Konwertowanie pulpitów nawigacyjnych na skoroszyty platformy Azure

• Dotyczy:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Konwertowanie pulpitów nawigacyjnych z istniejącego rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) na skoroszyt platformy Azure dla usługi Microsoft Sentinel. Skoroszyty platformy Azure zapewniają wszechstronność tworzenia niestandardowych pulpitów nawigacyjnych dla usługi Microsoft Sentinel. W tym artykule opisano sposób przeglądania, planowania i konwertowania bieżących pulpitów nawigacyjnych na skoroszyty platformy Azure.

Przeglądanie pulpitów nawigacyjnych w bieżącym rozwiązaniu SIEM

Podczas projektowania migracji należy wziąć pod uwagę następujące kroki.

• Analizowanie pulpitów nawigacyjnych. Zbierz informacje o pulpitach nawigacyjnych, w tym informacje o projekcie, parametrach, źródłach danych i innych szczegółach. Zidentyfikuj cel lub użycie każdego pulpitu nawigacyjnego.
• Bądź selektywny. Nie należy migrować wszystkich pulpitów nawigacyjnych bez uwzględnienia. Skoncentruj się na pulpitach nawigacyjnych, które są krytyczne i używane regularnie.
• Rozważ uprawnienia. Zastanów się, kto jest docelowymi użytkownikami skoroszytów. Skoroszyty platformy Azure używają kontroli dostępu opartej na rolach platformy Azure (Azure RBAC). Aby uzyskać więcej informacji, zobacz Ocena kontroli w skoroszytach platformy Azure. Aby tworzyć pulpity nawigacyjne spoza platformy Azure, na przykład dla kadry kierowniczej biznesowej bez dostępu do platformy Azure, użyj narzędzia do raportowania, takiego jak power BI.

Przygotowanie do konwersji pulpitu nawigacyjnego

Po przejrzeniu pulpitów nawigacyjnych wykonaj następujące zadania, aby przygotować się do migracji pulpitu nawigacyjnego:

• Przejrzyj wszystkie wizualizacje na każdym pulpicie nawigacyjnym. Pulpity nawigacyjne w bieżącym rozwiązaniu SIEM mogą zawierać kilka wykresów lub paneli. Ważne jest przejrzenie zawartości krótko wymienionych pulpitów nawigacyjnych w celu wyeliminowania niepożądanych wizualizacji lub danych.

• Przechwyć projekt pulpitu nawigacyjnego i interakcyjność.

• Zidentyfikuj wszystkie elementy projektu, które są ważne dla użytkowników. Na przykład układ pulpitu nawigacyjnego, rozmieszczenie wykresów, a nawet rozmiar czcionki lub kolor wykresów.

• Przechwyć wszelkie interakcje, takie jak przechodzenie do szczegółów, filtrowanie i inne, które należy przenieść do skoroszytów platformy Azure.

• Zidentyfikuj wymagane parametry lub dane wejściowe użytkownika. W większości przypadków należy zdefiniować parametry dla użytkowników w celu przeprowadzania wyszukiwania, filtrowania lub określania zakresu wyników (na przykład zakresu dat, nazwy konta i innych). W związku z tym kluczowe jest przechwycenie szczegółów dotyczących parametrów. Poniżej przedstawiono niektóre kluczowe wymagania dotyczące parametrów do zebrania:

  • Typ parametru dla użytkowników do wykonania wyboru lub danych wejściowych. Na przykład zakres dat, tekst lub inne.
  • Sposób przedstawiania parametrów, takich jak lista rozwijana, pole tekstowe lub inne.
  • Oczekiwany format wartości, na przykład czas, ciąg, liczba całkowita lub inne.
  • Inne właściwości, takie jak wartość domyślna, zezwalają na wybór wielokrotny, widoczność warunkową lub inne.

Konwertowanie pulpitów nawigacyjnych

Aby przekonwertować pulpit nawigacyjny, wykonaj następujące zadania w skoroszytach platformy Azure i usłudze Microsoft Sentinel.

