Criar uma Pasta de Trabalho do Microsoft Sentinel
Além de usar modelos internos para criar uma pasta de trabalho personalizada, você também pode criar pastas de trabalho personalizadas do zero para gerar relatórios altamente interativos contendo textos, consultas de análises, métricas e parâmetros.
Criar uma pasta de trabalho personalizada
Você pode criar uma pasta de trabalho personalizada na página Pastas de trabalho no Microsoft Sentinel. Selecione +Adicionar pasta de trabalho na barra de cabeçalho. É aberta a página Nova pasta de trabalho, que contém uma consulta de análise básica para você começar.
Dica
o portal do Azure salva cada pasta de trabalho criada como um recurso de pasta de trabalho no grupo de recursos do Microsoft Sentinel.
Você pode começar a criar uma pasta de trabalho na página Nova Pasta de Trabalho selecionando Editar. Depois, selecione a opção Editar para alterar o texto que aparece no novo modelo de workbook.
Cada pasta de trabalho fornece um conjunto avançado de funcionalidades para visualizar os dados de segurança coletados dos conectores. Você pode criar a pasta de trabalho com os seguintes tipos de visualização e elementos:
- Texto
- Consulta
- Parâmetros
- Links/guias
- Metric
Adicione um novo elemento à pasta de trabalho selecionando +Adicionar, conforme mostrado na captura de tela a seguir.
Visualizações de texto
Use blocos de texto para interpretar seus dados de segurança, títulos de seção, dados de telemetria e outras informações. Edite o texto usando a linguagem de marcação Markdown, que fornece diferentes opções de formatação para títulos, estilos de fonte, hiperlinks e tabelas.
Observação
Markdown é uma linguagem de marcação que você pode usar para formatar o texto em documentos de texto sem formatação. Para saber mais sobre como formatar texto usando controles de Markdown, confira os guias de Markdown disponíveis online.
Depois de adicionar o texto, selecione a guia Visualizar para ver como o conteúdo será exibido. Por fim, quando concluir a edição do texto, selecione a opção Edição Concluída.
Item de consulta
Você pode criar uma consulta diferente com base nos logs e visualizar os dados como texto, gráficos ou grades. Você pode escrever a consulta usando KQL. Em seguida, formate os dados usando várias visualizações, como:
- Grades (ou tabelas)
- Gráficos de área
- Gráficos de barras
- Gráficos de linhas
- Gráficos de pizza
- Gráficos de dispersão
- Gráficos de tempo
- Blocos
Quando você cria uma consulta, o Microsoft Sentinel adiciona uma nova etapa Executar Consulta à pasta de trabalho, como mostra a seguinte captura de tela:
Na barra de cabeçalho, há vários campos que fornecem opções para ajustar a saída da consulta.
| Nome | Descrição |
|---|---|
| Executar Consulta | Use esta opção para testar o resultado da consulta. |
| Exemplos | A Microsoft fornece um código de exemplo que contém consultas de exemplo que você pode adicionar à pasta de trabalho. |
| Fonte de dados | Use esta opção para especificar a fonte de dados da consulta. |
| Tipo de recurso | Use esta opção para selecionar o tipo de recurso. |
| Espaço de trabalho do Log Analytics | Use esta opção se quiser consultar dados em mais de um recurso. |
| Intervalo de tempo | Use esta opção para especificar um parâmetro de intervalo de tempo a ser usado na consulta. |
| Visualização | Use esta opção para escolher uma visualização específica ou escolha Definir por consulta para apresentar os dados em um formato diferente. |
| Tamanho | Use esta opção para escolher o tamanho do elemento de visualização. |
Na guia Configurações Avançadas, você pode fornecer mais personalização para as configurações e os estilos da etapa de consulta. Na guia Configurações Avançadas, você pode modificar as propriedades. Por exemplo, você pode inserir o Título do gráfico, como mostra a captura de tela a seguir.
Use a guia Estilo para ajustar a margem e o elemento de preenchimento na etapa. Quando terminar a personalização das configurações e dos estilos, lembre-se de salvar a etapa selecionando Edição Concluída.
