Visualiser des données dans Microsoft Sentinel lac de données à l’aide de classeurs

L’exécution de classeurs Microsoft Sentinel sur Microsoft Sentinel données de lac de données permet aux équipes SOC de visualiser et de surveiller les données de sécurité directement à partir du lac à l’aide de KQL (Langage de requête Kusto), sans dupliquer ni transformer les données. En sélectionnant Sentinel lac de données comme source de données dans un classeur, les analystes peuvent exécuter les mêmes requêtes analytiques que celles utilisées pour les investigations et la chasse. Ils peuvent les afficher sous forme de graphiques et de tableaux interactifs pour la surveillance opérationnelle et la création de rapports. L’utilisation de Sentinel data lake comme source de données de classeur permet une analytique cohérente entre les requêtes, prend en charge la conservation des données plus longue et les mises à l’échelle avec des données historiques de volume élevé. Cela rend les classeurs idéaux pour la chasse avancée aux menaces, l’analyse des tendances et les tableaux de bord exécutifs.

Cet article vous guide tout au long du processus de création de classeurs pour utiliser Microsoft Sentinel lac de données comme source de données. Pour plus d’informations sur l’utilisation de classeurs avec Sentinel, consultez Visualiser et surveiller vos données à l’aide de classeurs dans Microsoft Sentinel.

Lorsque vous utilisez Sentinel lac de données comme source de données pour vos classeurs, gardez à l’esprit l’importance des performances des requêtes, car la visualisation du classeur peut être automatiquement réexécrée et exécutée à plusieurs reprises. Les requêtes doivent être délimitées avec des filtres de temps, des résumés et des projections appropriés pour éviter l’analyse excessive des données historiques dans le lac. Les requêtes délimitées de manière appropriée garantissent que les tableaux de bord restent réactifs tout en utilisant des données à long terme à des fins d’analyse.

Créer un classeur avec Microsoft Sentinel lac de données comme source de données

  1. Dans le portail Defender, accédez à Microsoft Sentinel>Classeurs de gestion>.

  2. Sélectionnez l’icône de cube dans le coin supérieur droit pour sélectionner les espaces de travail que vous souhaitez stocker vos classeurs.

  3. Sélectionnez Ajouter un classeur.

    Capture d’écran d’un classeur en mode édition avec l’éditeur de requête ouvert.

    Un nouveau classeur s’ouvre avec une requête de base et un visuel de graphique par.

  4. Sélectionnez Modifier.

    Capture d’écran d’un nouveau classeur avec un visuel de requête et de graphique de base.

  5. Sous le graphique, sélectionnez Ajouter, puis Ajouter une source de données et une visualisation.

    Capture d’écran du bouton Ajouter une source de données et une visualisation dans un classeur Microsoft Sentinel.

  6. Sélectionnez Sentinel lac de données comme source de données.

  7. Sélectionnez l’espace de travail contenant votre table SignInLogs dans le lac de données.

  8. Collez le KQL suivant dans l’éditeur de requête :

    AWSCloudTrail
| where isnotempty(ErrorCode)
| summarize FailedEvents = count()
    by bin(TimeGenerated, 1h), SourceIpAddress, UserIdentityPrincipalid
| where FailedEvents > 3
| summarize FailedEvents = sum(FailedEvents) by UserIdentityPrincipalid
| top 10 by FailedEvents

  9. Sous Visualisation , sélectionnez Graphique à barres.

  10. Sélectionnez Exécuter la requête pour visualiser les résultats.

  11. Sélectionnez Modification terminée pour quitter le mode d’édition et afficher votre visuel.

    Capture d’écran montrant la modification d’une nouvelle requête et d’une nouvelle visualisation.

    Ce visuel montre les 10 principales identités de principal AWS générant le plus grand nombre d’appels d’API ayant échoué dans les journaux AWSCloudTrail. Les événements ayant échoué sont agrégés et filtrés pour mettre en évidence les identités avec des erreurs répétées. Le graphique aide les analystes à identifier rapidement les identités potentiellement suspectes ou mal configurées produisant des modèles de défaillance anormaux.

    Remarque

    Le type de visualisationDéfini par requête n’est pas pris en charge.

    Les intervalles de temps relatifs tels que > ago(10d) sont pris en charge jusqu’à 90 jours. Les intervalles de temps absolus sont pris en charge en fonction de votre stratégie de conservation des données.

  12. Dans la page du classeur, sélectionnez Modification terminée.

  13. Sélectionnez Enregistrer pour enregistrer le classeur dans votre bibliothèque, en donnant un nom et un emplacement à votre classeur.

  14. Vous pouvez afficher votre classeur enregistré dans la liste des classeurs et le sélectionner pour afficher les visualisations que vous avez créées. Vous pouvez également modifier le classeur à tout moment pour mettre à jour les requêtes ou les visuels.

Capture d’écran montrant la liste des classeurs enregistrés dans Microsoft Sentinel.

Contenu connexe

  • Last updated on