Visualizzare i dati in Microsoft Sentinel data lake usando cartelle di lavoro

L'esecuzione di Microsoft Sentinel cartelle di lavoro sui dati di Microsoft Sentinel data lake consente ai team SOC di visualizzare e monitorare i dati di sicurezza direttamente dal lago usando KQL (Linguaggio di query Kusto), senza duplicare o trasformare i dati. Selezionando Sentinel data lake come origine dati in una cartella di lavoro, gli analisti possono eseguire le stesse query analitiche usate per le indagini e la ricerca. È possibile eseguirne il rendering come grafici interattivi e tabelle per il monitoraggio operativo e la creazione di report. L'uso di Sentinel data lake come origine dati della cartella di lavoro consente analisi coerenti tra query, supporta una conservazione dei dati più lunga e ridimensiona con dati cronologici con volumi elevati. In questo modo le cartelle di lavoro sono ideali per la ricerca avanzata delle minacce, l'analisi delle tendenze e i dashboard esecutivi.

Questo articolo illustra il processo di creazione di cartelle di lavoro per l'uso di Microsoft Sentinel data lake come origine dati. Per altre informazioni sull'uso di cartelle di lavoro con Sentinel, vedere Visualizzare e monitorare i dati usando le cartelle di lavoro in Microsoft Sentinel.

Quando si usa Sentinel data lake come origine dati per le cartelle di lavoro, tenere presente l'importanza delle prestazioni delle query perché la visualizzazione della cartella di lavoro può essere ripetutamente aggiornata ed eseguita ripetutamente. Le query devono avere un ambito con filtri temporali, riepiloghi e proiezioni appropriati per evitare l'analisi di dati cronologici eccessivi nel lake. Le query con ambito appropriato garantiscono che i dashboard rimangano reattivi mentre usano dati a lungo termine e volumi elevati per l'analisi.

Creare una cartella di lavoro con Microsoft Sentinel data lake come origine dati

  1. Nel portale di Defender passare a Microsoft Sentinel Reat managementWorkbooks.In the Defender portal, go to Microsoft Sentinel>Threat management> Workbooks.

  2. Selezionare l'icona del cubo nell'angolo in alto a destra per selezionare le aree di lavoro da archiviare.

  3. Selezionare Aggiungi cartella di lavoro.

    Screenshot di una cartella di lavoro in modalità di modifica con l'editor di query aperto.

    Verrà visualizzata una nuova cartella di lavoro con una query di base e un oggetto visivo grafico par.

  4. Selezionare Modifica.

    Screenshot di una nuova cartella di lavoro con query di base e oggetto visivo grafico.

  5. Nel grafico selezionare Aggiungi e quindi Aggiungi origine dati e visualizzazione.

    Screenshot del pulsante Aggiungi origine dati e visualizzazione in una cartella di lavoro di Microsoft Sentinel.

  6. Selezionare Sentinel data lake come origine dati.

  7. Selezionare l'area di lavoro contenente la tabella SignInLogs nel data lake.

  8. Incollare il KQL seguente nell'editor di query:

    AWSCloudTrail
| where isnotempty(ErrorCode)
| summarize FailedEvents = count()
    by bin(TimeGenerated, 1h), SourceIpAddress, UserIdentityPrincipalid
| where FailedEvents > 3
| summarize FailedEvents = sum(FailedEvents) by UserIdentityPrincipalid
| top 10 by FailedEvents

  9. In Visualizzazione selezionare Grafico a barre.

  10. Selezionare Esegui query per visualizzare i risultati.

  11. Selezionare Fine modifica per uscire dalla modalità di modifica e visualizzare l'oggetto visivo.

    Screenshot che mostra la modifica di una nuova query e una nuova visualizzazione.

    Questo oggetto visivo mostra le prime 10 identità entità AWS che generano il numero più elevato di chiamate API non riuscite nei log AWSCloudTrail. Gli eventi non riusciti vengono aggregati e filtrati per evidenziare le identità con errori ripetuti. Il grafico consente agli analisti di identificare rapidamente identità potenzialmente sospette o non configurate correttamente che producono modelli di errore anomali.

    Nota

    Il tipo di visualizzazioneImpostato per query non è supportato.

    Gli intervalli di tempo relativi, ad > ago(10d) esempio, sono supportati fino a 90 giorni. Gli intervalli di tempo assoluti sono supportati in base ai criteri di conservazione dei dati.

  12. Nella pagina della cartella di lavoro selezionare Fine modifica.

  13. Selezionare Salva per salvare la cartella di lavoro nella raccolta, assegnando alla cartella di lavoro un nome e un percorso.

  14. È possibile visualizzare la cartella di lavoro salvata nell'elenco delle cartelle di lavoro e selezionarla per visualizzare le visualizzazioni create. È anche possibile modificare la cartella di lavoro in qualsiasi momento per aggiornare le query o gli oggetti visivi.

Screenshot che mostra l'elenco delle cartelle di lavoro salvate in Microsoft Sentinel.

Contenuto correlato

  • Last updated on