Visualizações de gráfico
Quando cria uma consulta para apresentar os dados de segurança como gráficos, você pode personalizar:
- Altura
- Largura
- Paleta de cores
- Legenda
- Títulos
- Séries e tipos de eixo
O exemplo a seguir conta todos os alertas de segurança e os visualiza em um gráfico de pizza.
SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart
No exemplo anterior, a consulta indica o tipo de visualização dos dados. Você também pode usar a consulta sem incluir o parâmetro de renderização. Use o menu suspenso Visualização para selecionar um dos tipos de visualizações oferecidos:
Visualizações de grade
Use a opção de visualização Grade no menu suspenso Visualização para apresentar os dados em tabelas, fornecendo uma interface do usuário aprimorada para os relatórios. Você pode selecionar a opção Configurações de Coluna para especificar qual coluna será exibida na tabela e fornecer rótulos de coluna, se necessário.
Na guia Editar configurações de coluna, você pode selecionar um renderizador de coluna diferente, como mapa de calor, barra e área do Spark. Selecionando Formatação personalizada, você pode definir opções de unidades, estilo e formatação para valores numéricos.
Parâmetros
Você pode usar parâmetros em sua pasta de trabalho interativa para manipular os resultados da consulta de maneiras diferentes. Ao selecionar Adicionar parâmetro, uma página Novo Parâmetro é aberta para você inserir o nome e outras entradas necessárias para o parâmetro.
Você pode criar os seguintes tipos de parâmetro:
- Text. Você pode inserir texto arbitrário.
- Menu suspenso. Você pode modificar a aparência de uma etapa de consulta a fim de incluir um menu suspenso, no qual é possível selecionar um valor em um conjunto de valores. Nesse tipo de parâmetro, você pode inserir uma consulta KQL ou uma cadeia de caracteres JSON com as opções da lista suspensa.
- Seletor de intervalo de tempo. Você pode selecionar entre intervalos de tempo pré-populados ou escolher um intervalo personalizado.
- Seletor de recursos. Você pode selecionar um ou mais recursos do Azure.
- Seletor de assinatura. Você pode selecionar um ou mais recursos de assinatura do Azure.
- Seletor de tipo de recurso. Você pode selecionar um ou mais valores de tipo de recurso do Azure.
- Seletor de local. Você pode selecionar um ou mais valores de local do Azure.
- Grupo de opções. Você pode agrupar várias propriedades em um grupo.
- Guias.
- Multivalor.
Você pode referenciar valores de parâmetro em outras partes das pastas de trabalho usando associações ou expansões de valor.
Na página Novo Parâmetro, na seção Visualizações, você pode examinar as variáveis que serão exibidas e usadas no código de consulta.
Links/guias
Você pode adicionar a etapa de links/guias para personalizar a navegação na pasta de trabalho com guias, listas, parágrafos ou listas de marcadores. Você pode fornecer as seguintes entradas ao adicionar uma nova etapa de links/guias:
- Texto antes do link. Use esta opção para exibir o texto antes de o link ser selecionado.
- Texto do link. Use esta opção para especificar o texto real exibido no link.
- Texto após o link. Use esta opção para indicar o texto que é exibido depois que o link é selecionado.
- Ação. Use essa opção para especificar a ação que será executada quando você selecionar o link, como URL, Definir um valor de parâmetro e Rolar para uma etapa.
- Valor. Use esta opção para indicar um valor para o link.
- Configurações. Use essa opção para definir configurações específicas com base no tipo de link e na sintaxe dos parâmetros de suporte.
- Painel de contexto?. Use esta opção para abrir um novo painel de contexto ao lado, e não uma exibição completa.
- Estilo. Use esta opção para escolher entre os estilos Link, Botão (primário) e Botão (secundário).
Etapas de métrica
Você pode usar as etapas de métrica para combinar os resultados da pasta de trabalho com métricas de diferentes recursos do Azure. Depois de fazer todas as modificações personalizadas na pasta de trabalho, lembre-se de salvá-la selecionando Edição Concluída.