Configurer des tableaux de bord et des rapports pour visualiser des données de journal
Vous avez utilisé les outils et les services du portail Azure pour collecter des fichiers journaux concernant les utilisateurs de votre réseau et leurs activités. À l’aide des données d’audit et de connexion collectées, vous avez créé des requêtes pour obtenir des insights sur des comportements spécifiques. Ces requêtes peuvent également alerter votre équipe en cas de comportement utilisateur suspect. Ce processus a contribué à répondre aux préoccupations de sécurité de votre équipe.
Les membres de votre équipe sont rassurés. Ils peuvent être avertis quand des comportements suspects sont identifiés, mais ils savent que ces alertes sont spécifiées avec précision. À présent, ils souhaitent savoir si Azure peut fournir des vues en temps réel de la sécurité de leur système. L’équipe peut alors identifier les nouvelles menaces et y répondre.
Azure fournit plusieurs outils et rapports de visualisation qui peuvent répondre aux besoins de l’équipe. Vous voulez comprendre comment utiliser concrètement ces outils et ces rapports.
Dans cette unité, vous allez découvrir comment améliorer et personnaliser les requêtes de rapport sous-jacentes et les enregistrer dans un tableau de bord de sécurité. Enfin, vous allez découvrir comment exporter ces rapports vers Excel et Power BI Desktop.
Créer un tableau de bord de sécurité
Les tableaux de bord fournissent une vue organisée des ressources de votre instance cloud Azure. Dans un tableau de bord, vous pouvez organiser vos tâches et vos activités opérationnelles quotidiennes et récurrentes. Vous pouvez créer chaque tableau autour d’une activité spécifique, telle qu’une tâche ou un projet.
Pour créer un tableau de bord pour votre équipe de sécurité, dans le menu du portail Azure, sélectionnez Tableau de bord. Commencez par un tableau de bord vide.
Vous allez entrer un nom pour le tableau de bord, et vous pouvez ajouter des composants courants à celui-ci à partir de la galerie de vignettes. Même si le tableau de bord ne contient aucune donnée, vous avez la possibilité de le partager en le publiant pour d’autres utilisateurs du réseau.
Avec un tableau de bord créé, vous devez lui ajouter un rapport de requête. Même s’il semble que vous puissiez ajouter des données de journal d’audit ou de connexion directement au tableau de bord, ce n’est pas encore le cas. Pour créer une requête à ajouter au tableau de bord, vous devez revenir à votre espace de travail Log Analytics.
Créer une requête de tableau de bord
Dans votre espace de travail Log Analytics, créez une requête. Supposons que vous voulez identifier l’événement utilisateur le plus courant pour la semaine dernière. Utilisez alors une requête comme celle-ci :
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Pour commencer, vous accédez à vos journaux dans votre espace de travail Log Analytics. Dans le menu de gauche, sous Général, sélectionnez Propriétés.
Vous souhaitez connaître l’événement utilisateur le plus courant de la semaine dernière. Par conséquent, dans votre éditeur de requête, collez la requête. Exécutez la requête pour rechercher les données.
Lorsque vous êtes satisfait de disposer des données souhaitées, sélectionnez Modification terminée, puis enregistrez la requête avec un nom, un abonnement, un groupe de ressources et un emplacement.
Épingler des résultats de requête sur un tableau de bord
Vous pouvez épingler des résultats de requête au tableau de bord afin qu’ils soient faciles à trouver et à partager :
Pour épingler des résultats de requête à un tableau de bord, dans la barre de menus, sélectionnez l’icône Épingler. Sélectionnez les options à utiliser, un tableau de bord, puis Épingler.
Vous pouvez accéder au tableau de bord pour afficher les résultats de votre analyse.
Exporter un rapport à partir d’un tableau de bord
Quand le rapport vous satisfait, vous pouvez l’exporter vers Excel ou vers l’application Power BI Desktop.
Dans une vignette de rapport sur un tableau de bord, sélectionnez l’icône Ouvrir dans le panneau Journaux :
Exécutez la requête du journal, puis sélectionnez la liste déroulante Exporter. Sélectionnez une option d’exportation :
- Exporter au format CSV – Toutes les colonnes
- Exporter au format CSV – Colonnes affichées
- Exporter vers Power BI (requête M)
- Ouvrir dans Excel
Exporter un rapport vers Power BI (requête M)
Vous pouvez utiliser Power BI pour créer des rapports et tableaux de bord complexes et dynamiques à partir des données que vous lui fournissez. Dans votre espace de travail Log Analytics, exportez le rapport vers Power BI en sélectionnant la liste déroulante Exporter, puis l’option Power BI (requête M). Cette séquence n’exporte pas les données directement, mais génère une requête M complexe. L’application Power BI Desktop utilise la requête M pour établir une connexion à votre instance Azure et en extraire les données actives.
Sélectionnez Enregistrer pour enregistrer le fichier texte du rapport sur votre ordinateur local. Ouvrez ensuite le fichier enregistré dans un éditeur de texte. Vous copierez bientôt le contenu de ce fichier dans Power BI. Dans Power BI Desktop, sélectionnez Obtenir des données, puis Requête vide.
Dans l’éditeur de requête Power BI, sélectionnez l’option de menu Afficher, puis Éditeur avancé. Ensuite, copiez le contenu du fichier Power BI (requête M) enregistré et collez le Script de langue M dans le volet de l’éditeur.
Comme cette requête provient d’Azure, vous devez utiliser l’option Compte professionnel et vos informations d’identification d’authentification Azure pour donner à Power BI l’accès à votre instance Azure.
Ensuite, sélectionnez un style de graphique de rapport pour représenter vos données comme vous le souhaitez. La capture d’écran suivante en donne un exemple :
Après avoir créé le rapport comme vous le souhaitez, vous pouvez sélectionner Publier sur le web pour le publier dans votre espace de travail cloud Azure Power BI. De là, vous pouvez également afficher le rapport sur d’autres pages web.