Azure Sentinel 入門,microsoft azure文字轉語音

Azure Sentinel 入門

本快速入門介紹如何使用Azure Sentinel快速查看和監視整個環境中發生的情況。將數據源連接到Azure Sentinel之后，可以即時可視化和分析數據，以了解所有已連接的數據源中發生的情況。Azure Sentinel提供工作簿，讓你利用Azure中已提供的工具的強大功能，并提供內置的表和圖表，用于分析日志與查詢。可以使用內置的工作簿，或者從頭開始或基于現有的工作簿輕松創建新的工作簿。

獲取可視化效果

若要可視化和分析環境中發生的情況，請先查看概述儀表板，以大致了解組織的安全態勢。可以單擊這些磁貼的每個元素，向下鉆取到創建這些元素時所依據的原始數據。為了幫助降低干擾并盡量減少需要檢查和調查的警報數目，Azure Sentinel使用一種融合技術將警報關聯到事件。“事件”是相關警報的分組，它們共同創建了可以調查和解決的可處理事件。

·在Azure門戶中選擇“Azure Sentinel”，然后選擇要監視的工作區。

·頂部工具欄會告知在選定的時間段發生了多少個事件，并將該數字與過去24小時的事件數進行比較。工具欄會告知，在這些事件中觸發了哪些警報（較小的數字表示與過去24小時的變化），然后告知其中哪些事件未予處理、正在處理和已結案。檢查事件數是否不存在明顯的增加或減少。如果事件數減少，可能表示某個連接已停止向Azure Sentinel報告。如果事件數增加，可能表示發生了可疑的情況。檢查是否有新的警報。

概述頁的主體提供工作區安全狀態的概覽：

·一段時間的事件和警報數：列出事件數，以及基于這些事件創建的警報數。如果看到了異常的高峰，應會看到相應的警報如果出現事件高峰時發生了某種異常，但未看到警報，則可能需要引以關注。

·潛在的惡意事件：檢測到來自已知惡意的源的流量時，Azure Sentinel會在地圖上發出警報。橙色表示入站流量：有人正在嘗試從已知惡意的IP地址訪問你的組織。如果看到出站（紅色）活動，表示網絡中的數據正在從你的組織流向已知惡意的IP地址。

·最新事件：查看最近的事件、其嚴重性及其關聯的警報數。如果特定類型的警報出現突發性的高峰，可能意味著某種攻擊正在活躍地進行。例如，如果Microsoft Defender for Identity（之前稱為Azure ATP）中突然引發了多達20個傳遞哈希事件，可能意味著某人正在試圖攻擊你。

·數據源異常：Microsoft的數據分析師創建了模型用于不間斷地搜索數據源中數據的異常。如果未出現任何異常，則不會顯示任何信息。如果檢測到異常，則你應該進行深入調查，以確定發生了什么情況。例如，單擊“Azure活動”中的高峰。可以單擊“圖表”了解高峰是何時發生的，然后篩選在該時間段發生的活動，以確定哪些因素造成了高峰。

使用內置工作簿

內置工作簿提供連接的數據源中的集成數據，讓你深入調查這些服務中生成的事件。內置工作簿包括Azure AD、Azure活動事件和本地信息，這些數據可能來自服務器的Windows事件、第一方警報或任何第三方（包括防火墻流量日志、Office 365和基于Windows事件的不安全協議）。這些工作簿基于Azure Monitor工作簿，為你提供增強的可定制性和靈活性，方便你設計自己的工作簿。有關詳細信息，請參閱工作簿。

1.在“設置”下，選擇“工作簿”。在“已安裝”下，可以看到所有已安裝的工作簿。在“全部”下，可以看到可供安裝的整個內置工作簿庫。

2.搜索特定的工作簿以查看整個列表，以及每個工作簿的功能說明。

3.假設你使用Azure AD，若要正常運行Azure Sentinel，我們建議至少安裝以下工作簿：

·Azure AD：使用以下兩項中的一個或兩個：

“Azure AD登錄”可分析不同時間的登錄活動，以確定是否存在異常。此工作簿按應用程序、設備和位置列出失敗的登錄，使你能夠即時注意到有異常情況發生。請注意是否出現了多個失敗的登錄活動。

