Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Dopo aver collegato le origini dati a Microsoft Sentinel, visualizzare e monitorare i dati usando le cartelle di lavoro in Microsoft Sentinel. Le cartelle di lavoro di Microsoft Sentinel si basano sulle cartelle di lavoro di Monitoraggio di Azure e integrano tabelle e grafici con analisi per log e query negli strumenti già disponibili in Azure.
Microsoft Sentinel consente di creare cartelle di lavoro personalizzate nei dati o di usare modelli di cartella di lavoro esistenti disponibili con soluzioni in pacchetto o come contenuto autonomo dall'hub del contenuto. Ogni cartella di lavoro è una risorsa Azure come qualsiasi altra ed è possibile assegnarla con Azure controllo degli accessi in base al ruolo per definire e limitare l'accesso.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Prerequisiti
Prima di creare o usare cartelle di lavoro, assicurarsi di soddisfare i prerequisiti seguenti:
È necessario avere almeno le autorizzazioni Lettore cartella di lavoro o Collaboratore cartella di lavoro per il gruppo di risorse dell'area di lavoro di Microsoft Sentinel.
Le cartelle di lavoro visualizzate in Microsoft Sentinel vengono salvate all'interno del gruppo di risorse dell'area di lavoro Microsoft Sentinel e contrassegnate dall'area di lavoro in cui sono state create.
Per usare un modello di cartella di lavoro, installare la soluzione che contiene la cartella di lavoro o installare la cartella di lavoro come elemento autonomo dall'hub contenuto. Per ulteriori informazioni, vedere Individuare e gestire il contenuto predefinito di Microsoft Sentinel.
Se si lavora nel portale di Defender con un'origine dati di Esplora dati di Azure, assicurarsi di configurare Esplora dati di Azure ed eseguire l'autenticazione in Esplora dati di Azure dal portale di Defender.
Creare una cartella di lavoro da un modello
Usare un modello installato dall'hub del contenuto per creare una cartella di lavoro.
In Microsoft Sentinel selezionare Cartelle di lavoro di gestione > delle minacce.
Nella pagina Cartelle di lavoro selezionare la scheda Modelli per visualizzare l'elenco dei modelli di cartella di lavoro installati. Selezionare un modello per visualizzarne i dettagli.
Alcune cartelle di lavoro richiedono connessioni dati specifiche per il funzionamento. Prima di salvare una cartella di lavoro, verificare la presenza di un campo Tipi di dati obbligatori per assicurarsi di inserire tale tipo di dati.
Ad esempio:
Nel riquadro dei dettagli selezionare Salva e quindi selezionare il percorso in cui salvare la cartella di lavoro. Questa azione crea una risorsa Azure nella posizione selezionata in base al modello pertinente. In questo percorso viene salvato solo il file JSON della cartella di lavoro e non vengono salvati dati.
Nel riquadro dei dettagli selezionare Visualizza cartella di lavoro salvata per aprirla per la modifica.
Con la cartella di lavoro aperta, selezionare Modifica per personalizzare la cartella di lavoro in base alle proprie esigenze.
Quando si usa il portale di Defender, alcune visualizzazioni possono essere visualizzate solo nella portale di Azure. In questi casi selezionare Apri in Azure per aprire la cartella di lavoro nel portale di Azure.
Ad esempio, selezionare il filtro TimeRange per visualizzare i dati per un intervallo di tempo diverso rispetto alla selezione corrente. Per modificare un'area specifica della cartella di lavoro, selezionare Modifica o selezionare i puntini di sospensione (...) per aggiungere elementi oppure spostare, clonare o rimuovere l'area.
Per clonare la cartella di lavoro, selezionare Salva con nome. Salvare il clone con un altro nome, nella stessa sottoscrizione e nello stesso gruppo di risorse. Le cartelle di lavoro clonate vengono visualizzate anche nella scheda Le mie cartelle di lavoro nella pagina Microsoft Sentinel > Gestione delle minacce > Cartelle di lavoro.
Al termine, selezionare Fine modifica per salvare le modifiche.
