Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Hvis du kører Microsoft Sentinel projektmapper oven på Microsoft Sentinel datasødata, kan SOC-teams visualisere og overvåge sikkerhedsdata direkte fra søen ved hjælp af KQL (Kusto Query Language) uden at duplikere eller transformere data. Ved at vælge Sentinel datasø som datakilden i en projektmappe kan analytikere køre de samme analyseforespørgsler, der bruges til undersøgelser og jagt. De kan gengive dem som interaktive diagrammer og tabeller til driftsmæssig overvågning og rapportering. Brug af Sentinel datasø som en projektmappedatakilde muliggør konsistente analyser på tværs af forespørgsler, understøtter længere dataopbevaring og skaleres med historiske data i stor mængde. Dette gør projektmapper ideelle til avanceret trusselsjagt, tendensanalyse og dashboards til administration.
I denne artikel gennemgås processen med at oprette projektmapper til brug af Microsoft Sentinel datasø som datakilde. Du kan få flere oplysninger om brug af projektmapper med Sentinel under Visualiser og overvåg dine data ved hjælp af projektmapper i Microsoft Sentinel.
Når du bruger Sentinel datasø som datakilde for dine projektmapper, skal du huske på vigtigheden af forespørgselsydeevne, da visualiseringer af projektmapper automatisk kanrefreres og udføres gentagne gange. Forespørgsler skal være begrænset med passende tidsfiltre, opsummering og projektioner for at undgå scanning af overdrevne historiske data i søen. Forespørgsler, der er tilpasset korrekt, sikrer, at dashboards forbliver dynamiske, mens de stadig bruger langsigtede data med stor mængde til analyse.
Opret en projektmappe med Microsoft Sentinel datasø som datakilde
På Defender-portalen skal du gå til Microsoft Sentinel>Threat-administrationsprojektmapper>.
Vælg kubeikonet i øverste højre hjørne for at vælge de arbejdsområder, du vil gemme dine projektmapper.
Vælg Tilføj projektmappe.
Der åbnes en ny projektmappe med en grundlæggende forespørgsel og et visuelt element med et pardiagram.
Vælg Rediger.
Under diagrammet skal du vælge Tilføj og derefter vælge Tilføj datakilde og visualisering.
Vælg Sentinel datasø som datakilde.
Vælg det arbejdsområde, der indeholder tabellen SignInLogs i datasøen.
Indsæt følgende KQL i forespørgselseditoren:
AWSCloudTrail | where isnotempty(ErrorCode) | summarize FailedEvents = count() by bin(TimeGenerated, 1h), SourceIpAddress, UserIdentityPrincipalid | where FailedEvents > 3 | summarize FailedEvents = sum(FailedEvents) by UserIdentityPrincipalid | top 10 by FailedEventsUnder Visualisering skal du vælge Liggende søjlediagram.
Vælg Kør forespørgsel for at visualisere resultaterne.
Vælg Udført redigering for at afslutte redigeringstilstanden og få vist din visualisering.
Denne visualisering viser de øverste 10 AWS-hovedidentiteter, der genererer det højeste antal mislykkede API-kald i AWSCloudTrail-logge. Mislykkede hændelser samles og filtreres for at fremhæve identiteter med gentagne fejl. Diagrammet hjælper analytikere med hurtigt at identificere potentielt mistænkelige eller forkert konfigurerede identiteter, der producerer unormale fejlmønstre.
Bemærk!
VisualiseringstypenAngivet af forespørgsel understøttes ikke.
Relative tidsintervaller, f.eks
> ago(10d). understøttes op til 90 dage. Absolutte tidsintervaller understøttes i henhold til din politik for dataopbevaring.Vælg Færdig med at redigere på projektmappesiden.
Vælg Gem for at gemme projektmappen i dit bibliotek og give projektmappen et navn og en placering.
Du kan få vist din gemte projektmappe på listen over projektmapper og vælge den for at få vist de visualiseringer, du har oprettet. Du kan også redigere projektmappen når som helst for at opdatere forespørgslerne eller visualiseringerne.
