Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel

Dopo aver connesso le origini dati a Microsoft Sentinel, visualizzare e monitorare i dati usando le cartelle di lavoro in Microsoft Sentinel. Le cartelle di lavoro di Microsoft Sentinel si basano sulle cartelle di lavoro di Monitoraggio di Azure e aggiungono tabelle e grafici con analisi per i log e le query agli strumenti già disponibili in Azure.

Microsoft Sentinel consente di creare cartelle di lavoro personalizzate tra i dati o di usare modelli di cartella di lavoro esistenti disponibili con soluzioni in pacchetto o come contenuto autonomo dall'hub dei contenuti. Ogni cartella di lavoro è una risorsa di Azure come qualsiasi altra ed è possibile assegnarla con il controllo degli accessi in base al ruolo di Azure (RBAC) per definire e limitare chi può accedere.

Questo articolo descrive come visualizzare i dati in Microsoft Sentinel usando le cartelle di lavoro. La modifica delle cartelle di lavoro direttamente nel portale di Defender è in anteprima.

Prerequisiti

• Per il gruppo di risorse dell'area di lavoro di Microsoft Sentinel è necessario avere almeno le autorizzazioni di lettore della cartella di lavoro o di collaboratore della cartella di lavoro.

  Le cartelle di lavoro visualizzate e in Microsoft Sentinel vengono salvate nel gruppo di risorse dell'area di lavoro di Microsoft Sentinel e sono contrassegnate dall'area di lavoro in cui sono state create.

• Per usare un modello di cartella di lavoro, installare la soluzione che contiene la cartella di lavoro o installare la cartella di lavoro come elemento autonomo dall'hub contenuto. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

• Se usi il portale di Defender con un'origine dati di Azure Data Explorer, assicurati di configurare e autenticarti in Azure Data Explorer direttamente dal portale di Defender.

Creare una cartella di lavoro da un modello

Usare un modello installato dall'hub dei contenuti per creare una cartella di lavoro.

1. In Microsoft Sentinel selezionare Cartelle di lavoro di gestione > delle minacce.

2. Nella pagina Cartelle di lavoro selezionare la scheda Modelli per visualizzare l'elenco dei modelli di cartella di lavoro installati. Selezionare un modello per visualizzarne i dettagli.

   Alcune cartelle di lavoro richiedono connessioni dati specifiche per funzionare. Prima di salvare una cartella di lavoro, verificare la presenza di un campo Tipi di dati obbligatori per assicurarsi di disporre di tale tipo di dati inseriti.

   Ad esempio:

   • Portale di Defender
   • Portale di Azure

   

3. Nel riquadro dei dettagli selezionare Salva e quindi selezionare il percorso in cui si vuole salvare la cartella di lavoro. Questa azione crea una risorsa di Azure nella posizione selezionata in base al modello pertinente. Solo il file JSON della cartella di lavoro viene salvato in questo percorso, ma nessun dato.

4. Nel riquadro dei dettagli selezionare Visualizza cartella di lavoro salvata per aprirla per la modifica.

5. Con la cartella di lavoro aperta, selezionare Modifica per personalizzare la cartella di lavoro in base alle esigenze.

   • Portale di Defender
   • Portale di Azure

   

   Quando si lavora nel portale di Defender, alcune visualizzazioni possono essere visualizzate solo nel portale di Azure. In questi casi selezionare Apri in Azure per aprire la cartella di lavoro nel portale di Azure.

   Ad esempio, selezionare il filtro TimeRange per visualizzare i dati per un intervallo di tempo diverso rispetto alla selezione corrente. Per modificare un'area della cartella di lavoro specifica, selezionare Modifica o selezionare i puntini di sospensione (...) per aggiungere elementi o spostare, clonare o rimuovere l'area.

   Per clonare la cartella di lavoro, selezionare Salva con nome. Salvare il clone con un altro nome, nella stessa sottoscrizione e nello stesso gruppo di risorse. Le cartelle di lavoro clonate vengono visualizzate anche nella scheda Le mie cartelle di lavoro della pagina Microsoft Sentinel Workbooks di gestione delle minacce>>.

6. Al termine, selezionare Fine modifica per salvare le modifiche.

Per altre informazioni, vedere:

• Creare report interattivi con cartelle di lavoro di Monitoraggio di Azure
• Esercitazione: Dati visivi in Log Analytics

Creare una nuova cartella di lavoro

Creare una cartella di lavoro da zero in Microsoft Sentinel.