Per altre informazioni, vedere:
- Creare report interattivi con cartelle di lavoro di monitoraggio Azure
- Esercitazione: Dati visivi in Log Analytics
Creare una nuova cartella di lavoro
Creare una cartella di lavoro da zero in Microsoft Sentinel.
In Microsoft Sentinel selezionare Cartelle di lavoro di gestione > delle minacce e quindi selezionare Aggiungi cartella di lavoro.
Per modificare la cartella di lavoro, selezionare Modifica e quindi aggiungere testo, query e parametri in base alle esigenze.
Per altre informazioni su come personalizzare la cartella di lavoro, vedere Creare report interattivi con Monitoraggio di Azureare cartelle di lavoro.
Quando si compila una query, impostare l'origine dati su Log e tipo di risorsa su Log Analytics e quindi scegliere una o più aree di lavoro.
È consigliabile che la query usi un parser ASIM (Advanced Security Information Model) e non una tabella predefinita. La query supporterà quindi qualsiasi origine dati pertinente corrente o futura anziché una singola origine dati.
Al termine delle modifiche, selezionare Fine modifica e quindi Salva. Nel riquadro laterale immettere un nome significativo per la cartella di lavoro e selezionare la sottoscrizione e il gruppo di risorse per l'area di lavoro.
Quando si lavora nel portale di Azure, passare da una cartella di lavoro all'altra nell'area di lavoro selezionando Apri
Nella barra degli strumenti di qualsiasi cartella di lavoro. La schermata passa a un elenco di altre cartelle di lavoro a cui è possibile passare.Selezionare la cartella di lavoro da aprire:
Creare nuovi riquadri per le cartelle di lavoro
Per aggiungere un riquadro personalizzato a una cartella di lavoro Microsoft Sentinel, creare prima il riquadro in Log Analytics. Per altre informazioni, vedere Dati visivi in Log Analytics.
Dopo aver creato un riquadro, selezionare Aggiungi e quindi selezionare la cartella di lavoro in cui si vuole visualizzare il riquadro.
Aggiornare i dati della cartella di lavoro
Aggiornare la cartella di lavoro per visualizzare i dati aggiornati. Nella barra degli strumenti selezionare una delle opzioni seguenti:
Aggiornare per aggiornare manualmente i dati della cartella di lavoro.
Aggiornamento automatico, per impostare la cartella di lavoro per l'aggiornamento automatico a un intervallo configurato.Gli intervalli di aggiornamento automatico supportati variano da 5 minuti a 1 giorno.
L'aggiornamento automatico viene sospeso durante la modifica di una cartella di lavoro e gli intervalli vengono riavviati ogni volta che si torna alla modalità di visualizzazione dalla modalità di modifica.
Gli intervalli di aggiornamento automatico vengono riavviati anche se si aggiornano manualmente i dati.
Per impostazione predefinita, l'aggiornamento automatico è disattivato. Se hai attivato l'aggiornamento automatico, si disattiva di nuovo ogni volta che chiudi il blocco appunti per ottimizzare le prestazioni e impedire che venga eseguito in background. Riattivare l'aggiornamento automatico in base alle esigenze alla successiva apertura della cartella di lavoro.
Stampare una cartella di lavoro o salvare come PDF (solo portale di Azure)
Per stampare una cartella di lavoro o salvarla come PDF, usare il menu delle opzioni a destra del titolo della cartella di lavoro. Queste opzioni sono disponibili solo nel portale di Azure. Se si lavora nel portale di Defender, selezionare Apri in Azure per aprire la cartella di lavoro nel portale di Azure.
Selezionare le opzioni >
Stampa contenuto.Nella schermata di stampa regolare le impostazioni di stampa in base alle esigenze o selezionare Salva come PDF per salvarlo in locale.
Ad esempio:
Eliminare una o più cartelle di lavoro
È possibile eliminare sia i modelli salvati che le cartelle di lavoro personalizzate dalla scheda Cartelle di lavoro personali . I modelli stessi non possono essere eliminati.
Avvertimento
L'eliminazione di una cartella di lavoro rimuove definitivamente la risorsa della cartella di lavoro e tutte le personalizzazioni apportate al modello. Non è possibile annullare questa azione. Il modello originale rimane disponibile.
