Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Durch das Ausführen Microsoft Sentinel Arbeitsmappen auf Microsoft Sentinel Data Lake-Daten können SOC-Teams Sicherheitsdaten direkt aus dem Lake mithilfe von KQL (Kusto-Abfragesprache) visualisieren und überwachen, ohne Daten zu duplizieren oder zu transformieren. Indem Sie Sentinel Data Lake als Datenquelle in einer Arbeitsmappe auswählen, können Analysten dieselben analytischen Abfragen ausführen, die für Untersuchungen und Die Suche verwendet werden. Sie können sie als interaktive Diagramme und Tabellen für die operative Überwachung und Berichterstellung rendern. Die Verwendung von Sentinel Data Lake als Arbeitsmappendatenquelle ermöglicht konsistente Analysen über Abfragen hinweg, unterstützt eine längere Datenaufbewahrung und skaliert mit umfangreichen Verlaufsdaten. Dadurch eignen sich Arbeitsmappen ideal für erweiterte Bedrohungssuche, Trendanalyse und Dashboards für Führungskräfte.
In diesem Artikel erfahren Sie, wie Sie Arbeitsmappen für die Verwendung von Microsoft Sentinel Data Lake als Datenquelle erstellen. Weitere Informationen zur Verwendung von Arbeitsmappen mit Sentinel finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Wenn Sie Sentinel Data Lake als Datenquelle für Ihre Arbeitsmappen verwenden, beachten Sie die Wichtigkeit der Abfrageleistung, da die Arbeitsmappenvisualisierung automatisch referenziert und wiederholt ausgeführt werden kann. Abfragen sollten mit geeigneten Zeitfiltern, Zusammenfassungen und Projektionen abgegrenzt werden, um das Scannen übermäßiger Verlaufsdaten im Lake zu vermeiden. Entsprechend angepasste Abfragen stellen sicher, dass Dashboards reaktionsfähig bleiben und gleichzeitig langfristige Daten mit hohem Volumen für die Analyse verwendet werden.
Erstellen einer Arbeitsmappe mit Microsoft Sentinel Data Lake als Datenquelle
Navigieren Sie im Defender-Portal zu Microsoft Sentinel>Arbeitsmappen> für die Verwaltungvon Daten.
Wählen Sie das Cubesymbol in der oberen rechten Ecke aus, um die Arbeitsbereiche auszuwählen, die Sie Ihre Arbeitsmappen speichern möchten.
Wählen Sie Arbeitsmappe hinzufügen aus.
Eine neue Arbeitsmappe wird mit einer einfachen Abfrage und einem Diagrammvisual geöffnet.
Wählen Sie bearbeiten aus.
Wählen Sie unter dem Diagramm Hinzufügen und dann Datenquelle und Visualisierung hinzufügen aus.
Wählen Sie Sentinel Data Lake als Datenquelle aus.
Wählen Sie den Arbeitsbereich aus, der Ihre SignInLogs-Tabelle im Data Lake enthält.
Fügen Sie die folgende KQL in den Abfrage-Editor ein:
AWSCloudTrail | where isnotempty(ErrorCode) | summarize FailedEvents = count() by bin(TimeGenerated, 1h), SourceIpAddress, UserIdentityPrincipalid | where FailedEvents > 3 | summarize FailedEvents = sum(FailedEvents) by UserIdentityPrincipalid | top 10 by FailedEventsWählen Sie unter Visualisierung die Option Balkendiagramm aus.
Wählen Sie Abfrage ausführen aus, um die Ergebnisse zu visualisieren.
Wählen Sie Bearbeitung abgeschlossen aus, um den Bearbeitungsmodus zu beenden und Das Visual anzuzeigen.
Dieses Visual zeigt die 10 wichtigsten AWS-Prinzipalidentitäten, die die höchste Anzahl fehlerhafter API-Aufrufe in AWSCloudTrail-Protokollen generieren. Fehlerhafte Ereignisse werden aggregiert und gefiltert, um Identitäten mit wiederholten Fehlern hervorzuheben. Das Diagramm hilft Analysten dabei, potenziell verdächtige oder falsch konfigurierte Identitäten schnell zu identifizieren, die zu ungewöhnlichen Fehlermustern führen.
Hinweis
Der Visualisierungstyp"Durch Abfrage festlegen " wird nicht unterstützt.
Relative Zeitbereiche wie
> ago(10d)werden bis zu 90 Tage unterstützt. Absolute Zeitbereiche werden gemäß Ihrer Datenaufbewahrungsrichtlinie unterstützt.Wählen Sie auf der Arbeitsmappenseite Die Bearbeitung abgeschlossen aus.
Wählen Sie Speichern aus, um die Arbeitsmappe in Ihrer Bibliothek zu speichern und der Arbeitsmappe einen Namen und einen Speicherort zu geben.
Sie können Ihre gespeicherte Arbeitsmappe in der Liste der Arbeitsmappen anzeigen und auswählen, um die von Ihnen erstellten Visualisierungen anzuzeigen. Sie können die Arbeitsmappe auch jederzeit bearbeiten, um die Abfragen oder Visuals zu aktualisieren.
