Een nieuwe Microsoft Sentinel-werkmap maken

  • 5 minuten

Naast het gebruik van ingebouwde sjablonen om een aangepaste werkmap te maken, kunt u zelf aangepaste werkmappen maken om zeer interactieve rapporten te maken die teksten, analysequery's, metrische gegevens en parameters bevatten.

Een aangepaste werkmap maken

U kunt een aangepaste werkmap maken op de pagina Werkmappen in Microsoft Sentinel. Selecteer +Werkmap toevoegen op de koptekstbalk. De pagina Nieuwe werkmap wordt geopend, met een basisanalysequery om aan de slag te gaan.

Tip

In Azure Portal wordt elke werkmap opgeslagen die u als werkmapresource maakt in de Microsoft Sentinel-resourcegroep.

U kunt beginnen met het bouwen van uw werkmap op de pagina Nieuwe werkmap door Bewerken te selecteren. Selecteer vervolgens de optie Bewerken om de tekst te wijzigen die wordt weergegeven in de nieuwe werkmapsjabloon.

Elke werkmap biedt een uitgebreide set mogelijkheden voor het visualiseren van de beveiligingsgegevens die van de connectors zijn verzameld. U kunt uw werkmap ontwerpen met de volgende visualisatietypen en -elementen:

  • Sms verzenden
  • Query’s uitvoeren
  • Parameters
  • Koppelingen/tabbladen
  • Metric

U kunt een nieuw element aan uw werkmap toevoegen door +Toevoegen te selecteren, zoals u in de volgende schermopname ziet.

Screenshot of adding a new step in the workbook.

Tekstvisualisaties

U kunt tekstblokken gebruiken om uw beveiligingsgegevens, sectiekoppen, telemetriegegevens en andere informatie te interpreteren. U kunt de tekst bewerken met behulp van de Markdown-markeertaal, die verschillende opmaakopties biedt voor koppen, lettertypestijlen, hyperlinks en tabellen.

Notitie

Markdown is een opmaaktaal die u kunt gebruiken om tekst in documenten zonder opmaak op te maken. Raadpleeg de Markdown-handleidingen die online beschikbaar zijn voor meer informatie over het opmaken van tekst met behulp van Markdown-besturingselementen.

Nadat u de tekst hebt toegevoegd, selecteert u het tabblad Voorbeeld om een voorbeeld te bekijken van de weergave van uw inhoud. Wanneer u klaar bent met het bewerken van de tekst, selecteert u de optie Klaar met bewerken .

Queryitem

U kunt een andere query maken op basis van de logboeken en de gegevens visualiseren als tekst, grafieken of rasters. U kunt de query schrijven met behulp van KQL. Maak vervolgens de gegevens op met behulp van verschillende visualisaties, waaronder:

  • Rasters (of tabellen)
  • Vlakdiagrammen
  • Staafdiagrammen
  • Lijndiagrammen
  • Cirkeldiagrammen
  • Spreidingsdiagrammen
  • Tijddiagrammen
  • Tegels

Wanneer u een query maakt, voegt Microsoft Sentinel een nieuwe querystap toe aan de werkmap, zoals in de volgende schermopname wordt weergegeven:

Screenshot of the Query visualization step, with the Done editing button called out.

Op de koptekstbalk zijn er verschillende velden die u opties bieden om de uitvoer van de query af te stemmen.

Name Beschrijving
Query uitvoeren Gebruik deze optie om het resultaat van de query te testen.
Voorbeelden Microsoft biedt voorbeeldcode met voorbeeldquery's die u aan de werkmap kunt toevoegen.
Gegevensbron Gebruik deze optie om de gegevensbron voor de query op te geven.
Resourcetype Gebruik deze optie om het type resource te selecteren.
Log Analytics-werkruimte Gebruik deze optie als u een query wilt uitvoeren op gegevens op meer dan één resource.
Tijdsbereik Gebruik deze optie om een tijdsbereikparameter op te geven om in de query te gebruiken.
Visualisatie Gebruik deze optie om een specifieke visualisatie te kiezen of kies Instellen per query om de gegevens in een andere indeling weer te geven.
Tekengrootte Gebruik deze optie om de grootte van het visualisatie-element te kiezen.

Op het tabblad Geavanceerd Instellingen kunt u meer aanpassingen opgeven voor de instellingen en de stijlen van uw querystap. Op het tabblad Geavanceerd Instellingen kunt u eigenschappen wijzigen. U kunt bijvoorbeeld de grafiektitel invoeren, zoals in de volgende schermopname wordt weergegeven.

Screenshot of the Advanced settings tab, with the chart title.

U kunt het tabblad Stijl gebruiken om de marge en het opvullingselement in de stap aan te passen. Nadat u klaar bent met het aanpassen van de instellingen en stijlen, moet u de stap opslaan door Gereed bewerken te selecteren.

