Convertire i dashboard in Cartelle di lavoro di Azure

• Si applica a:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Convertire i dashboard dalla soluzione SIEM (Security Information and Event Management) esistente in una cartella di lavoro di Azure per Microsoft Sentinel. Le cartelle di lavoro di Azure offrono versatilità per creare dashboard personalizzati per Microsoft Sentinel. Questo articolo descrive come esaminare, pianificare e convertire i dashboard correnti in Cartelle di lavoro di Azure.

Esaminare i dashboard nel sistema SIEM corrente

Quando si pianifica la migrazione, tenere presenti i passaggi seguenti.

• Analizzare i dashboard. Raccogliere informazioni sui dashboard, tra cui progettazione, parametri, origini dati e altri dettagli. Identificare lo scopo o l'utilizzo di ogni dashboard.
• Selezionare con attenzione. Non eseguire la migrazione di tutti i dashboard senza un'attenta valutazione. Concentrarsi sui dashboard critici e usati regolarmente.
• Considerare le autorizzazioni. Tenere presenti gli utenti di destinazione per le cartelle di lavoro. Le cartelle di lavoro di Azure usano il controllo degli accessi in base al ruolo di Azure. Per altre informazioni, vedere Valutare il controllo nelle cartelle di lavoro di Azure. Per creare dashboard all'esterno di Azure, ad esempio per i dirigenti aziendali senza accesso ad Azure, usare uno strumento di creazione di report come Power BI.

Preparare la conversione dei dashboard

Dopo aver esaminato i dashboard, completare le attività seguenti per preparare la migrazione:

• Esaminare tutte le visualizzazioni in ogni dashboard. I dashboard nel sistema SIEM corrente potrebbero contenere diversi grafici o pannelli. È fondamentale esaminare il contenuto dei dashboard selezionati per eliminare eventuali visualizzazioni o dati indesiderati.

• Acquisire informazioni sul design e sull'interattività dei dashboard.

• Identificare tutti gli elementi di design importanti per gli utenti. Ad esempio, il layout del dashboard, la disposizione dei grafici o anche la dimensione o il colore del carattere dei grafi.

• Acquisire informazioni sull'interattività, ad esempio drill-down, filtro e altri elementi da spostare in Cartelle di lavoro di Azure.

• Identificare i parametri obbligatori o gli input dell'utente. Nella maggior parte dei casi, è necessario definire i parametri per consentire agli utenti di eseguire ricerche, filtrare o definire l'ambito dei risultati, ad esempio intervallo di date, nome account e altro ancora. Di conseguenza, è fondamentale acquisire i dettagli relativi ai parametri. Ecco alcuni dei principali requisiti dei parametri da raccogliere:

  • Il tipo di parametro che consente agli utenti di eseguire selezioni o immettere input, ad esempio, intervallo di date, testo o altro ancora.
  • Come vengono rappresentati i parametri, ad esempio sotto forma di elenco a discesa, casella di testo o altro ancora.
  • Il formato del valore previsto, ad esempio data/ora, stringa, intero o altro ancora.
  • Altre proprietà, ad esempio il valore predefinito, la possibilità di eseguire selezioni multiple, la visibilità condizionale o altro ancora.

Convertire i dashboard

Per convertire il dashboard, completare le attività seguenti in Cartelle di lavoro di Azure e Microsoft Sentinel.

1. Identificare le origini dati

Le cartelle di lavoro di Azure sono compatibili con un numero elevato di origini dati. Per altre informazioni, vedere origini dati di Cartelle di lavoro di Azure. Nella maggior parte dei casi, usare l'origine dati dei log di Monitoraggio di Azure e le query in Linguaggio di query Kusto (KQL) per visualizzare i log sottostanti nell'area di lavoro di Microsoft Sentinel.

2. Creare o esaminare le query KQL

In questo passaggio si lavora principalmente con KQL per visualizzare i dati. È possibile creare e testare le query in Microsoft Sentinel prima di convertirle in Cartelle di lavoro di Azure. Per testare le query da Microsoft Sentinel nel portale di Azure, passare a Log. Per Microsoft Sentinel nel portale di Defender, selezionare Indagine e risposta>Ricerca>Ricerca avanzata.

Prima di finalizzare le query KQL, esaminarle e ottimizzarle sempre per migliorare le prestazioni. Le query ottimizzate:

• Vengono eseguite più rapidamente, riducendo la durata complessiva dell'esecuzione.
• Vengono limitate o rifiutate con meno probabilità.

Per ulteriori informazioni, vedi le seguenti risorse:

• Procedure consigliate per le query KQL
• Ottimizzare le query nei log di Monitoraggio di Azure
• Ottimizzazione delle prestazioni KQL (webinar)

3. Creare o aggiornare la cartella di lavoro

Creare una cartella di lavoro, aggiornarla o clonare una cartella di lavoro esistente in modo che non sia necessario iniziare da zero. Inoltre, specificare a la modalità di rappresentazione, disposizione e raggruppamento dei dati o delle visualizzazioni. Esistono due design comuni:

• Cartella di lavoro verticale
• Cartella di lavoro a schede

Per altre informazioni, vedere gli articoli seguenti:

• Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel
• Aggiungere gruppi in Cartelle di lavoro di Azure

4. Creare o aggiornare i parametri della cartella di lavoro o gli input dell'utente

Quando si arriva in questa fase, sono già stati identificati i parametri obbligatori per la cartella di lavoro. Con i parametri è possibile raccogliere l'input dei consumer e farvi riferimento in altre parti della cartella di lavoro. Questo input viene in genere usato per definire l'ambito del set di risultati e per impostare la visualizzazione corretta, oltre a consentire di creare esperienze e report interattivi.

Le cartelle di lavoro consentono di controllare come vengono presentati i controlli dei parametri ai consumer. Ad esempio, si seleziona se i controlli vengono presentati come casella di testo o come elenco a discesa oppure se sono a selezione singola o multipla. È anche possibile selezionare i valori da usare, ad esempio testo, JSON, KQL, Azure Resource Graph e altro ancora.

Esaminare i parametri supportati dalle cartelle di lavoro. È possibile fare riferimento ai valori di questi parametri in altre parti delle cartelle di lavoro tramite associazioni o espansioni di valori.

5. Creare o aggiornare le visualizzazioni

Le cartelle di lavoro offrono un set completo di funzionalità per la visualizzazione dei dati. Esaminare questi esempi dettagliati di ogni tipo di visualizzazione.

• Text
• Grafici
• Griglie
• Titoli
• Alberi
• Grafici
• Mappa
• A nido d'ape
• Barra composita

6. Visualizzare l'anteprima della cartella di lavoro e salvarla

Dopo aver salvato la cartella di lavoro, specificare i parametri e convalidare i risultati. È anche possibile provare l'aggiornamento automatico o la funzionalità di stampa per il salvataggio come PDF.

Passaggi successivi

In questo articolo si è appreso come convertire i dashboard in cartelle di lavoro di Azure.

Aggiornare processi SOC