快速入门：Azure Sentinel 入门

小提示：您能找到这篇{快速入门：Azure Sentinel 入门}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的快速入门：Azure Sentinel 入门内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

本快速入门介绍如何使用Azure Sentinel快速查看和监视整个环境中发生的情况。将数据源连接到Azure Sentinel之后，可以即时可视化和分析数据，以了解所有已连接的数据源中发生的情况。Azure Sentinel提供工作簿，让你利用Azure中已提供的工具的强大功能，并提供内置的表和图表，用于分析日志与查询。可以使用内置的工作簿，或者从头开始或基于现有的工作簿轻松创建新的工作簿。

获取可视化效果

若要可视化和分析环境中发生的什么网站发布信息情况，请先查看概述仪表板，以大致了解组织的安全态势。可以单击这些磁贴的每个元素，向下钻取到创建这些元素时所依据的原始数据。为了帮助降低干扰并尽量减少需要检查和调查的警报数目，Azure Sentinel使用一种融合技术将警报关联到事件。“事件”是相关警报的分组，它们共同创建了可以调查和解决的可处理事件。

在Azure门户中选择“Azure Sentinel”，然后选择要监视的工作区。

顶部工具栏会告知在选定的时间段发生了多少个事件，并将该数字与过去24小时的事件数进行比较。工具栏会告知，在这些事件中触发了哪些警报（较小的数字表示与过去24小时的变化），然后告知其中哪些事件未予处理、正在处理和已结案。检查事件数是否不存在明显的增加或减少。如果事件数减少，可能表示某个连接已停止向Azure Sentinel报告。如果事件数增加，可能表示发生了可疑的情况。检查是否有新的警报。

概述页的主体提供工作区安全状态的概览：

一段时间的事件和警报数：列出事件数，以及基于这些事件创建的警报数。如果看到了异常的高峰，应会看到相应的警报-如果出现事件高峰时发生了某种异常，但未看到警报，则可能需要引以关注。

潜在的恶意事件：检测到来自已知恶意的源的流量时，Azure Sentinel会在地图上发出警报。橙色表示入站流量：有人正在尝试从已知恶意的IP地址访问你的组织。如果看到出站（红色）活动，表示网络中的数据正在从你的组织流向已知恶意的IP地址。

最新事件：查看最近的事件、其严重性及其关联的警报数。如果特定类型的警报出现突发性的高峰，可能意味着某种攻击正在活跃地进行。例如，如果Microsoft Defender for Identity（之前称为Azure ATP）中突然引发了多达20个传递哈希事件，可能意味着某人正在试图攻击你。

数据源异常：Microsoft的数据分析师创建了模型用于不间断地搜索数据源中数据的异常业主与物业公司危机公关案。如果未出现任何异常，则不会显示任何信息。如果检测到异常，则你应该进行深入调查，以确定发生了什么情况。例如，单击“Azure活动”中的高峰。可以单击“图表”了解高峰是何时发生的，然后筛选在该时间段发生的活动，以确定哪些因素造成了高峰。

使用内置工作簿

内置工作簿提供连接的数据源中的集成数据，让你深入调查这些服务中生成的事件。内置工作簿包括Azure AD、Azure活动事件和本地信息，这些数据可能来自服务器的Windows事件、第一方警报或任何第三方（包括防火墙流量日志、Office 365和基于Windows事件的不安全协议）。这些工作簿基于Azure Monitor工作簿，为你提供增强的可定制性和灵活性，方便你设计自己的工作簿。有关详细信息，请参阅工作簿。

1.在“设置”下，选择“工作簿”。在“已安装”下，可以看到所有已安装的工作簿。在“全部”下，可以看到可供安装的整个内置工作簿库。

2.搜索特定的工作簿以查看整个列表，以及每个工作簿的功能说明。

3.假设你使用Azure AD，若要正常运行Azure Sentinel，我们建议至少安装以下工作簿：

Azure AD：使用以下两项中的一个或两个：

“Azure AD登录”可分析不同时间的登录活动，以确定是否存在异常。此工作簿按应用程序、设备和位置列出失败的登录，使你能够即时注意到有异常情况发生。请注意是否出现了多个失败的登录活动。

