快速入門：Azure Sentinel 入門

本快速入門介紹如何使用Azure Sentinel快速查看和監(jiān)視整個環(huán)境中發(fā)生的情況。將數(shù)據(jù)源連接到Azure Sentinel之后，可以即時可視化和分析數(shù)據(jù)，以了解所有已連接的數(shù)據(jù)源中發(fā)生的情況。Azure Sentinel提供工作簿，讓你利用Azure中已提供的工具的強大功能，并提供內(nèi)置的表和圖表，用于分析日志與查詢?？梢允褂脙?nèi)置的工作簿，或者從頭開始或基于現(xiàn)有的工作簿輕松創(chuàng)建新的工作簿。

獲取可視化效果

若要可視化和分析環(huán)境中發(fā)生的情況，請先查看概述儀表板，以大致了解組織的安全態(tài)勢。可以單擊這些磁貼的每個元素，向下鉆取到創(chuàng)建這些元素時所依據(jù)的原始數(shù)據(jù)。為了幫助降低干擾并盡量減少需要檢查和調(diào)查的警報數(shù)目，Azure Sentinel使用一種融合技術(shù)將警報關(guān)聯(lián)到事件?！笆录笔窍嚓P(guān)警報的分組，它們共同創(chuàng)建了可以調(diào)查和解決的可處理事件。

·在Azure門戶中選擇“Azure Sentinel”，然后選擇要監(jiān)視的工作區(qū)。

·頂部工具欄會告知在選定的時間段發(fā)生了多少個事件，并將該數(shù)字與過去24小時的事件數(shù)進行比較。工具欄會告知，在這些事件中觸發(fā)了哪些警報（較小的數(shù)字表示與過去24小時的變化），然后告知其中哪些事件未予處理、正在處理和已結(jié)案。檢查事件數(shù)是否不存在明顯的增加或減少。如果事件數(shù)減少，可能表示某個連接已停止向Azure Sentinel報告。如果事件數(shù)增加，可能表示發(fā)生了可疑的情況。檢查是否有新的警報。

概述頁的主體提供工作區(qū)安全狀態(tài)的概覽：

·一段時間的事件和警報數(shù)：列出事件數(shù)，以及基于這些事件創(chuàng)建的警報數(shù)。如果看到了異常的高峰，應(yīng)會看到相應(yīng)的警報-如果出現(xiàn)事件高峰時發(fā)生了某種異常，但未看到警報，則可能需要引以關(guān)注。

·潛在的惡意事件：檢測到來自已知惡意的源的流量時，Azure Sentinel會在地圖上發(fā)出警報。橙色表示入站流量：有人正在嘗試從已知惡意的IP地址訪問你的組織。如果看到出站（紅色）活動，表示網(wǎng)絡(luò)中的數(shù)據(jù)正在從你的組織流向已知惡意的IP地址。

·最新事件：查看最近的事件、其嚴(yán)重性及其關(guān)聯(lián)的警報數(shù)。如果特定類型的警報出現(xiàn)突發(fā)性的高峰，可能意味著某種攻擊正在活躍地進行。例如，如果Microsoft Defender for Identity（之前稱為Azure ATP）中突然引發(fā)了多達(dá)20個傳遞哈希事件，可能意味著某人正在試圖攻擊你。

·數(shù)據(jù)源異常：Microsoft的數(shù)據(jù)分析師創(chuàng)建了模型用于不間斷地搜索數(shù)據(jù)源中數(shù)據(jù)的異常。如果未出現(xiàn)任何異常，則不會顯示任何信息。如果檢測到異常，則你應(yīng)該進行深入調(diào)查，以確定發(fā)生了什么情況。例如，單擊“Azure活動”中的高峰?？梢詥螕簟皥D表”了解高峰是何時發(fā)生的，然后篩選在該時間段發(fā)生的活動，以確定哪些因素造成了高峰。

使用內(nèi)置工作簿

內(nèi)置工作簿提供連接的數(shù)據(jù)源中的集成數(shù)據(jù)，讓你深入調(diào)查這些服務(wù)中生成的事件。內(nèi)置工作簿包括Azure AD、Azure活動事件和本地信息，這些數(shù)據(jù)可能來自服務(wù)器的Windows事件、第一方警報或任何第三方（包括防火墻流量日志、Office 365和基于Windows事件的不安全協(xié)議）。這些工作簿基于Azure Monitor工作簿，為你提供增強的可定制性和靈活性，方便你設(shè)計自己的工作簿。有關(guān)詳細(xì)信息，請參閱工作簿。

1.在“設(shè)置”下，選擇“工作簿”。在“已安裝”下，可以看到所有已安裝的工作簿。在“全部”下，可以看到可供安裝的整個內(nèi)置工作簿庫。

2.搜索特定的工作簿以查看整個列表，以及每個工作簿的功能說明。

3.假設(shè)你使用Azure AD，若要正常運行Azure Sentinel，我們建議至少安裝以下工作簿：

·Azure AD：使用以下兩項中的一個或兩個：

“Azure AD登錄”可分析不同時間的登錄活動，以確定是否存在異常。此工作簿按應(yīng)用程序、設(shè)備和位置列出失敗的登錄，使你能夠即時注意到有異常情況發(fā)生。請注意是否出現(xiàn)了多個失敗的登錄活動。

“Azure AD審核日志”可分析管理活動，例如用戶更改（添加、刪除等）、組創(chuàng)建和修改。

·添加防火墻工作簿。例如，添加Palo Alto工作簿。工作簿可分析防火墻流量，在防火墻數(shù)據(jù)與威脅事件之間提供關(guān)聯(lián)，并突出顯示各個實體的可疑事件。工作簿提供有關(guān)流量趨勢的信息，并允許向下鉆取和篩選結(jié)果。

可以通過編輯主要查詢按鈕來自定義工作簿?？梢詥螕舭粹o轉(zhuǎn)到Log Analytics以編輯查詢；可以選擇省略號(...)并選擇“自定義磁貼數(shù)據(jù)”，以編輯主要時間篩選器，或者從工作簿中刪除特定的磁貼。

有關(guān)使用查詢的詳細(xì)信息，請參閱教程：Log Analytics中的視覺數(shù)據(jù)

添加新磁貼

若要添加新磁貼，可將其添加到現(xiàn)有工作簿-你創(chuàng)建的工作簿，或Azure Sentinel的內(nèi)置工作簿。

1.在Log Analytics中，遵照以下教程中的說明創(chuàng)建磁貼：教程：Log Analytics中的視覺數(shù)據(jù)。

2.創(chuàng)建磁貼后，在“固定”下，選擇要在其中顯示該磁貼的工作簿。

創(chuàng)建新工作簿

可以從頭開始創(chuàng)建新工作簿，或者基于某個內(nèi)置工作簿創(chuàng)建新工作簿。

1.若要從頭開始創(chuàng)建新工作簿，請選擇“工作簿”，然后選擇“+新建工作簿”。

2.選擇要在其中創(chuàng)建該工作簿的訂閱，并為其指定一個描述性的名稱。與其他任何元素一樣，每個工作簿都是一個Azure資源，你可為其分配角色(Azure RBAC)以定義和限制哪些用戶可以訪問它。

3.若要使其顯示在要將可視化效果固定到的工作簿中，必須將其共享。依次單擊“共享”、“管理用戶”。

4.像設(shè)置其他任何Azure資源一樣，使用“檢查訪問權(quán)限”和“角色分配”。有關(guān)詳細(xì)信息，請參閱使用Azure RBAC共享Azure工作簿。

新工作簿示例

使用以下示例查詢可以比較不同周次的流量趨勢。可以輕松切換要對其運行查詢的設(shè)備供應(yīng)商和數(shù)據(jù)源。此示例使用來自Windows的SecurityEvent?？蓪⑵淝袚Q為針對其他任何防火墻中的AzureActivity或CommonSecurityLog運行。

控制臺

//week over week query

SecurityEvent

|where TimeGenerated>ago(14d)

|summarize count()by bin(TimeGenerated,1d)

|extend Week=iff(TimeGenerated>ago(7d),"This Week","Last Week"),TimeGenerated=iff(TimeGenerated>ago(7d),TimeGenerated,TimeGenerated+7d)

可以創(chuàng)建一個查詢用于合并多個源中的數(shù)據(jù)?？梢詣?chuàng)建一個查詢，用于在Azure Active Directory審核日志中查找剛剛創(chuàng)建的新用戶，然后檢查Azure日志，以確定該用戶在創(chuàng)建后的24小時內(nèi)，是否開始進行角色分配更改。該可疑活動會顯示在此儀表板上：

控制臺

AuditLogs

|where OperationName=="Add user"

|project AddedTime=TimeGenerated,user=tostring(TargetResources[0].userPrincipalName)

|join(AzureActivity

|where OperationName=="Create role assignment"

|project OperationName,RoleAssignmentTime=TimeGenerated,user=Caller)on user

|project-away user1

可以基于用戶的角色創(chuàng)建不同的工作簿，以查看該用戶的數(shù)據(jù)并了解其正在查找哪些信息。例如，可以針對網(wǎng)絡(luò)管理員創(chuàng)建包含防火墻數(shù)據(jù)的工作簿。此外，可以根據(jù)數(shù)據(jù)的查找頻率創(chuàng)建工作簿，不管這些數(shù)據(jù)是每日都要查看的數(shù)據(jù)，還是每隔一小時檢查一次的其他項（例如，你可能想要每隔一小時查看自己的Azure AD登錄，以搜索異常）。

創(chuàng)建新的檢測

在連接到Azure Sentinel的數(shù)據(jù)源上生成檢測，以調(diào)查組織中的威脅。

創(chuàng)建新的檢測時，請利用Microsoft安全研究人員為你連接的數(shù)據(jù)源量身定制的內(nèi)置檢測。

若要查看所有現(xiàn)成的檢測，請轉(zhuǎn)到Analytics，然后轉(zhuǎn)到“規(guī)則模板”。此選項卡包含所有的Azure Sentinel內(nèi)置規(guī)則。

使用Azure Sentinel通過內(nèi)置檢測來查找威脅

若要詳細(xì)了解如何獲取現(xiàn)成的檢測，請參閱教程：獲取內(nèi)置分析。