Visualiser og overvåg dine data ved hjælp af projektmapper i Microsoft Sentinel

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Når du har oprettet forbindelse mellem dine datakilder og Microsoft Sentinel, kan du visualisere og overvåge dataene ved hjælp af projektmapper i Microsoft Sentinel. Microsoft Sentinel projektmapper er baseret på Azure Overvåg projektmapper og føjer tabeller og diagrammer med analyser til dine logge og forespørgsler til de værktøjer, der allerede er tilgængelige i Azure.

Microsoft Sentinel giver dig mulighed for at oprette brugerdefinerede projektmapper på tværs af dine data eller bruge eksisterende projektmappeskabeloner, der er tilgængelige med pakkede løsninger, eller som separat indhold fra indholdshubben. Hver projektmappe er en Azure ressource som enhver anden, og du kan tildele den med Azure rollebaseret adgangskontrol for at definere og begrænse, hvem der har adgang.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Forudsætninger

  • Du skal som minimum have tilladelser som bidragyder til projektmapper eller projektmappebidragydere til ressourcegruppen i det Microsoft Sentinel arbejdsområde.

    De projektmapper, du kan se i Microsoft Sentinel, gemmes i Microsoft Sentinel arbejdsområdes ressourcegruppe og mærkes af det arbejdsområde, hvor de blev oprettet.

  • Hvis du vil bruge en projektmappeskabelon, skal du installere den løsning, der indeholder projektmappen, eller installere projektmappen som et separat element fra Content Hub. Du kan finde flere oplysninger under Find og administrer Microsoft Sentinel indhold, der er klar til brug.

  • Hvis du arbejder på Defender-portalen med en Azure Data Explorer datakilde, skal du sørge for at konfigurere og godkende til Azure Data Explorer fra Defender-portalen.

Opret en projektmappe ud fra en skabelon

Brug en skabelon, der er installeret fra indholdshubben, til at oprette en projektmappe.

  1. I Microsoft Sentinel skal du vælge Projektmapper til trusselsstyring>.

  2. På siden Projektmapper skal du vælge fanen Skabeloner for at se en liste over installerede projektmappeskabeloner. Vælg en skabelon for at få vist dens detaljer.

    Nogle projektmapper kræver specifikke dataforbindelser for at fungere. Før du gemmer en projektmappe, skal du kontrollere, om der er et felt af typen Obligatoriske datatyper , der sikrer, at du har den pågældende type data, der indtages.

    Det kan f.eks. være:

  3. Vælg Gem i detaljeruden, og vælg derefter den placering, hvor du vil gemme projektmappen. Denne handling opretter en Azure ressource på den valgte placering baseret på den relevante skabelon. Det er kun projektmappens JSON-fil, der gemmes på denne placering, og ingen data.

  4. Vælg Vis gemt projektmappe i detaljeruden for at åbne den til redigering.

  5. Mens projektmappen er åben, skal du vælge Rediger for at tilpasse projektmappen efter dine behov.

    Skærmbillede, der viser den gemte projektmappe.

    Når du arbejder på Defender-portalen, kan nogle visualiseringer kun ses i Azure Portal. I sådanne tilfælde skal du vælge Åbn i Azure for at åbne projektmappen i Azure Portal.

    Vælg f.eks. filteret TimeRange for at få vist data for et andet tidsinterval end den aktuelle markering. Hvis du vil redigere et bestemt projektmappeområde, skal du enten vælge Rediger eller vælge ellipsen (...) for at tilføje elementer eller flytte, klone eller fjerne området.

    Hvis du vil klone projektmappen, skal du vælge Gem som. Gem klonen med et andet navn under det samme abonnement og den samme ressourcegruppe. Klonede projektmapper vises også under fanen Mine projektmapper på siden Microsoft Sentinel > Threat Management > Workbooks.

  6. Når du er færdig, skal du vælge Færdig med at redigere for at gemme dine ændringer.

Du kan finde flere oplysninger under:

Opret ny projektmappe

Opret en projektmappe fra bunden i Microsoft Sentinel.

  1. I Microsoft Sentinel skal du vælge Projektmapper til administration af > trusler og derefter vælge Tilføj projektmappe.

  2. Hvis du vil redigere projektmappen, skal du vælge Rediger og derefter tilføje tekst, forespørgsler og parametre efter behov.

    Du kan få flere oplysninger om, hvordan du tilpasser projektmappen, under Sådan opretter du interaktive rapporter med Azure Overvåg projektmapper.

    Skærmbillede, der viser en ny projektmappe.

  3. Når du opretter en forespørgsel, skal du angive datakilden til Logge og Ressourcetype til Log Analytics og derefter vælge et eller flere arbejdsområder.

    Vi anbefaler, at din forespørgsel bruger en ASIM-parser (Advanced Security Information Model) og ikke en indbygget tabel. Forespørgslen understøtter derefter alle aktuelle eller fremtidige relevante datakilder i stedet for en enkelt datakilde.

  4. Når du er færdig med dine ændringer, skal du vælge Udført redigering og derefter Gem. Angiv et sigende navn til projektmappen i sideruden, og vælg abonnementet og ressourcegruppen for dit arbejdsområde.

  5. Når du arbejder i Azure Portal, skal du skifte mellem projektmapper i arbejdsområdet ved at vælge Åbnikon for at åbne en projektmappe. På værktøjslinjen i en projektmappe. Skærmen skifter til en liste over andre projektmapper, du kan skifte til.

    Vælg den projektmappe, du vil åbne:

    Skærmbillede, der viser, hvordan du skifter projektmapper.