1. In Microsoft Sentinel selezionare Cartelle di lavoro di gestione > delle minacce e quindi selezionare Aggiungi cartella di lavoro.

2. Per modificare la cartella di lavoro, selezionare Modifica e quindi aggiungere testo, query e parametri in base alle esigenze.

   Per altre informazioni su come personalizzare la cartella di lavoro, vedere Come creare report interattivi con cartelle di lavoro di Monitoraggio di Azure.

   

3. Quando si compila una query, impostare Origine dati su Log e Tipo di risorsa su Log Analytics e quindi scegliere una o più aree di lavoro.

   È consigliabile che la query usi un parser ASIM (Advanced Security Information Model) e non una tabella predefinita. La query supporterà quindi qualsiasi origine dati pertinente corrente o futura anziché una singola origine dati.

4. Al termine delle modifiche, selezionare Fine modifica e quindi Salva. Nel riquadro laterale immettere un nome significativo per la cartella di lavoro e selezionare la sottoscrizione e il gruppo di risorse per l'area di lavoro.

5. Quando si lavora nel portale di Azure, passare da una cartella di lavoro all'altra selezionando Apri Nella barra degli strumenti di qualsiasi cartella di lavoro. La schermata passa a un elenco di altre cartelle di lavoro a cui è possibile passare.

   Selezionare la cartella di lavoro da aprire:

   

Creare nuovi riquadri per le cartelle di lavoro

Per aggiungere un riquadro personalizzato a una cartella di lavoro di Microsoft Sentinel, creare prima di tutto il riquadro in Log Analytics. Per altre informazioni, vedere Dati visivi in Log Analytics.

Dopo aver creato un riquadro, selezionare Aggiungi e quindi selezionare la cartella di lavoro in cui si vuole visualizzare il riquadro.

Aggiornare i dati della cartella di lavoro

Aggiornare la cartella di lavoro per visualizzare i dati aggiornati. Nella barra degli strumenti selezionare una delle opzioni seguenti:

• Aggiornare, per aggiornare manualmente i dati della cartella di lavoro.

• Aggiornamento automatico per impostare la cartella di lavoro per l'aggiornamento automatico a intervalli configurati.

  • Gli intervalli di aggiornamento automatico supportati sono compresi tra 5 minuti e 1 giorno.

  • L'aggiornamento automatico viene sospeso durante la modifica di una cartella di lavoro e gli intervalli vengono riavviati ogni volta che si torna alla modalità di visualizzazione dalla modalità di modifica.

  • Anche gli intervalli di aggiornamento automatico vengono riavviati se si aggiornano manualmente i dati.

  Per impostazione predefinita, l'aggiornamento automatico è disattivato. Se hai attivato l'aggiornamento automatico, verrà disattivato nuovamente ogni volta che chiudi il notebook per ottimizzare le prestazioni e impedire l'esecuzione in background. Riattivare l'aggiornamento automatico in base alle esigenze alla successiva apertura della cartella di lavoro.

Stampare una cartella di lavoro o salvarla come PDF (solo portale di Azure)

Per stampare una cartella di lavoro o salvarla come PDF, utilizzare il menu delle opzioni a destra del titolo della cartella di lavoro. Queste opzioni sono disponibili solo nel portale di Azure. Se si lavora nel portale di Defender, selezionare Apri in Azure per aprire la cartella di lavoro nel portale di Azure.

1. Selezionare le opzioni >Stampa contenuto.

2. Nella schermata di stampa modificare le impostazioni di stampa in base alle esigenze o selezionare Salva come PDF per salvarlo in locale.

   Ad esempio:

   

Eliminare una o più cartelle di lavoro

È possibile eliminare sia i modelli salvati che le cartelle di lavoro personalizzate dalla scheda Cartelle di lavoro personali . I modelli stessi non possono essere eliminati.

Per eliminare una cartella di lavoro, selezionare la cartella di lavoro nella scheda Cartelle di lavoro personali e quindi selezionare Elimina. Questa azione rimuove la risorsa della cartella di lavoro e le eventuali modifiche apportate al modello. Il modello originale rimane disponibile.

Raccomandazioni per la cartella di lavoro

Questa sezione esamina le raccomandazioni di base per l'uso delle cartelle di lavoro con Microsoft Sentinel.