1. Identyfikowanie źródeł danych

Skoroszyty platformy Azure są zgodne z dużą liczbą źródeł danych. Aby uzyskać więcej informacji, zobacz Źródła danych skoroszytów platformy Azure. W większości przypadków użyj źródła danych dzienników usługi Azure Monitor i zapytań język zapytań Kusto (KQL), aby zwizualizować bazowe dzienniki w obszarze roboczym usługi Microsoft Sentinel.

2. Konstruowanie lub przeglądanie zapytań KQL

W tym kroku pracujesz głównie z językiem KQL w celu wizualizacji danych. Zapytania można skonstruować i przetestować w usłudze Microsoft Sentinel przed przekonwertowaniem ich na skoroszyty platformy Azure. Aby przetestować zapytania z usługi Microsoft Sentinel w witrynie Azure Portal, przejdź do pozycji Dzienniki. W usłudze Microsoft Sentinel w portalu usługi Defender przejdź do pozycji Badanie i wyszukiwanie odpowiedzi>>Zaawansowane wyszukiwanie zagrożeń.

Przed sfinalizowaniem zapytań języka KQL należy zawsze przeglądać i dostosowywać zapytania, aby zwiększyć wydajność zapytań. Zoptymalizowane zapytania:

• Uruchom szybciej, zmniejsz całkowity czas trwania wykonywania zapytania.
• Mają mniejsze szanse na ograniczenie lub odrzucenie.

Aby uzyskać więcej informacji, zobacz następujące zasoby:

• Najlepsze rozwiązania dotyczące zapytań języka KQL
• Optymalizowanie zapytań w dziennikach usługi Azure Monitor
• Optymalizowanie wydajności KQL (seminarium internetowe)

3. Tworzenie lub aktualizowanie skoroszytu

Utwórz skoroszyt, zaktualizuj skoroszyt lub sklonuj istniejący skoroszyt, aby nie trzeba było rozpoczynać od podstaw. Ponadto określ sposób przedstawiania, rozmieszczania i grupowania danych lub wizualizacji. Istnieją dwa typowe projekty:

• Skoroszyt pionowy
• Skoroszyt z kartami

Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel
• Dodawanie grup w skoroszytach platformy Azure

4. Tworzenie lub aktualizowanie parametrów skoroszytu lub danych wejściowych użytkownika

Po nadejściu tego etapu zidentyfikowano wymagane parametry skoroszytu. Za pomocą parametrów można zbierać dane wejściowe od odbiorców i odwoływać się do danych wejściowych w innych częściach skoroszytu. Te dane wejściowe są zwykle używane do określania zakresu zestawu wyników, ustawiania poprawnej wizualizacji i umożliwia tworzenie interaktywnych raportów i środowisk.

Skoroszyty umożliwiają kontrolowanie sposobu prezentowania kontrolek parametrów użytkownikom. Możesz na przykład wybrać, czy kontrolki są wyświetlane jako pole tekstowe, czy lista rozwijana, czy pojedyncza, czy wielokrotna. Możesz również wybrać, które wartości mają być używane, z tekstu, formatu JSON, KQL lub usługi Azure Resource Graph i nie tylko.

Przejrzyj obsługiwane parametry skoroszytu. Można odwoływać się do tych wartości parametrów w innych częściach skoroszytów za pośrednictwem powiązań lub rozszerzeń wartości.

5. Tworzenie lub aktualizowanie wizualizacji

Skoroszyty udostępniają bogaty zestaw możliwości wizualizacji danych. Przejrzyj te szczegółowe przykłady każdego typu wizualizacji.

• Tekst
• Wykresy
• Siatki
• Płytki
• Drzew
• Wykresy
• Mapa
• Grzebienie miodowe
• Pasek złożony

6. Podgląd i zapisywanie skoroszytu

Po zapisaniu skoroszytu określ parametry i zweryfikuj wyniki. Możesz również wypróbować automatyczne odświeżanie lub funkcję drukowania, aby zapisać ją jako plik PDF.

Następne kroki

W tym artykule przedstawiono sposób konwertowania pulpitów nawigacyjnych na skoroszyty platformy Azure.

Aktualizowanie procesów SOC