Grafiekvisualisaties

Wanneer u een query maakt om de beveiligingsgegevens weer te geven als grafieken, kunt u het volgende aanpassen:

  • Hoogte
  • Width
  • Kleurenpalet
  • Legenda
  • Titels
  • Astypen en reeksen

In het volgende voorbeeld worden alle beveiligingswaarschuwingen meegerekend en gevisualiseerd in een cirkeldiagram.


SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart

In het vorige voorbeeld geeft de query het visualisatietype voor de gegevens aan. U kunt de query ook gebruiken zonder de renderparameter op te geven. Gebruik de vervolgkeuzelijst Visualisatie om een van de aangeboden typen visualisaties te selecteren:

Screenshot of the Visualization dropdown menu options.

Rastervisualisaties

U kunt de optie Rastervisualisatie in het vervolgkeuzemenu Visualisatie gebruiken om gegevens in tabellen weer te geven. Dit biedt een verrijkte gebruikersinterface voor de rapporten. U kunt de optie Kolom Instellingen selecteren om op te geven welke kolom in de tabel wordt weergegeven en om indien nodig kolomlabels op te geven.

Op het tabblad Kolominstellingen bewerken kunt u een andere kolomweergave selecteren zoals heatmap, staaf en stergebied. Als u Aangepaste opmaak selecteert, kunt u eenheden, de stijl en opmaakopties voor getalwaarden instellen.

Parameters

U kunt parameters in uw interactieve werkmap gebruiken om de resultaten van de query op verschillende manieren te bewerken. Wanneer u Parameter toevoegen selecteert, wordt een pagina Nieuwe parameter geopend, waar u de naam en andere invoer kunt opgeven die vereist zijn voor de parameter.

U kunt de volgende parametertypen maken:

  • Tekst. U kunt willekeurige tekst invoeren.
  • Vervolgkeuzelijst. U kunt het uiterlijk van een querystap wijzigen om een vervolgkeuzelijst op te nemen waarin u een waarde uit een set waarden kunt selecteren. In dit parametertype kunt u een KQL-query of een JSON-tekenreeks invoeren om de keuzen voor de vervolgkeuzelijst op te geven.
  • Tijdsbereikkiezer. U kunt een van de vooraf ingevulde tijdsbereiken of een aangepast bereik selecteren.
  • Resourcekiezer. U kunt een of meer Azure-resources selecteren.
  • Abonnementskiezer. U kunt een of meer Azure-abonnementsresources selecteren.
  • Resourcetypekiezer. U kunt een of meer Azure-resourcetypewaarden selecteren.
  • Locatiekiezer. U kunt een of meer Azure-locatiewaarden selecteren.
  • Groep Opties. U kunt meerdere eigenschappen in één groep groeperen.
  • Tabbladen.
  • Meerdere waarden.

U kunt naar parameterwaarden in andere delen van de werkmappen verwijzen door bindingen te gebruiken of door waarde-uitbreidingen te gebruiken.

In het deelvenster Nieuwe parameter in de sectie Previews kunt u de variabelen bekijken die worden weergegeven en worden gebruikt in de querycode.

Koppelingen/tabbladen

U kunt de stap Koppelingen/tabbladen toevoegen om de navigatie in de werkmap aan te passen met tabbladen, lijsten, paragrafen of lijsten met opsommingstekens. U kunt de volgende invoerelementen opgeven tijdens het toevoegen van een nieuwe Koppelingen/tabbladen-stap:

  • Tekst voor koppeling. Gebruik deze optie om de tekst weer te geven voordat de koppeling wordt geselecteerd.
  • Koppelingstekst. Gebruik deze optie om de daadwerkelijke tekst op te geven die in de koppeling wordt weergegeven.
  • Tekst na koppeling. Gebruik deze optie om de tekst aan te geven die wordt weergegeven nadat de koppeling wordt geselecteerd.
  • Actie. Gebruik deze optie om de actie op te geven die wordt uitgevoerd wanneer u de koppeling selecteert, zoals URL, Een parameterwaarde instellen en naar een stap schuiven.
  • Waarde. Gebruik deze optie om een waarde voor de koppeling aan te geven.
  • Instellingen. Gebruik deze optie om specifieke instellingen te configureren op basis van het koppelingstype en de syntaxis van de ondersteuningsparameters.
  • Contextvenster?. Gebruik deze optie om een nieuw contextvenster aan de zijkant te openen in plaats van een volledige weergave.
  • Stijl. Gebruik deze optie om te selecteren tussen de stijlen Koppeling, Knop (primair) en Knop (secundair).

Metrische stappen

U kunt metrische stappen gebruiken om de resultaten van de werkmap te combineren met metrische gegevens op basis van verschillende Azure-resources. Nadat u klaar bent met het aanbrengen van al uw aangepaste wijzigingen in uw werkmap, moet u de werkmap opslaan door Gereed bewerken te selecteren.

Test uw kennis

1.

Welke opmaak gebruikt Microsoft Sentinel om de tekst in de werkmap op te maken met tekstvisualisatie?

2.

Een beheerder maakt een aangepaste werkmap en wil de gegevens in een tabel weergeven. Welke visualisatiestappen moet de beheerder gebruiken in de werkmap?