Aggiungere cartelle di lavoro di Microsoft Entra ID

Se si usa Microsoft Entra ID con Microsoft Sentinel, è consigliabile installare la soluzione Microsoft Entra per Microsoft Sentinel e usare le cartelle di lavoro seguenti:

• Accessi a Microsoft Entra analizza gli accessi nel tempo per verificare se sono presenti anomalie. Questa cartella di lavoro segnala i tentativi di accesso non riusciti da parte di applicazioni, dispositivi e posizioni in modo, permettendo di notare immediatamente eventuali attività insolite. Prestare attenzione alla presenza di più accessi non riusciti.
• I log di controllo di Microsoft Entra analizzano le attività di amministratore, ad esempio le modifiche apportate agli utenti (aggiunta, rimozione e così via), la creazione di gruppi e le modifiche.

Aggiungere cartelle di lavoro del firewall

È consigliabile installare la soluzione appropriata dall'hub dei contenuti per aggiungere una cartella di lavoro per il firewall.

Ad esempio, installare la soluzione firewall Palo Alto per Microsoft Sentinel per aggiungere le cartelle di lavoro di Palo Alto. Le cartelle di lavoro analizzano il traffico del firewall, offrendo correlazioni tra i dati del firewall e gli eventi di minaccia ed evidenziando gli eventi sospetti tra le entità.

Creare cartelle di lavoro diverse per usi diversi

È consigliabile creare visualizzazioni diverse per ogni tipo di persona che usa cartelle di lavoro, in base al ruolo dell'utente e a ciò che cercano. Ad esempio, creare per l'amministratore di rete una cartella di lavoro che includa i dati del firewall.

In alternativa, creare cartelle di lavoro in base alla frequenza con cui si desidera esaminarle, se sono presenti elementi da esaminare ogni giorno e altri elementi da controllare una volta all'ora. Ad esempio, è possibile esaminare gli accessi di Microsoft Entra ogni ora per cercare anomalie.

Query di esempio per confrontare le tendenze del traffico tra settimane

Usare la query seguente per creare una visualizzazione che confronta le tendenze del traffico tra settimane. Cambiare il fornitore del dispositivo e l'origine dati in cui si esegue la query, a seconda dell'ambiente in uso.

La query di esempio seguente usa la tabella SecurityEvent di Windows. Potrebbe essere utile configurarlo per funzionare sulla tabella AzureActivity o CommonSecurityLog in un altro contesto firewall.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Query di esempio con dati provenienti da più origini

Si potrebbe voler creare una query che incorpora i dati da più origini. Ad esempio, è possibile creare una query che esamina i log di audit di Microsoft Entra cercando i nuovi utenti che sono stati creati, quindi controlla i log di Azure per verificare se l'utente ha iniziato ad apportare modifiche alle assegnazioni di ruolo entro 24 ore dalla creazione. L'attività sospetta viene visualizzata in una visualizzazione con la query seguente:

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Per altre informazioni sugli elementi seguenti usati negli esempi precedenti, vedere la documentazione di Kusto:

• Operatore where
• Operatore extend
• Operatore di progetto
• operatore project-away
• operatore join
• Operatore summarize
• Funzione ago()
• Funzione bin()
• Funzione iff()
• funzione tostring()
• Funzione di aggregazione count()

Per altre informazioni su KQL, vedere Panoramica del linguaggio di query Kusto (KQL).

Altre risorse:

• Informazioni di riferimento rapido su KQL
• Risorse di apprendimento del linguaggio di query Kusto

Problemi noti per la modifica delle cartelle di lavoro nel portale di Defender (anteprima)

La modifica delle cartelle di lavoro direttamente nel portale di Defender è attualmente in anteprima e attualmente include i problemi noti seguenti:

• L'editor avanzato potrebbe essere visualizzato in modalità chiara, anche se il portale è impostato sulla modalità scura.
• I dati degli endpoint personalizzati non sono supportati per la modifica delle cartelle di lavoro nel portale di Defender.
• Le cartelle di lavoro all'interno di altre cartelle di lavoro non sono supportate per la modifica nel portale di Defender.
• La condivisione di sola lettura non è supportata per le cartelle di lavoro nel portale di Defender.
• I diagrammi mermaid non sono supportati per la modifica delle cartelle di lavoro nel portale di Defender.

Articoli correlati

Per altre informazioni, vedere:

• Cartelle di lavoro di Microsoft Sentinel comunemente usate

• Cartelle di lavoro di Azure Monitor