Erstellen einer neuen Microsoft Sentinel-Arbeitsmappe

  • 5 Minuten

Über die Verwendung integrierter Vorlagen zum Erstellen einer angepassten Arbeitsmappe hinaus können Sie benutzerdefinierte Arbeitsmappen von Grund auf neu erstellen. Diese ermöglichen Ihnen das Erzeugen hochgradig interaktiver Berichte, die Texte, Analyseabfragen, Metriken und Parameter enthalten.

Benutzerdefinierte Arbeitsmappe erstellen

Sie können auf der Seite Arbeitsmappen in Microsoft Sentinel eine benutzerdefinierte Arbeitsmappe erstellen. Wählen Sie auf der Kopfleiste +Arbeitsmappe hinzufügen aus. Die Seite Neue Arbeitsmappe wird geöffnet, die eine einfache Analyseabfrage enthält, mit der Sie beginnen können.

Tipp

Jede von Ihnen erstellte Arbeitsmappe wird vom Azure-Portal als Arbeitsmappenressource in der Microsoft Sentinel-Ressourcengruppe gespeichert.

Sie können mit dem Erstellen Ihrer Arbeitsmappe auf der Seite Neue Arbeitsmappe beginnen, indem Sie Bearbeiten auswählen. Wählen Sie anschließend die Option Bearbeiten aus, um den Text zu ändern, der in der Vorlage für neue Arbeitsmappen angezeigt wird.

Jede Arbeitsmappe stellt zahlreiche Funktionen für die Visualisierung der von den Connectors gesammelten Sicherheitsdaten bereit. Sie können die Arbeitsmappe mit den folgenden Visualisierungstypen und -elementen entwerfen:

  • Text
  • Abfrage
  • Parameter
  • Links/Registerkarten
  • Metrik

Sie können der Arbeitsmappe ein neues Element hinzufügen, indem Sie + Hinzufügen auswählen, wie im folgenden Screenshot dargestellt.

Screenshot of adding a new step in the workbook.

Textvisualisierungen

Sie können Textblöcke verwenden, um die Sicherheitsdaten, Abschnittsüberschriften, Telemetriedaten und andere Informationen zu interpretieren. Sie können den Text mit der Markupsprache Markdown bearbeiten, die verschiedene Formatierungsoptionen für Überschriften, Schriftschnitte, Hyperlinks und Tabellen bietet.

Hinweis

Markdown ist eine Markupsprache, die Sie zum Formatieren von Text in reinen Textdokumenten verwenden können. Weitere Informationen zum Formatieren von Text mithilfe von Markdown-Steuerelementen finden Sie in den Markdown-Anleitungen, die online verfügbar sind.

Nachdem Sie den Text hinzugefügt haben, wählen Sie die Registerkarte Vorschau aus, um eine Vorschau der Darstellung der Inhalte anzuzeigen. Wenn Sie die Bearbeitung des Texts abgeschlossen haben, wählen Sie die Option Bearbeitung abgeschlossen aus.

Abfrageelement

Sie können aus den Protokollen eine andere Abfrage erstellen und die Daten als Text, Diagramme oder Raster visualisieren. Sie können die Abfrage mithilfe von KQL schreiben. Formatieren Sie dann die Daten mit verschiedenen Visualisierungen, wie etwa:

  • Raster (oder Tabellen)
  • Flächendiagramme
  • Balkendiagramme
  • Liniendiagramme
  • Kreisdiagramme
  • Punktdiagramme
  • Zeitdiagramme
  • Kacheln

Wenn Sie eine Abfrage erstellen, fügt Microsoft Sentinel der Arbeitsmappe einen neuen Schritt Abfrage ausführen hinzu. Dies wird im folgenden Screenshot dargestellt:

Screenshot of the Query visualization step, with the Done editing button called out.

Die Kopfleiste enthält mehrere Felder, die Optionen zum Optimieren der Ausgabe der Abfrage bieten.

Name BESCHREIBUNG
Ausführen der Abfrage Mit dieser Option können Sie das Ergebnis der Abfrage testen.
Proben Microsoft stellt Beispielcode mit Beispielabfragen bereit, die Sie der Arbeitsmappe hinzufügen können.
Datenquelle Mit dieser Option können Sie die Datenquelle der Abfrage angeben.
Ressourcentyp Mit dieser Option können Sie den Ressourcentyp auswählen.
Log Analytics-Arbeitsbereich Verwenden Sie diese Option, wenn Sie Daten für mehrere Ressourcen abfragen möchten.
Zeitbereich Mit dieser Option können Sie einen Zeitbereichsparameter angeben, der in der Abfrage verwendet werden soll.
Visualisierung Verwenden Sie diese Option, um eine bestimmte Visualisierung auszuwählen, oder wählen Sie Festgelegt nach Abfrage aus, um die Daten in einem anderen Format darzustellen.
Size Mit dieser Option wählen Sie die Größe des Visualisierungselements aus.

Auf der Registerkarte Erweiterte Einstellungen können Sie weitere Anpassungen für die Einstellungen und Stile des Abfrageschritts festlegen. Auf der Registerkarte Erweiterte Einstellungen können Sie Eigenschaften ändern. Beispielsweise können Sie den Diagrammtitel eingeben, wie im folgenden Screenshot dargestellt.

Screenshot of the Advanced settings tab, with the chart title.

Auf der Registerkarte Stil können Sie den Rand und den Abstand in dem Schritt anpassen. Wenn Sie das Anpassen der Einstellungen und Stile abgeschlossen haben, speichern Sie den Schritt, indem Sie Bearbeitung abgeschlossen auswählen.

