Převod řídicích panelů na Azure Workbooks

• Platí pro:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Převeďte řídicí panely ze stávajícího řešení zabezpečení a správy událostí (SIEM) na sešit Azure pro Microsoft Sentinel. Azure Workbooks poskytují všestrannost pro vytváření vlastních řídicích panelů pro Microsoft Sentinel. Tento článek popisuje, jak zkontrolovat, naplánovat a převést aktuální řídicí panely na Azure Workbooks.

Kontrola řídicích panelů v aktuálním systému SIEM

Při návrhu migrace zvažte následující kroky.

• Analýza řídicích panelů Shromážděte informace o řídicích panelech, včetně návrhu, parametrů, zdrojů dat a dalších podrobností. Identifikujte účel nebo použití každého řídicího panelu.
• Buďte selektivní. Nemigrujte všechny řídicí panely bez pozornosti. Zaměřte se na řídicí panely, které jsou důležité a používají se pravidelně.
• Zvažte oprávnění. Zvažte, kdo jsou cílovými uživateli sešitů. Azure Workbooks používají řízení přístupu na základě role v Azure (Azure RBAC). Další informace najdete v tématu Posouzení ovládacího prvku v Azure Workbooks. Pokud chcete vytvářet řídicí panely mimo Azure, například pro obchodní vedoucí pracovníky bez přístupu k Azure, použijte nástroj pro vytváření sestav, jako je Power BI.

Příprava na převod řídicího panelu

Po kontrole řídicích panelů proveďte následující úlohy a připravte se na migraci řídicího panelu:

• Zkontrolujte všechny vizualizace na každém řídicím panelu. Řídicí panely v aktuálním systému SIEM můžou obsahovat několik grafů nebo panelů. Je důležité zkontrolovat obsah krátkých řídicích panelů, aby se vyloučily nežádoucí vizualizace nebo data.

• Zachyťte návrh a interaktivitu řídicího panelu.

• Identifikujte všechny prvky návrhu, které jsou pro uživatele důležité. Například rozložení řídicího panelu, uspořádání grafů nebo dokonce velikost písma nebo barvu grafů.

• Zachyťte veškerou interaktivitu, jako je přechod k podrobnostem, filtrování a další, které potřebujete přenést do Azure Workbooks.

• Identifikujte požadované parametry nebo vstupy uživatelů. Ve většině případů je potřeba definovat parametry, které mají uživatelé provádět vyhledávání, filtrování nebo určení rozsahu výsledků (například rozsah dat, název účtu a další). Proto je důležité zachytit podrobnosti o parametrech. Tady jsou některé klíčové požadavky na parametry, které se mají shromáždit:

  • Typ parametru, který mají uživatelé provádět výběr nebo vstup. Například rozsah kalendářních dat, text nebo jiné.
  • Jak jsou parametry reprezentovány, například rozevírací seznam, textové pole nebo jiné.
  • Očekávaný formát hodnoty, například čas, řetězec, celé číslo nebo jiné.
  • Jiné vlastnosti, jako je výchozí hodnota, povolit vícenásobný výběr, podmíněnou viditelnost nebo jiné.

Převod řídicích panelů

Pokud chcete řídicí panel převést, proveďte následující úlohy v Azure Workbooks a Microsoft Sentinelu.

1. Identifikace zdrojů dat

Sešity Azure jsou kompatibilní s velkým počtem zdrojů dat. Další informace najdete v tématu Zdroje dat Azure Workbooks. Ve většině případů můžete pomocí dotazů Azure Monitor protokolovat zdroj dat a dotazy dotazovací jazyk Kusto (KQL) k vizualizaci podkladových protokolů v pracovním prostoru Služby Microsoft Sentinel.

2. Vytvoření nebo kontrola dotazů KQL

V tomto kroku pracujete hlavně s KQL a vizualizujete svá data. Před převodem dotazů na Azure Workbooks můžete vytvářet a testovat dotazy v Microsoft Sentinelu. Pokud chcete otestovat dotazy z Microsoft Sentinelu na webu Azure Portal, přejděte do části Protokoly. Na portálu Defender na portálu Microsoft Sentinel přejděte do části Prošetření a proaktivní>vyhledávání proaktivního vyhledávání.>

Před dokončením dotazů KQL vždy zkontrolujte a vylaďte dotazy, aby se zlepšil výkon dotazů. Optimalizované dotazy:

• Spusťte rychleji, snižte celkovou dobu trvání provádění dotazu.
• Máte menší šanci na omezení nebo odmítnutí.

Další informace naleznete v následujících zdrojích:

• Osvědčené postupy pro dotazy KQL
• Optimalizace dotazů v protokolech služby Azure Monitor
• Optimalizace výkonu KQL (webinář)

3. Vytvoření nebo aktualizace sešitu

Vytvořte sešit, aktualizujte sešit nebo naklonujte existující sešit, abyste nemuseli začínat úplně od začátku. Určete také, jak jsou data nebo vizualizace reprezentované, uspořádané a seskupené. Existují dva běžné návrhy:

• Svislý sešit
• Sešit s kartami

Další informace najdete v následujících článcích:

• Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinelu
• Přidání skupin v Azure Workbooks

4. Vytvoření nebo aktualizace parametrů sešitu nebo uživatelských vstupů

V době, kdy dorazíte do této fáze, jste identifikovali požadované parametry sešitu. Pomocí parametrů můžete shromažďovat vstupy od příjemců a odkazovat na vstup v jiných částech sešitu. Tento vstup se obvykle používá k určení rozsahu sady výsledků, k nastavení správné vizualizace a umožňuje vytvářet interaktivní sestavy a prostředí.

Sešity umožňují řídit, jak se ovládací prvky parametrů zobrazují příjemcům. Můžete například vybrat, jestli se ovládací prvky zobrazí jako textové pole nebo rozevírací seznam s jedním nebo vícenásobným výběrem. Můžete také vybrat, které hodnoty se mají použít, z textu, JSON, KQL nebo Azure Resource Graphu a dalších.

Zkontrolujte podporované parametry sešitu. Na tyto hodnoty parametrů můžete odkazovat v jiných částech sešitů prostřednictvím vazeb nebo rozšíření hodnot.

5. Vytváření nebo aktualizace vizualizací

Sešity poskytují bohatou sadu funkcí pro vizualizaci dat. Projděte si tyto podrobné příklady jednotlivých typů vizualizací.

• Text
• Grafy
• Mřížky
• Dlaždice
• Stromy
• Grafy
• Map
• Medový hřeben
• Složený pruh

6. Náhled a uložení sešitu

Po uložení sešitu zadejte parametry a ověřte výsledky. Můžete také vyzkoušet automatickou aktualizaci nebo funkci tisku a uložit ji jako PDF.

Další kroky

V tomto článku jste zjistili, jak převést řídicí panely na sešity Azure.

Aktualizace procesů SOC