Conversión de paneles en libros de Azure

• Se aplica a:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Convierta paneles de la solución de administración de eventos e información de seguridad (SIEM) existente en un libro de Azure para Microsoft Sentinel. Los libros de Azure proporcionan versatilidad para crear paneles personalizados para Microsoft Sentinel. En este artículo se describe cómo revisar, planear y convertir los paneles actuales en libros de Azure.

Revisión de paneles en la SIEM actual

Tenga en cuenta los pasos siguientes al diseñar la migración.

• Analizar paneles. Recopile información sobre los paneles, incluidos el diseño, los parámetros, los orígenes de datos y otros detalles. Identifique el propósito o el uso de cada panel.
• Ser selectivo. No migre todos los paneles de forma indiscriminada. Céntrese en los que sean críticos y se usen con regularidad.
• Consideración de los permisos. Tenga en cuenta quiénes son los usuarios de destino de los libros. Los libros de Azure usan el control de acceso basado en rol de Azure (RBAC de Azure). Para más información, consulte Evaluación del control en libros de Azure. Para crear paneles fuera de Azure, por ejemplo, para ejecutivos de la empresa sin acceso a Azure, use una herramienta de creación de informes como Power BI.

Preparación de la conversión del panel

Después de revisar los paneles, complete las siguientes tareas para prepararse para la migración del panel:

• Revise todas las visualizaciones de cada panel. Los paneles de la SIEM actual pueden contener varios gráficos o paneles. Es fundamental revisar el contenido de los paneles de la lista abreviada para eliminar visualizaciones o datos no deseados.

• Capture el diseño y la interactividad del panel.

• Identifique los elementos de diseño que sean importantes para los usuarios. Por ejemplo, el diseño del panel, la disposición de los gráficos o incluso el tamaño o el color de fuente de los gráficos.

• Capture cualquier interactividad como el desglose, el filtrado y otros que necesite trasladar a Azure Workbooks.

• Identifique los parámetros necesarios o las entradas de usuario. En la mayoría de los casos, debe definir parámetros para que los usuarios realicen búsquedas, filtrados o definan el ámbito de los resultados (por ejemplo, intervalo de fechas, nombre de cuenta y otros). Por tanto, es fundamental capturar los detalles en torno a los parámetros. Estos son algunos de los requisitos clave de los parámetros que se van a recopilar:

  • Tipo de parámetro para que los usuarios realicen la selección o entrada. Por ejemplo, intervalo de fechas, texto u otros.
  • Cómo se representan los parámetros, por ejemplo, lista desplegable, cuadro de texto u otros.
  • Formato de valor esperado, por ejemplo, hora, cadena, entero u otros.
  • Otras propiedades, como el valor predeterminado, si permiten la selección múltiple, la visibilidad condicional u otras.

Conversión de paneles

Para convertir el panel, complete las siguientes tareas en libros de Azure y Microsoft Sentinel.

1. Identificación de los orígenes de datos

Los libros de Azure son compatibles con un gran número de orígenes de datos. Para más información, consulte Orígenes de datos de Libros de Azure. En la mayoría de los casos, use el origen de datos Registros de Azure Monitor y utilice consultas de Lenguaje de consulta Kusto (KQL) para visualizar los registros subyacentes en el área de trabajo de Microsoft Sentinel.

2. Construcción o revisión de consultas KQL

En este paso, trabajará principalmente con KQL para visualizar los datos. Puede construir y probar las consultas en Microsoft Sentinel antes de convertirlas en libros de Azure. Para probar las consultas de Microsoft Sentinel en Azure Portal, vaya a Registros. Desde Microsoft Sentinel en el portal de Defender, vaya a Investigación y respuesta>Búsqueda>Búsqueda avanzada.

Antes de finalizar las consultas de KQL, revíselas y ajústelas siempre para mejorar su rendimiento. Las consultas optimizadas:

• Se ejecutan más rápido y reducen la duración total de la ejecución de la consulta.
• Tienen menos posibilidades de que se limiten o rechacen.

Para obtener más información, consulte los siguientes recursos:

• Procedimientos recomendados para consultas KQL
• Optimización de consultas en registros de Azure Monitor
• Optimización del rendimiento de KQL (seminario web)

3. Creación o actualización del libro

Cree un libro, actualice el libro o clone un libro existente para que no tenga que empezar desde cero. Además, especifique cómo se representan, organizan y agrupan los datos o visualizaciones. Hay dos diseños comunes:

• Libro vertical
• Libro con pestañas

Vea los siguientes artículos para más información:

• Visualización y supervisión de sus datos mediante libros en Microsoft Sentinel
• Agregar grupos en Libros de Azure

4. Creación o actualización de parámetros de libro o entradas de usuario

Cuando llegue a esta fase, ya habrá identificado los parámetros necesarios para su libro. Con los parámetros, puede recopilar la entrada de los consumidores y hacer referencia a la entrada en otras partes del libro. Esta entrada se usa normalmente para definir el ámbito del conjunto de resultados, para establecer la visualización correcta y permite crear informes y experiencias interactivos.

Workbooks permite controlar cómo se presentan los controles de parámetro a los consumidores. Por ejemplo, puede seleccionar si los controles se presentan como un cuadro de texto, una lista desplegable o una selección única o múltiple. También puede seleccionar los valores que se van a usar, desde texto, JSON, KQL o Azure Resource Graph, etc.

Revise los parámetros de libro admitidos. Puede hacer referencia a estos valores de parámetro en otras partes de los libros mediante enlaces o expansiones de valores.

5. Creación o actualización de visualizaciones

Los libros proporcionan un amplio conjunto de funciones para visualizar los datos. Revise estos ejemplos detallados de cada tipo de visualización.

• Texto
• Gráficos
• Cuadrículas
• Iconos
• Árboles
• Gráficos
• Mapa
• Panal
• Barra compuesta

6. Vista previa y guardado del libro

Después de guardar su libro, especifique los parámetros y valide los resultados. También puede probar la actualización automática o la característica de impresión para guardar como PDF.

Pasos siguientes

En este artículo, ha aprendido a convertir los paneles en libros de Azure.

Actualización de los procesos del centro de operaciones de seguridad