“Azure AD审核日志”可分析管理活动，例如用户更改（添加、删除等）、组创建和修改。

添加防火墙工作簿。例如，添加Palo Alto工作簿。工作簿可分析防火墙流量，在防火墙数据与威胁事件之间提供关联，并突出显示各个实体的可疑事件。工作簿提供有关流量趋势的信息，并允许向下钻取和高校危机公关事件案例筛选结果。

可以通过编辑主要查询按钮来自定义工作簿。可以单击按钮转到Log Analytics以编辑查询；可以选择省略号(...)并选择“自定义磁贴数据”，以编辑主要时间筛选器，或者从工作簿中删除特定的磁贴。

有关使用查询的详细信息，请参阅教程：Log Analytics中的视觉数据

添加新磁贴

若要添加新磁贴，可将其添加到现有工作簿-你创建的工作簿，或Azure Sentinel的内置工作簿。

1.在Log Analytics中，遵照以下教程中的说明创建磁贴：教程：Log Analytics中的视觉数据。

2.创建磁贴后，在“固定”下，选择要在其中显示该磁贴的工作簿。

创建新工作簿

可以从头开始创建新工作簿，或者基于某个内置工作簿创建新工作簿。

1.若要从头开始创建新工作簿，请选择“工作簿”，然后选择“+新建工作簿”。

2.选择要在其中创建该工作簿的订阅，并为其指定一个描述性的名称。与其他任何元素一样，每个工作簿都是一个Azure资源，你可为其分配角色(Azure RBAC)以定义和限制哪些用户可以访问它。

3.若要使其显示在要将可视化效果固定到的工作簿中，必须将其共享。依次单击“共享”、“管理用户”。

4.像设置其他任何Azure资源一样，使用“检查访问权限”和“角色分配”。有关详细信息，请参阅使用Azure RBAC共享Azure工作簿。

新工作簿示例

使用以下示例查询可以比较不同周次的流量趋势。可以轻松切换要对其运行查询的设备供应商和数据源。此示例使用来自Windows的SecurityEvent。可将其切换为针对其他任何防火墙中的AzureActivity或CommonSecurityLog运行。

控制台

//week over week query

SecurityEvent

|where TimeGenerated>ago(14d)

|summarize count()by bin(TimeGenerated,1d)

|extend Week=iff(TimeGenerated>ago(7d),"This Week","Last Week"),TimeGenerated=iff(TimeGenerated>ago(7d),TimeGenerated,TimeGenerated+7d)

可以创建一个查询用于合并多个源中的数据。可以创建一个查询，用于在Azure Active Directory审核日志中查找刚刚创建的新用户，然后检查Azure日志，以确定该用户在创建后的24小时内，是否开始进行角色分配更改。该可疑活动会显示在此仪表板上：

控制台

AuditLogs

|where OperationName=="Add user"

|project AddedTime=TimeGenerated,user=tostring(TargetResources[0].userPrincipalName)

|join(AzureActivity

|where OperationName=="Create role assignment"

|project OperationName,RoleAssignmentTime=TimeGenerated,user=Caller)on user

|project-away user1

可以基于用户的角色创建不同的工作簿，以查看该用户的数据并了解其正在查找哪些信息。例如，可以针对网络管理员创建包含防火墙数据的工作簿。此外，可以根据数据的查找频率创建工作簿，不管这些数据是每日都要查看的数据，还是每隔一小时检查一次的其他项（例如，你可能想要每隔一小时查看自己的Azure AD登录，以搜索异常）。

创建新的检测

在连接到Azure Sentinel的数据源上生成检测，以调查组织中的威胁。

创建新的检测时，请利用Microsoft安全研究人员为你连接的数据源量身定制的内置检测。

若要查看所有现成的检测，请转到Analytics，然后转到“规则模板”。此选项卡包含所有的Azure Sentinel内置规则。

使用Azure Sentinel通过内置检测来查找威胁

若要详细了解如何获取现成的检测，请参阅教程：获取内置分析。