Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel

När du har anslutit dina datakällor till Microsoft Sentinel visualiserar och övervakar du data med hjälp av arbetsböcker i Microsoft Sentinel. Microsoft Sentinel-arbetsböcker baseras på Azure Monitor-arbetsböcker och lägger till tabeller och diagram med analys för dina loggar och frågor till de verktyg som redan är tillgängliga i Azure.

Med Microsoft Sentinel kan du skapa anpassade arbetsböcker i dina data eller använda befintliga arbetsboksmallar som är tillgängliga med paketerade lösningar eller som fristående innehåll från innehållshubben. Varje arbetsbok är en Azure-resurs som alla andra och du kan tilldela den med rollbaserad åtkomstkontroll i Azure (RBAC) för att definiera och begränsa vem som kan komma åt den.

Den här artikeln beskriver hur du visualiserar dina data i Microsoft Sentinel med hjälp av arbetsböcker. Redigering av arbetsböcker direkt i Defender-portalen är som en förhandsgranskning.

Förutsättningar

• Du måste ha minst behörighet som arbetsboksläsare eller arbetsboksdeltagare i resursgruppen på Microsoft Sentinel-arbetsytan.

  Arbetsböckerna som du ser i Microsoft Sentinel sparas i Microsoft Sentinel-arbetsytans resursgrupp och taggas av arbetsytan där de skapades.

• Om du vill använda en arbetsboksmall installerar du lösningen som innehåller arbetsboken eller installerar arbetsboken som ett fristående objekt från innehållshubben. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

• Om du arbetar i Defender-portalen med en Azure Data Explorer-datakälla måste du konfigurera och autentisera till Azure Data Explorer från Defender-portalen.

Skapa en arbetsbok från en mall

Använd en mall som är installerad från innehållshubben för att skapa en arbetsbok.

1. I Microsoft Sentinel väljer du Arbetsböcker för hothantering>.

2. På sidan Arbetsböcker väljer du fliken Mallar för att se listan över installerade arbetsboksmallar. Välj en mall för att visa dess information.

   Vissa arbetsböcker kräver specifika dataanslutningar för att fungera. Innan du sparar en arbetsbok kontrollerar du att du har den typen av data inmatad i fältet Obligatoriska datatyper .

   Till exempel:

   • Defender-portalen
   • Azure-portalen

   

3. Välj Spara i informationsfönstret och välj sedan den plats där du vill spara arbetsboken. Den här åtgärden skapar en Azure-resurs på den valda platsen baserat på relevant mall. Endast arbetsbokens JSON-fil sparas på den här platsen och inga data.

4. I informationsfönstret väljer du Visa sparad arbetsbok för att öppna den för redigering.

5. När arbetsboken är öppen väljer du Redigera för att anpassa arbetsboken efter dina behov.

   • Defender-portalen
   • Azure-portalen

   

   När du arbetar i Defender-portalen kan vissa visualiseringar bara visas i Azure-portalen. I sådana fall väljer du Öppna i Azure för att öppna arbetsboken i Azure-portalen.

   Välj till exempel filtret TimeRange för att visa data för ett annat tidsintervall än den aktuella markeringen. Om du vill redigera ett visst arbetsboksområde väljer du antingen Redigera eller väljer ellipsen (...) för att lägga till element eller flytta, klona eller ta bort området.

   Om du vill klona arbetsboken väljer du Spara som. Spara klonen med ett annat namn under samma prenumeration och resursgrupp. Klonade arbetsböcker visas också under fliken Mina arbetsböcker på sidan Microsoft Sentinel > Hothantering > Arbetsböcker.

6. När du är klar väljer du Klar redigering för att spara ändringarna.

Mer information finns i:

• Skapa interaktiva rapporter med Azure Monitor-arbetsböcker
• Självstudie: Visuella data i Log Analytics

Skapa ny arbetsbok

Skapa en arbetsbok från grunden i Microsoft Sentinel.