Per eliminare una cartella di lavoro, selezionare la cartella di lavoro nella scheda Cartelle di lavoro personali e quindi selezionare Elimina.
Raccomandazioni per le cartelle di lavoro
Le raccomandazioni seguenti consentono di usare in modo efficace Microsoft Sentinel cartelle di lavoro.
Aggiungi cartelle di lavoro di Microsoft Entra ID
Se si usa Microsoft Entra ID con Microsoft Sentinel, è consigliabile installare la soluzione Microsoft Entra per Microsoft Sentinel e usare le cartelle di lavoro seguenti:
- Microsoft Entra sign-ins analizza gli accessi nel tempo per individuare eventuali anomalie. Questa cartella di lavoro fornisce accessi non riusciti da applicazioni, dispositivi e posizioni in modo da poter notare, a colpo d'occhio, se si verifica qualcosa di insolito. Fai attenzione a più tentativi di accesso non riusciti.
- Log di controllo di Microsoft Entra analizza le attività degli amministratori, ad esempio le modifiche agli utenti (aggiunta, rimozione e così via), la creazione di gruppi e altre modifiche.
Aggiungere cartelle di lavoro del firewall
È consigliabile installare la soluzione appropriata dal Content hub per aggiungere un workbook per il firewall.
Ad esempio, installare la soluzione firewall di Palo Alto per Microsoft Sentinel per aggiungere le cartelle di lavoro Palo Alto. Le cartelle di lavoro analizzano il traffico del firewall, fornendo correlazioni tra i dati del firewall e gli eventi di minaccia, ed evidenziano eventi sospetti tra entità.
Creare cartelle di lavoro diverse per usi diversi
È consigliabile creare visualizzazioni diverse per ogni tipo di persona che usa le cartelle di lavoro, in base al ruolo dell'utente e a ciò che sta cercando. Ad esempio, creare una cartella di lavoro per l'amministratore di rete che includa i dati del firewall.
In alternativa, creare cartelle di lavoro in base alla frequenza con cui si desidera esaminarle, se sono presenti elementi che si desidera esaminare quotidianamente e altri elementi che si desidera controllare una volta all'ora. Ad esempio, è possibile esaminare i Microsoft Entra accessi ogni ora per cercare anomalie.
Query di esempio per il confronto delle tendenze del traffico tra settimane
Usare la query seguente per creare una visualizzazione che confronta le tendenze del traffico nelle settimane. Cambia il produttore del dispositivo e l’origine dati su cui esegui la query, a seconda del tuo ambiente.
La query di esempio seguente usa la tabella SecurityEvent di Windows. Potrebbe essere necessario modificarla in modo che venga eseguita sulla tabella AzureActivity o CommonSecurityLog su qualsiasi altro firewall.
La query confronta i conteggi degli eventi di sicurezza giornalieri tra la settimana corrente e la settimana precedente, in modo da individuare rapidamente modifiche insolite nel volume eventi.
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
Query di esempio con dati provenienti da più origini
È possibile creare una query che incorpora dati da più origini. Ad esempio, creare una query che esamini i log di controllo di Microsoft Entra relativi ai nuovi utenti creati e quindi controllare i log attività di Azure per verificare se l'utente ha iniziato ad apportare modifiche alle assegnazioni di ruolo di Azure RBAC entro 24 ore dalla creazione. Tale attività sospetta apparirebbe in una visualizzazione con la query seguente.
La query seguente trova gli utenti appena creati nei log di controllo Microsoft Entra e li aggiunge ai log attività Azure per rilevare le modifiche all'assegnazione di ruolo apportate entro 24 ore dalla creazione dell'utente.
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
Per altre informazioni sugli elementi seguenti usati negli esempi precedenti, vedere la documentazione di Kusto:
- operatore where
- operatore extend
- operatore di progetto
- project-away operatore
- join operator
- summarize operatore
- funzione ago()
- funzione bin()
- Funzione iff()
- funzione tostring()
- Funzione di aggregazione count()
Per altre informazioni su KQL, vedi panoramica di Kusto Query Language (KQL).
Altre risorse:
Articoli correlati
Per altre informazioni, vedere: