在打印屏幕中，根据需要调整打印设置，或选择“另存为 PDF”将其保存在本地。

   例如：

   

如何删除工作簿

若要删除一个已保存的工作簿（无论是保存的模板还是自定义的工作簿），请选择要删除的已保存工作簿，然后选择“删除”。 此操作将移除保存的工作簿。 这还会删除工作簿资源以及对模板所做的任何更改。 原始模板仍可用。

工作簿建议

本部分介绍使用 Microsoft Sentinel 工作簿的基本建议。

添加 Microsoft Entra ID 工作簿

如果将 Microsoft Entra ID 与 Microsoft Sentinel 一起使用，建议安装适用于 Microsoft Sentinel 的 Microsoft Entra 解决方案并使用以下工作簿：

• “Microsoft Entra 登录”可分析不同时间的登录活动，以确定是否存在异常。 此工作簿按应用程序、设备和位置提供失败的登录，以便在发生异常情况时一目了然地注意到。 请注意是否出现了多个失败的登录活动。
• “Microsoft Entra 审核日志”可分析管理活动，例如用户更改（添加、删除等）、组创建和修改。

添加防火墙工作簿

建议从内容中心安装相应的解决方案，以添加防火墙工作簿。

例如，安装适用于 Microsoft Sentinel 的 Palo Alto 防火墙解决方案以添加 Palo Alto 工作簿。 该工作簿可分析防火墙流量，在防火墙数据与威胁事件之间提供关联，并突出显示各个实体的可疑事件。

创建适用于不同用途的不同工作簿

建议根据角色及其查找内容，针对使用工作簿的每种角色类型创建不同的可视化效果。 例如，可以为网络管理员创建包含防火墙数据的工作簿。

或者，根据以下条件创建工作簿，例如希望查看工作簿的频率、是否存在需要每天查看的内容，以及是否存在需要每小时检查一次的其他项目。 例如，你可能需要每小时查看一次 Microsoft Entra 登录以搜索异常。

用于比较各周流量趋势的示例查询

使用以下查询创建可视化效果，以比较各周的流量趋势。 根据环境切换运行查询的设备供应商和数据源。

以下示例查询使用了 Windows 中的 SecurityEvent 表。 你可能想要将其切换为在其他防火墙上的 AzureActivity 或 CommonSecurityLog 表上运行。

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

包含来自多个源的数据的示例查询

可以创建一个查询用于合并多个源中的数据。 例如，创建一个查询，以在 Microsoft Entra 审核日志中查找刚刚创建的新用户，然后检查 Azure 日志，以确定该用户是否已在创建后的 24 小时内开始进行角色分配更改。 该可疑活动会显示在包含以下查询的可视化效果中：

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

相关文章

有关详细信息，请参阅：

• 常用的 Microsoft Sentinel 工作簿

• Azure Monitor 工作簿