Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A execução de Microsoft Sentinel livros sobre Microsoft Sentinel dados do data lake permite que as equipas do SOC visualizem e monitorizem dados de segurança diretamente a partir do lago com KQL (Linguagem de Pesquisa Kusto), sem duplicar ou transformar dados. Ao selecionar Sentinel data lake como a origem de dados num livro, os analistas podem executar as mesmas consultas analíticas utilizadas para investigações e investigação. Podem compor os mesmos como tabelas e gráficos interativos para monitorização operacional e relatórios. Utilizar Sentinel data lake como uma origem de dados de livro permite análises consistentes entre consultas, suporta retenção de dados mais longa e dimensiona com dados históricos de elevado volume. Isto torna os livros ideais para investigação avançada de ameaças, análise de tendências e dashboards executivos.
Este artigo explica-lhe o processo de criação de livros para utilizar Microsoft Sentinel data lake como origem de dados. Para obter mais informações sobre como utilizar livros com Sentinel, consulte Visualizar e monitorizar os seus dados com livros no Microsoft Sentinel.
Ao utilizar Sentinel data lake como a origem de dados dos seus livros, tenha em atenção que a importância do desempenho das consultas, uma vez que a visualização do livro pode ser executada automaticamente e executada repetidamente. As consultas devem ser confinadas com filtros de tempo, resumo e projeções adequados para evitar a análise de dados históricos excessivos no lago. As consultas no âmbito adequado garantem que os dashboards permanecem reativos enquanto ainda utilizam dados de longo prazo e de elevado volume para análise.
Criar um livro com Microsoft Sentinel data lake como a origem de dados
No portal do Defender, aceda a Microsoft Sentinel>Atualize livros de gestão>.
Selecione o ícone de cubo no canto superior direito para selecionar as áreas de trabalho que pretende armazenar nos seus livros.
Selecione Adicionar livro.
É aberto um novo livro com uma consulta básica e um elemento visual de gráfico de paridade.
Selecione Editar.
No gráfico, selecione Adicionar e, em seguida, selecione Adicionar origem de dados e visualização.
Selecione Sentinel data lake como a origem de dados.
Selecione a área de trabalho que contém a tabela SignInLogs no data lake.
Cole o seguinte KQL no editor de consultas:
AWSCloudTrail | where isnotempty(ErrorCode) | summarize FailedEvents = count() by bin(TimeGenerated, 1h), SourceIpAddress, UserIdentityPrincipalid | where FailedEvents > 3 | summarize FailedEvents = sum(FailedEvents) by UserIdentityPrincipalid | top 10 by FailedEventsEm Visualização , selecione Gráfico de barras.
Selecione Executar consulta para visualizar os resultados.
Selecione Edição concluída para sair do modo de edição e ver o elemento visual.
Este elemento visual mostra as 10 principais identidades do AWS que geram o maior número de chamadas à API falhadas nos registos do AWSCloudTrail. Os eventos falhados são agregados e filtrados para realçar identidades com erros repetidos. O gráfico ajuda os analistas a identificar rapidamente identidades potencialmente suspeitas ou configuradas incorretamente que produzem padrões de falha anormais.
Nota
O tipo de VisualizaçãoDefinido por consulta não é suportado.
Intervalos de tempo relativos, como
> ago(10d), por exemplo, são suportados até 90 dias. Os intervalos de tempo absolutos são suportados de acordo com a política de retenção de dados.Na página do livro, selecione Edição concluída.
Selecione Guardar para guardar o livro na sua biblioteca, dando um nome e uma localização ao seu livro.
Pode ver o livro guardado na lista de livros e selecioná-lo para ver as visualizações que criou. Também pode editar o livro em qualquer altura para atualizar as consultas ou elementos visuais.