1. I Microsoft Sentinel väljer du Arbetsböcker för hothantering >och väljer sedan Lägg till arbetsbok.

2. Om du vill redigera arbetsboken väljer du Redigera och lägger sedan till text, frågor och parametrar efter behov.

   Mer information om hur du anpassar arbetsboken finns i Skapa interaktiva rapporter med Azure Monitor-arbetsböcker.

   

3. När du skapar en fråga anger du Datakällan till Loggar och Resurstyp till Log Analytics och väljer sedan en eller flera arbetsytor.

   Vi rekommenderar att din fråga använder en ASIM-parsare (Advanced Security Information Model) och inte en inbyggd tabell. Frågan stöder sedan alla aktuella eller framtida relevanta datakällor i stället för en enda datakälla.

4. När du är klar med dina redigeringar väljer du Klar redigering och sedan Spara. I sidofönstret anger du ett beskrivande namn för arbetsboken och väljer prenumerationen och resursgruppen för arbetsytan.

5. När du arbetar i Azure-portalen växlar du mellan arbetsböcker på arbetsytan genom att välja Öppna I verktygsfältet för alla arbetsböcker. Skärmen växlar till en lista över andra arbetsböcker som du kan växla till.

   Välj den arbetsbok som du vill öppna:

   

Skapa nya paneler för dina arbetsböcker

Om du vill lägga till en anpassad panel i en Microsoft Sentinel-arbetsbok skapar du först panelen i Log Analytics. Mer information finns i Visuella data i Log Analytics.

När du har skapat en panel väljer du Fäst och väljer sedan arbetsboken där du vill att panelen ska visas.

Uppdatera arbetsboksdata

Uppdatera arbetsboken för att visa uppdaterade data. Välj något av följande alternativ i verktygsfältet:

• Uppdatera för att manuellt uppdatera arbetsboksdata.

• Automatisk uppdatering för att ställa in att arbetsboken ska uppdateras automatiskt med ett konfigurerat intervall.

  • Intervallen för automatisk uppdatering som stöds varierar från 5 minuter till 1 dag.

  • Automatisk uppdatering pausas när du redigerar en arbetsbok och intervallen startas om varje gång du växlar tillbaka till visningsläget från redigeringsläget.

  • Automatiska uppdateringsintervall startas också om om du uppdaterar dina data manuellt.

  Som standard är automatisk uppdatering inaktiverad. Om du har aktiverat automatisk uppdatering, inaktiveras den igen varje gång du stänger anteckningsboken för att optimera prestanda och förhindra att den körs i bakgrunden. Aktivera automatisk uppdatering igen efter behov nästa gång du öppnar arbetsboken.

Skriv ut en arbetsbok eller spara som PDF (endast Azure-portalen)

Om du vill skriva ut en arbetsbok eller spara den som en PDF använder du alternativmenyn till höger om arbetsbokens rubrik. De här alternativen är endast tillgängliga i Azure-portalen. Om du arbetar i Defender-portalen väljer du Öppna i Azure för att öppna arbetsboken i Azure-portalen.

1. Välj alternativ >Skriv ut innehåll.

2. På utskriftsskärmen justerar du utskriftsinställningarna efter behov eller väljer Spara som PDF för att spara dem lokalt.

   Till exempel:

   

Ta bort en eller flera arbetsböcker

Du kan ta bort både sparade mallar och anpassade arbetsböcker från fliken Mina arbetsböcker . Det går inte att ta bort själva mallarna.

Om du vill ta bort en arbetsbok väljer du arbetsboken på fliken Mina arbetsböcker och väljer sedan Ta bort. Den här åtgärden tar bort arbetsboksresursen och eventuella ändringar som du har gjort i mallen. Den ursprungliga mallen är fortfarande tillgänglig.

Arbetsboksrekommendationer

Det här avsnittet granskar grundläggande rekommendationer som vi har för att använda arbetsböcker med Microsoft Sentinel.

