Partager via


Convertir des tableaux de bord en classeurs Azure

Convertissez les tableaux de bord de votre solution SIEM (Gestion des informations et des événements de sécurité) existante en classeur Azure pour Microsoft Sentinel. Les classeurs Azure offrent une polyvalence pour créer des tableaux de bord personnalisés pour Microsoft Sentinel. Cet article décrit comment examiner, planifier et convertir vos tableaux de bord actuels en Classeurs Azure.

Passer en revue les tableaux de bord dans votre système SIEM actuel

Tenez compte des étapes suivantes lorsque vous concevez votre migration.

  • Analysez les tableaux de bord. Recueillez des informations sur vos tableaux de bord, notamment la conception, les paramètres, les sources de données et d’autres détails. Identifiez l’objectif ou l’utilisation de chaque tableau de bord.
  • Soyez sélectif(-ive) Ne migrez pas tous les tableaux de bord sans y réfléchir au préalable. Concentrez-vous sur les tableaux de bord critiques et utilisés régulièrement.
  • Tenez compte des autorisations. Identifiez les utilisateurs cibles des classeurs. Les classeurs Azure utilisent le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Pour plus d’informations, voir Évaluer le contrôle dans les Classeurs Azure. Pour créer des tableaux de bord en dehors d’Azure, par exemple pour les cadres commerciaux qui n’ont pas accès à Azure, utilisez un outil de reporting tel que Power BI.

Préparer la conversion du tableau de bord

Après avoir examiné vos tableaux de bord, effectuez les tâches suivantes pour préparer la migration de vos tableaux de bord :

  • Passez en revue toutes les visualisations de chaque tableau de bord. Les tableaux de bord de votre système SIEM actuel peuvent contenir plusieurs graphiques ou panneaux. Il est essentiel de passer en revue le contenu de vos tableaux de bord sélectionnés pour supprimer les visualisations ou données indésirables.

  • Capturez la conception et l’interactivité du tableau de bord.

  • Identifiez tous les éléments de conception importants pour vos utilisateurs. Par exemple, la mise en page du tableau de bord, la disposition des graphiques voire la taille de police ou la couleur des graphiques.

  • Capturez toutes les interactivités comme l’extraction, le filtrage et autres opérations que vous devez transposer dans les Classeurs Azure.

  • Identifiez les paramètres requis ou les entrées utilisateur. Dans la plupart des cas, vous devez spécifier des paramètres pour permettre aux utilisateurs d’effectuer une recherche, un filtrage ou de définir l’étendue des résultats (par exemple une plage de dates, le nom du compte, entre autres). Par conséquent, il est essentiel de capturer les détails des paramètres. Voici quelques-unes des exigences de paramètre clés à collecter :

    • Le type de paramètre permettant aux utilisateurs de sélectionner ou d’entrer un contenu. Par exemple, une plage de dates, un texte, entre autres.
    • La façon dont les paramètres sont représentés, par exemple une liste déroulante, une zone de texte, entre autres.
    • Le format de valeur attendu, par exemple, heure, chaîne, entier, entre autres.
    • D’autres propriétés, telles que la valeur par défaut, autorisent la sélection multiple, la visibilité conditionnelle, entre autres.

Convertir des tableaux de bord

Pour convertir votre tableau de bord, effectuez les tâches suivantes dans les Classeurs Azure et Microsoft Sentinel.

1. Identifier les sources de données

Les classeurs Azure sont compatibles avec de nombreuses sources de données. Pour plus d’informations, consultez Sources de données des Classeurs Azure. Dans la plupart des cas, utilisez la source de données des journaux Azure Monitor et des requêtes Kusto Query Language (KQL) pour visualiser les journaux sous-jacents dans votre espace de travail Microsoft Sentinel.

2. Construire ou passer en revue des requêtes KQL

Dans cette étape, vous utilisez principalement KQL pour visualiser vos données. Vous pouvez construire et tester vos requêtes dans Microsoft Sentinel avant de les convertir en Classeurs Azure. Pour tester les requêtes à partir de Microsoft Sentinel dans le portail Azure, accédez à Journaux d’activité. Depuis Microsoft Sentinel dans le portail Defender, allez dans Investigation et réponse>Repérage>Repérage avancé.

Avant de finaliser vos requêtes KQL, passez toujours en revue et paramétrez les requêtes pour améliorer leurs performances. Requêtes optimisées :

  • S’exécutent plus rapidement, avec une réduction de la durée d’exécution globale des requêtes.
  • Ont moins de risques d’être limitées ou rejetées.

Pour plus d’informations, consultez les ressources suivantes :

3. Créer ou mettre à jour le classeur

Créez un classeur, mettez à jour le classeur, ou clonez un classeur existant afin de ne pas avoir à commencer à partir de zéro. Spécifiez également la façon dont les données ou les visualisations sont représentées, organisées et regroupées. Il existe deux conceptions principales :

  • Classeur vertical
  • Classeur avec onglets

Pour plus d’informations, consultez les articles suivants :

4. Créer ou mettre à jour des paramètres de classeur ou des entrées utilisateur

Lorsque vous arrivez à cette étape, vous avez identifié les paramètres requis pour votre classeur. Ces paramètres vous permettent de collecter des entrées auprès des consommateurs et de référencer l’entrée dans d’autres parties du classeur. Cette entrée est généralement utilisée pour définir l’étendue du jeu de résultats, définir la bonne visualisation, et elle vous permet de créer des rapports et des expériences interactifs.

Les classeurs vous permettent de spécifier la façon dont vos contrôles de paramètres sont présentés aux consommateurs. Par exemple, vous indiquez si les contrôles sont présentés sous la forme d’une zone de texte ou d’une liste déroulante ou d’une sélection unique ou multiple. Vous pouvez également sélectionner les valeurs à utiliser, par exemple texte, JSON, KQL ou Azure Resource Graph, etc.

Passez en revue les paramètres de classeur pris en charge. Vous pouvez faire référence à ces valeurs de paramètre dans d’autres parties de classeurs via des liaisons ou des expansions de valeur.

5. Créer ou mettre à jour des visualisations

Les classeurs fournissent un ensemble complet de fonctionnalités pour la visualisation de vos données. Passez en revue ces exemples détaillés de chaque type de visualisation.

6. Afficher un aperçu et enregistrer le classeur

Après avoir enregistré votre classeur, spécifiez les paramètres et validez les résultats. Vous pouvez également tester la fonctionnalité d’actualisation automatique ou d’impression pour enregistrer au format PDF.

Étapes suivantes

Dans cet article, vous avez appris à convertir vos tableaux de bord en classeurs Azure.