学习路径 7 - 实验室 1 - 练习 10 - 创建工作簿

实验室方案

实验室概述。

你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 将数据源连接到 Microsoft Sentinel 后,可以使用采用 Microsoft Sentinel 的 Azure Monitor 工作簿来可视化和监视数据,这在创建自定义仪表板方面提供了多样性。

Microsoft Sentinel 可让你跨数据创建自定义工作簿,并且还附带了内置的工作簿模板,使你可以在连接数据源后快速获得对数据的见解。

注意: 我们提供 交互式实验室模拟 ,让你能以自己的节奏点击浏览实验室。 你可能会发现交互式模拟与托管实验室之间存在细微差异,但演示的核心概念和思想是相同的。

任务 1:探索工作簿模板

在此任务中,你将探索 Microsoft Sentinel 工作簿模板。

  1. 使用以下密码以管理员身份登录到 WIN1 虚拟机:Pa55w.rd

  2. 在 Microsoft Edge 浏览器中,导航到 Azure 门户 (https://portal.azure.com )。

  3. 在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。

  4. 在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。

  5. 在 Azure 门户的搜索栏中,键入“Sentinel”,然后选择“Microsoft Sentinel”。

  6. 选择 Microsoft Sentinel 工作区。

  7. 在“威胁管理”左侧边栏选项卡下选择“工作簿”。 “模板”选项卡默认处于选中状态。

  8. 搜索并选择“Azure 活动”模板工作簿。 在右侧窗格中,向下滚动并选择“查看模板”按钮。

  9. 查看工作簿的内容。 它通过收集和分析活动日志中的数据来显示 Azure 订阅操作的见解。

  10. 选择右上角的“X”关闭工作簿。

任务 2:保存并修改工作簿模板

在此任务中,你将保存并修改工作簿模板。

  1. 应返回“Microsoft Sentinel - 工作簿 - 模板”选项卡。再次向下滚动并选择“Azure 活动工作簿”的“保存”按钮 。

  2. 将“区域”的默认值保留为“美国东部”,然后选择“确定”。

  3. 选择“查看保存的工作簿”按钮。

  4. 在命令栏中选择“编辑”以对工作簿进行更改。

  5. 向下滚动到“一段时间内的调用方活动”区域,查看“活动”列的颜色,因为我们要设置这些列的格式 。 选择网格下面的“编辑”按钮。

  6. 选择“列设置”按钮,该按钮位于“运行查询”命令栏的右侧。 提示:仅当 KQL 查询中有数据时,此按钮才会显示。

  7. 在显示的“编辑列设置”边栏选项卡中,选择“列”中的“活动” 。

  8. 将“列呈现器”的值更改为“热度地图”。 对于“调色板”,向下滚动以选择“32 色分类”。

  9. 选择“保存并关闭”。 请注意“活动”列中的更改。

  10. 选择查询底部(不是顶部菜单)的“完成编辑”。

  11. 现在选择顶部菜单中的“完成编辑”,然后选择“保存”图标 。

  12. 选择右上角的“X”关闭工作簿。

任务 3:创建工作簿

在此任务中,你将新建一个带有高级可视化的工作簿。

  1. 应返回 Microsoft Sentinel 门户的“工作簿”区域。

  2. 选择“+ 添加工作簿”,从头开始创建新工作簿。

    注意: 尽管它是一个新工作簿,但使用的是启动模板。

  3. 要编辑工作簿,请选择“编辑”。

  4. 选择工作簿第一段下面的“编辑”按钮。

  5. 在“## 新建工作簿”上方的新行中键入“# 我的工作簿” 。

  6. 在“编辑文本项: 文本 - 2”部分的底部,选择“完成编辑”。 请注意,标题已变大并且名称已更改。

  7. 在唯一可见的条形图下,选择“编辑”。

  8. 查看可提供所有表的联合计数语句的 KQL 语句。

  9. 对于“编辑查询项: 查询 - 2”,向下滚动并选择底部菜单中的“完成编辑”。

  10. 选择条形图的“编辑”按钮旁边的省略号“…”,再选择“+ 添加”,然后选择“添加查询” 。

  11. 在“查询”框中键入“SecurityEvent”。

  12. 将“时间范围”更改为“过去 1 小时”。

  13. 将可视化效果更改为“时间图表”。

  14. 从查询的命令栏中选择“样式”选项卡。

  15. 选择“将此项设置为自定义宽度”框。

  16. 将宽度百分数设置为 25,将最大宽度设置为 25。

  17. 现在从查询的命令栏中选择“高级设置”选项卡。

  18. 选择“未进行编辑时显示刷新图标”框。

  19. 对于新的“编辑查询项: 查询 - 2”,向下滚动并选择底部菜单中的“完成编辑”。

  20. 向下滚动并选择工作簿底部的“+ 添加”,然后选择“添加查询” 。

  21. 在“查询”框中键入“SecurityEvent”。

  22. 将“时间范围”更改为“过去 1 小时”。

  23. 将可视化效果更改为“网格”。

  24. 从查询的命令栏中选择“样式”。

  25. 选择“将此项设置为自定义宽度”框。

  26. 将宽度百分数设置为 75,将最大宽度设置为 75。

  27. 对于新的“编辑查询项: 查询 - 3”,向下滚动并选择底部菜单中的“完成编辑”。

  28. 在工作簿的顶部命令栏中选择“完成编辑”。

  29. 选择“保存”图标,将“标题”更改为“我的工作簿”。

  30. 选择 RG-Defender 资源组(如果需要)并将其他值保留为默认值。

  31. 选择“应用”以提交所做的更改。

  32. 选择右上角的“X”关闭工作簿,也可在 Microsoft Sentinel 门户中选择“工作簿”来关闭 。

  33. 返回“工作簿”页面,选择我的工作簿”选项卡。

  34. 选择刚创建的工作簿“我的工作簿”。

  35. 在右侧窗格中,选择“查看保存的工作簿”以查看工作簿。

继续完成练习 11