Lägga till Microsoft Entra-ID-arbetsböcker

Om du använder Microsoft Entra-ID med Microsoft Sentinel rekommenderar vi att du installerar Microsoft Entra-lösningen för Microsoft Sentinel och använder följande arbetsböcker:

• Microsoft Entra-inloggningar analyserar inloggningar över tid för att se om det finns avvikelser. Den här arbetsboken ger misslyckade inloggningar av program, enheter och platser så att du snabbt kan se om något ovanligt händer. Var uppmärksam på flera misslyckade inloggningar.
• Microsoft Entra-granskningsloggar analyserar administratörsaktiviteter, till exempel ändringar i användare (lägg till, ta bort osv.), gruppskapande och ändringar.

Lägga till brandväggsarbetsböcker

Vi rekommenderar att du installerar lämplig lösning från innehållshubben för att lägga till en arbetsbok för brandväggen.

Installera till exempel Palo Alto-brandväggslösningen för Microsoft Sentinel för att lägga till Palo Alto-arbetsböckerna. Arbetsböckerna analyserar brandväggstrafiken, ger dig korrelationer mellan dina brandväggsdata och hothändelser och markerar misstänkta händelser mellan entiteter.

Skapa olika arbetsböcker för olika användningsområden

Vi rekommenderar att du skapar olika visualiseringar för varje typ av persona som använder arbetsböcker, baserat på personens roll och vad de letar efter. Skapa till exempel en arbetsbok för nätverksadministratören som innehåller brandväggsdata.

Du kan också skapa arbetsböcker baserat på hur ofta du vill titta på dem, om det finns saker du vill granska dagligen och andra objekt som du vill kontrollera en gång i timmen. Du kanske till exempel vill titta på dina Microsoft Entra-inloggningar varje timme för att söka efter avvikelser.

Exempelfråga för att jämföra trafiktrender mellan veckor

Använd följande fråga för att skapa en visualisering som jämför trafiktrender mellan veckor. Växla enhetsleverantör och datakälla som du kör frågan på, beroende på din miljö.

Följande exempelfråga använder tabellen SecurityEvent från Windows. Du kanske vill växla den så att den körs i tabellen AzureActivity eller CommonSecurityLog i en annan brandvägg.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Exempelfråga med data från flera källor

Du kanske vill skapa en fråga som innehåller data från flera källor. Skapa till exempel en fråga som tittar på Microsoft Entra-granskningsloggar för nya användare som har skapats och kontrollerar sedan dina Azure-loggar för att se om användaren började göra rolltilldelningsändringar inom 24 timmar efter skapandet. Den misstänkta aktiviteten skulle visas i en visualisering med följande fråga:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Mer information om följande objekt som används i föregående exempel finns i Kusto-dokumentationen:

• där operatorn
• utöka operatorn
• projektoperator
• project-away-operator
• kopplingsoperator
• summarize-operator
• ago() -funktion
• funktionen bin()
• funktionen iff()
• funktionen tostring()
• sammansättningsfunktionen count()

Mer information om KQL finns i översikten över Kusto-frågespråk (KQL).

Andra resurser:

• Snabbreferens för KQL
• Kusto-frågespråk utbildningsresurser

Kända problem med att redigera arbetsböcker i Defender-portalen (förhandsversion)

Redigering av arbetsböcker direkt i Defender-portalen är för närvarande i förhandsversion och innehåller för närvarande följande kända problem:

• Den avancerade redigeraren kan visas i ljust läge, även om portalen är inställd på mörkt läge.
• Anpassade slutpunktsdata stöds inte för redigering av arbetsböcker i Defender-portalen.
• Arbetsböcker som är inbäddade i andra arbetsböcker stöds inte för redigering i Defender-portalen.
• Skrivskyddad delning stöds inte för arbetsböcker i Defender-portalen.
• Sjöjungfrudiagram stöds inte för redigering av arbetsböcker i Defender-portalen.

Relaterade artiklar

Mer information finns i:

• Vanliga Microsoft Sentinel-arbetsböcker

• Azure Monitor-arbetsböcker