Exercice - Configurer un tableau de bord et ajouter un rapport

Effectué

Dans cet exercice, vous allez configurer un tableau de bord pour l’équipe de sécurité, afin qu’elle puisse voir le potentiel des journaux et alertes Azure dans la surveillance du comportement des utilisateurs. Vous allez effectuer les tâches suivantes :

  • Créer un tableau de bord de sécurité.
  • Créer une requête pour le tableau de bord.
  • Épingler des résultats de requête à votre tableau de bord.
  • Modifier ou personnaliser un élément dans votre tableau de bord.
  • Exporter un rapport vers Excel.

Notes

Cet exercice est facultatif. Si vous n’avez pas de compte Azure, vous pouvez lire les instructions suivantes afin de comprendre comment utiliser votre espace de travail Log Analytics et les tableaux de bord.

Si vous voulez effectuer cet exercice mais que vous ne disposez pas d’un abonnement Azure, ou si vous préférez ne pas utiliser votre propre compte, vous pouvez créer un compte gratuit avant de commencer.

Créer un tableau de bord de sécurité

  1. Dans le portail Azure, recherchez Tableau de bord.

  2. Sélectionnez Nouveau tableau de bord>Tableau de bord vide.

    Capture d’écran montrant comment créer un tableau de bord.

  3. Nommez le tableau de bord SecurityDashboard, puis sélectionnez Enregistrer. Pour le moment, laissez le tableau de bord vide. Dans les étapes suivantes, vous allez ajouter une requête de rapport au tableau de bord.

    Capture d’écran montrant comment enregistrer un tableau de bord.

  4. Sélectionnez Partager.

    Capture d’écran du bouton Partager.

  5. Dans le volet Partage + contrôle d'accès, vérifiez que les informations sont correctes :

    • Le nom du tableau de bord est SecurityDashboard.
    • Pour le nom de l'abonnement, conservez la valeur par défaut.
    • La case Publiez dans le groupe de ressources « tableaux de bord ». est décochée.
  6. Sélectionnez Publier pour rendre le tableau de bord vide disponible.

    Capture d’écran du volet Partage et contrôle d’accès.

Créer une requête pour le tableau de bord

Pour créer une requête pour un tableau de bord :

  1. Dans le portail Azure, sélectionnez Toutes les ressources.

  2. Sélectionnez l’espace de travail Log Analytics que vous avez créé précédemment.

  3. Sous Général, sélectionnez Journaux.

  4. Pour cet exercice, vous voulez connaître l'événement utilisateur le plus courant de la semaine dernière. Dans votre éditeur de requêtes, collez la requête suivante :

    AuditLogs
    | where TimeGenerated >= ago(7d)
    | summarize auditCount = count() by OperationName
    | sort by auditCount desc
    
  5. Dans la barre de menus, sélectionnez Exécuter pour vous assurer que la requête retourne des données.

    Capture d’écran des recherches dans les journaux.

  6. Lorsque vous êtes satisfait de disposer des données souhaitées, sélectionnez Modification terminée, puis l’icône Enregistrer dans la barre de menus.

  7. Entrez un nom descriptif, comme Événements utilisateur courants des 7 derniers jours.

  8. Sélectionnez ou entrez l’abonnement, le groupe de ressources et l’emplacement que vous souhaitez utiliser.

  9. Sélectionnez Enregistrer.

Épingler des résultats de requête à votre tableau de bord

Ensuite, épinglez les résultats de requête au tableau de bord que vous avez créé :

  1. Dans votre espace de travail Log Analytics, sous Général, sélectionnez Journaux.

  2. Dans la boîte de dialogue Requêtes , recherchez la requête que vous avez créée, puis sélectionnez Exécuter.

  3. Pour épingler des résultats de requête à un tableau de bord, dans la barre de menus, sélectionnez l’icône Épingler.

  4. Dans le volet Épingler au tableau de bord, sélectionnez les options que vous souhaitez utiliser. Par exemple, sélectionnez le tableau de bord SecurityDashboard, que vous avez créé précédemment.

  5. Sélectionnez Épingler.

    Capture d’écran de l’épinglage d’une requête.

  6. Ouvrez le tableau de bord pour afficher les résultats de votre analyse.

Modifier ou personnaliser un rapport dans votre tableau de bord

Pour modifier le titre d’un élément dans un tableau de bord, ou modifier l’affichage du tableau de bord :

  1. Dans le menu du portail Azure, sélectionnez Tableau de bord.

    Capture d’écran montrant la sélection de Tableau de bord dans le menu du portail.

  2. Si vous avez plusieurs tableaux de bord, dans le menu déroulant du tableau de bord, sélectionnez SecurityDashboard.

  3. Sur une vignette, sélectionnez les points de suspension, puis Configurer les paramètres de vignette (icône d’engrenage) dans la vignette de l’élément.

  4. Dans le volet Configurer les paramètres de vignette, remplacez le titre par Principaux événements utilisateur de la semaine dernière.

  5. Sélectionnez Appliquer.

    Capture d’écran de la modification d’un rapport dans le tableau de bord.

  6. Pour modifier le mode d’affichage d’un élément dans le tableau de bord, sélectionnez les points de suspension, puis Personnaliser (icône de crayon). Sélectionnez parmi les options pour modifier l’apparence de la vignette dans le tableau de bord, puis sélectionnez Personnalisation terminée.

    Capture d’écran de la personnalisation d’un rapport dans le tableau de bord.

  7. Sélectionnez Enregistrer.

Exporter un rapport vers Excel

Enfin, exportez le rapport vers Excel :

  1. Dans la vignette de rapport sur le tableau de bord, sélectionnez l’icône Ouvrir dans le panneau Journaux :

    Capture d’écran montrant l’icône Ouvrir dans le panneau Journaux.

  2. Dans le volet Journaux, sélectionnez Exécuter, puis Exporter>Ouvrir dans Excel.

    Capture d’écran des options de la liste déroulante Exporter.

  3. Ouvrez le fichier téléchargé, puis enregistrez-le sur votre ordinateur.