“Azure AD審核日志”可分析管理活動，例如用戶更改（添加、刪除等）、組創建和修改。

·添加防火墻工作簿。例如，添加Palo Alto工作簿。工作簿可分析防火墻流量，在防火墻數據與威脅事件之間提供關聯，并突出顯示各個實體的可疑事件。工作簿提供有關流量趨勢的信息，并允許向下鉆取和篩選結果。

可以通過編輯主要查詢按鈕來自定義工作簿。可以單擊按鈕轉到Log Analytics以編輯查詢；可以選擇省略號(...)并選擇“自定義磁貼數據”，以編輯主要時間篩選器，或者從工作簿中刪除特定的磁貼。

有關使用查詢的詳細信息，請參閱教程：Log Analytics中的視覺數據

添加新磁貼

若要添加新磁貼，可將其添加到現有工作簿你創建的工作簿，或Azure Sentinel的內置工作簿。

1.在Log Analytics中，遵照以下教程中的說明創建磁貼：教程：Log Analytics中的視覺數據。

2.創建磁貼后，在“固定”下，選擇要在其中顯示該磁貼的工作簿。

創建新工作簿

可以從頭開始創建新工作簿，或者基于某個內置工作簿創建新工作簿。

1.若要從頭開始創建新工作簿，請選擇“工作簿”，然后選擇“+新建工作簿”。

2.選擇要在其中創建該工作簿的訂閱，并為其指定一個描述性的名稱。與其他任何元素一樣，每個工作簿都是一個Azure資源，你可為其分配角色(Azure RBAC)以定義和限制哪些用戶可以訪問它。

3.若要使其顯示在要將可視化效果固定到的工作簿中，必須將其共享。依次單擊“共享”、“管理用戶”。

4.像設置其他任何Azure資源一樣，使用“檢查訪問權限”和“角色分配”。有關詳細信息，請參閱使用Azure RBAC共享Azure工作簿。

新工作簿示例

使用以下示例查詢可以比較不同周次的流量趨勢。可以輕松切換要對其運行查詢的設備供應商和數據源。此示例使用來自Windows的SecurityEvent。可將其切換為針對其他任何防火墻中的AzureActivity或CommonSecurityLog運行。

控制臺

//week over week query

SecurityEvent

where TimeGeneratedago(14d)

summarize count()by bin(TimeGenerated,1d)

extend Week=iff(TimeGeneratedago(7d),This Week,Last Week),TimeGenerated=iff(TimeGeneratedago(7d),TimeGenerated,TimeGenerated+7d)

可以創建一個查詢用于合并多個源中的數據。可以創建一個查詢，用于在Azure Active Directory審核日志中查找剛剛創建的新用戶，然后檢查Azure日志，以確定該用戶在創建后的24小時內，是否開始進行角色分配更改。該可疑活動會顯示在此儀表板上：

控制臺

AuditLogs

where OperationName==Add user

project AddedTime=TimeGenerated,user=tostring(TargetResources[0].userPrincipalName)

join(AzureActivity

where OperationName==Create role assignment

project OperationName,RoleAssignmentTime=TimeGenerated,user=Caller)on user

projectaway user1

可以基于用戶的角色創建不同的工作簿，以查看該用戶的數據并了解其正在查找哪些信息。例如，可以針對網絡管理員創建包含防火墻數據的工作簿。此外，可以根據數據的查找頻率創建工作簿，不管這些數據是每日都要查看的數據，還是每隔一小時檢查一次的其他項（例如，你可能想要每隔一小時查看自己的Azure AD登錄，以搜索異常）。

創建新的檢測

在連接到Azure Sentinel的數據源上生成檢測，以調查組織中的威脅。

創建新的檢測時，請利用Microsoft安全研究人員為你連接的數據源量身定制的內置檢測。

若要查看所有現成的檢測，請轉到Analytics，然后轉到“規則模板”。此選項卡包含所有的Azure Sentinel內置規則。

使用Azure Sentinel通過內置檢測來查找威脅

若要詳細了解如何獲取現成的檢測，請參閱教程：獲取內置分析。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。