Diagrammvisualisierungen

Wenn Sie eine Abfrage erstellen, um die Sicherheitsdaten als Diagramme darzustellen, können Sie Folgendes anpassen:

  • Höhe
  • Breite
  • Farbpalette
  • Legende
  • Titel
  • Achsentypen und Reihe

Im folgenden Beispiel werden alle Sicherheitswarnungen gezählt und in einem Kreisdiagramm visualisiert.


SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart

Im vorherigen Beispiel wurde in der Abfrage der Visualisierungstyp für die Daten angegeben. Sie können die Abfrage auch ohne den Renderparameter verwenden. Verwenden Sie das Dropdownmenü Visualisierung, um einen der angebotenen Visualisierungstypen auszuwählen:

Screenshot of the Visualization dropdown menu options.

Rastervisualisierungen

Mit der Visualisierungsoption Raster im Dropdownmenü Visualisierung können Sie Daten in Tabellen darstellen, um eine erweiterte Benutzeroberfläche für die Berichte bereitzustellen. Sie können dann die Option Spalteneinstellungen auswählen, um festzulegen, welche Spalte in der Tabelle angezeigt wird, und ggf. Spaltenbezeichnungen anzugeben.

Auf der Registerkarte Spalteneinstellungen bearbeiten können Sie einen anderen Säulenrenderer auswählen, z. B. „Wärmebild“, „Balken“ oder „Spark-Bereich“. Wenn Sie Benutzerdefinierte Formatierung auswählen, können Sie für Zahlenwerte Einheiten, Stil und Formatierungsoptionen festlegen.

Parameter

Sie können Parameter in der interaktiven Arbeitsmappe verwenden, um die Ergebnisse der Abfrage auf unterschiedliche Weise zu bearbeiten. Wenn Sie Parameter hinzufügen auswählen, wird die Seite Neuer Parameter geöffnet. Auf dieser können Sie den Namen und andere Informationen angeben, die für den Parameter erforderlich sind.

Sie können die folgenden Parametertypen erstellen:

  • Text. Sie können beliebigen Text eingeben.
  • Dropdown. Sie können die Darstellung eines Abfrageschritts so ändern, dass er ein Dropdownmenü enthält, in dem Sie einen Wert aus einer Reihe von Werten auswählen können. Bei diesem Parametertyp können Sie eine KQL-Abfrage oder eine JSON-Zeichenfolge eingeben, um die Auswahlmöglichkeiten für die Dropdownliste anzugeben.
  • Zeitbereichsauswahl. Sie können aus vorab ausgefüllten Zeitbereichen auswählen oder einen benutzerdefinierten Bereich auswählen.
  • Ressourcenauswahl. Sie können eine oder mehrere Azure-Ressourcen auswählen.
  • Abonnementauswahl. Sie können eine oder mehrere Azure-Abonnementressourcen auswählen.
  • Ressourcentypauswahl. Sie können einen oder mehrere Azure-Ressourcentypwerte auswählen.
  • Standortauswahl. Sie können einen oder mehrere Azure-Standortwerte auswählen.
  • Gruppe „Optionen“. Sie können mehrere Eigenschaften in einer Gruppe anordnen.
  • Registerkarten.
  • Mehrere Werte.

Sie können auf Parameterwerte in anderen Teilen der Arbeitsmappen verweisen, indem Sie entweder Bindungen oder Werterweiterungen verwenden.

Sie können im Bereich Neue Parameter im Abschnitt Vorschauen die Variablen überprüfen, die im Abfragecode angezeigt und verwendet werden.

Links/Registerkarten

Sie können einen Schritt für Links/Registerkarten hinzufügen, um die Navigation in der Arbeitsmappe mit Registerkarten, Listen, Absätzen oder Aufzählungen anzupassen. Beim Hinzufügen eines neuen Schritts für Links/Registerkarten können Sie folgende Eingaben bereitstellen:

  • Text vor Link. Verwenden Sie diese Option, um den Text anzuzeigen, bevor der Link ausgewählt wird.
  • Linktext. Verwenden Sie diese Option, um den Text anzugeben, der im Link angezeigt wird.
  • Text nach Link. Verwenden Sie diese Option, um den Text anzugeben, der angezeigt wird, nachdem der Link ausgewählt wurde.
  • Action (Aktion) . Verwenden Sie diese Option, um die Aktion anzugeben, die ausgeführt wird, wenn der Link ausgewählt wird, z. B. URL, Parameterwert festlegen und Zu einem Schritt scrollen.
  • Wert. Verwenden Sie diese Option, um einen Wert für den Link anzugeben.
  • Einstellungen. Verwenden Sie diese Option, um bestimmte Einstellungen auf der Grundlage des Linktyps und der Syntax der unterstützenden Parameter anzugeben.
  • Kontextbereich?. Verwenden Sie diese Option, um anstelle einer vollständigen Ansicht ein neues Kontextpanel zu öffnen.
  • Stil. Verwenden Sie diese Option, um zwischen den Formatvorlagen Link, Schaltfläche (primär) und Schaltfläche (sekundär) zu wählen.

Metrikschritte

Sie können Metrikschritte verwenden, um die Ergebnisse der Arbeitsmappe mit Metriken aus verschiedenen Azure-Ressourcen zu kombinieren. Wenn Sie alle benutzerdefinierten Änderungen an der Arbeitsmappe vorgenommen haben, speichern Sie die Arbeitsmappe, indem Sie Bearbeitung abgeschlossen auswählen.

Überprüfen Sie Ihr Wissen

1.

Welche Formatierung verwendet Microsoft Sentinel, um den Text in der Arbeitsmappe mit Textvisualisierung zu formatieren?

2.

Ein Administrator erstellt eine benutzerdefinierte Arbeitsmappe und möchte die Daten in der Tabelle anzeigen. Welche Visualisierungsschritte sollten vom Administrator in der Arbeitsmappe verwendet werden?