Opret nye felter til dine projektmapper

Hvis du vil føje et brugerdefineret felt til en Microsoft Sentinel projektmappe, skal du først oprette feltet i Log Analytics. Du kan få flere oplysninger under Visuelle data i Log Analytics.

Når du har oprettet et felt, skal du vælge Fastgør og derefter vælge den projektmappe, hvor feltet skal vises.

Opdater data i projektmappen

Opdater projektmappen for at få vist opdaterede data. Vælg en af følgende indstillinger på værktøjslinjen:

  • Opdater for manuelt at opdatere dine projektmappedata.

  • Opdater automatisk for at angive, at projektmappen automatisk skal opdateres med et konfigureret interval.

    • Understøttede intervaller for automatisk opdatering spænder fra 5 minutter til 1 dag.

    • Automatisk opdatering er midlertidigt afbrudt, mens du redigerer en projektmappe, og intervaller genstartes, hver gang du skifter tilbage til visningstilstand fra redigeringstilstand.

    • Intervaller for automatisk opdatering genstartes også, hvis du opdaterer dine data manuelt.

    Automatisk opdatering er som standard slået fra. Hvis du har slået automatisk opdatering til, er den slået fra igen, hver gang du lukker notesbogen for at optimere perforamnce og forhindre den i at køre i baggrunden. Slå automatisk opdatering til igen efter behov, næste gang du åbner projektmappen.

Hvis du vil udskrive en projektmappe eller gemme den som en PDF-fil, skal du bruge menuen Indstillinger til højre for projektmappens titel. Disse indstillinger er kun tilgængelige i Azure Portal. Hvis du arbejder på Defender-portalen, skal du vælge Åbn i Azure for at åbne projektmappen i Azure Portal.

  1. Vælg indstillinger >Udskriv indhold.

  2. Juster udskriftsindstillingerne efter behov på udskriftsskærmen, eller vælg Gem som PDF for at gemme den lokalt.

    Det kan f.eks. være:

    Skærmbillede, der viser, hvordan du udskriver din projektmappe eller gemmer som PDF.

Slet en eller flere projektmapper

Du kan slette både gemte skabeloner og brugerdefinerede projektmapper under fanen Mine projektmapper . Skabeloner kan ikke slettes selv.

Hvis du vil slette en projektmappe, skal du vælge projektmappen under fanen Mine projektmapper og derefter vælge Slet. Denne handling fjerner projektmapperessourcen og eventuelle ændringer, du har foretaget af skabelonen. Den oprindelige skabelon forbliver tilgængelig.

Projektmappeanbefalinger

I dette afsnit gennemgås de grundlæggende anbefalinger til brug af projektmapper med Microsoft Sentinel.

Tilføj Microsoft Entra ID projektmapper

Hvis du bruger Microsoft Entra ID sammen med Microsoft Sentinel, anbefaler vi, at du installerer Microsoft Entra løsningen til Microsoft Sentinel og bruger følgende projektmapper:

  • Microsoft Entra logon analyserer logon over tid for at se, om der er uregelmæssigheder. Denne projektmappe indeholder mislykkede logons af programmer, enheder og placeringer, så du hurtigt kan se, hvis der sker noget usædvanligt. Vær opmærksom på flere mislykkede logons.
  • Microsoft Entra overvågningslogge analyserer administratoraktiviteter, f.eks. ændringer i brugere (tilføj, fjern osv.), gruppeoprettelse og ændringer.

Tilføj firewallprojektmapper

Vi anbefaler, at du installerer den relevante løsning fra indholdshubben for at tilføje en projektmappe til din firewall.

Installér f.eks. Palo Alto-firewallløsningen for Microsoft Sentinel for at tilføje Palo Alto-projektmapperne. Projektmapperne analyserer din firewalltrafik, hvilket giver dig korrelation mellem dine firewalldata og trusselshændelser og fremhæver mistænkelige hændelser på tværs af enheder.

Skærmbillede af Palo Alto-projektmappen.

Opret forskellige projektmapper til forskellige formål

Vi anbefaler, at du opretter forskellige visualiseringer for hver type person, der bruger projektmapper, baseret på personens rolle, og hvad personen leder efter. Du kan f.eks. oprette en projektmappe til din netværksadministrator, der indeholder firewalldataene.

Alternativt kan du oprette projektmapper baseret på, hvor ofte du vil se på dem, om der er ting, du vil gennemse dagligt, og andre elementer, du vil kontrollere én gang i timen. Det kan f.eks. være, at du vil se på dine Microsoft Entra logon hver time for at søge efter uregelmæssigheder.

Brug følgende forespørgsel til at oprette en visualisering, der sammenligner trafiktendenser på tværs af uger. Skift den enhedsleverandør og datakilde, du kører forespørgslen på, afhængigt af dit miljø.

Følgende eksempelforespørgsel bruger tabellen SecurityEvent fra Windows. Det kan være en god idé at skifte den til at køre på tabellen AzureActivity eller CommonSecurityLog på en hvilken som helst anden firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Eksempelforespørgsel med data fra flere kilder

Det kan være en god idé at oprette en forespørgsel, der indeholder data fra flere kilder. Du kan f.eks. oprette en forespørgsel, der kigger på Microsoft Entra overvågningslogge for nye brugere, der blev oprettet, og derefter kontrollere dine Azure logge for at se, om brugeren begyndte at foretage ændringer af rolletildelingen inden for 24 timer efter oprettelsen. Denne mistænkelige aktivitet vises i en visualisering med følgende forespørgsel:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Du kan få flere oplysninger om følgende elementer, der bruges i de foregående eksempler, i dokumentationen til Kusto:

Du kan få flere oplysninger om KQL i oversigten over Kusto Query Language (KQL).

Andre ressourcer:

Du kan finde flere oplysninger under:

  • Last updated on