Преобразование панелей мониторинга в книги Azure
Преобразуйте панели мониторинга из существующего решения по управлению безопасностью и событиями (SIEM) в книгу Azure для Microsoft Sentinel. Книги Azure обеспечивают универсальность создания пользовательских панелей мониторинга для Microsoft Sentinel. В этой статье описывается, как просматривать, планировать и преобразовывать текущие панели мониторинга в книги Azure.
Просмотр панелей мониторинга в текущем SIEM
При разработке миграции рассмотрите следующие действия.
- Анализ панелей мониторинга. Сбор сведений о панелях мониторинга, включая проектирование, параметры, источники данных и другие сведения. Определите назначение или использование каждой панели мониторинга.
- Будьте выборочными. Не переносите все панели мониторинга без рассмотрения. Сосредоточьтесь на панелях мониторинга, которые являются критически важными и регулярно используемыми.
- Рассмотрение разрешений. Рассмотрим, кто является целевым пользователем книг. Книги Azure используют управление доступом на основе ролей Azure (Azure RBAC). Дополнительные сведения см. в статье "Оценка управления" в книгах Azure. Чтобы создать панели мониторинга за пределами Azure, например для руководителей бизнеса без доступа к Azure, используйте средство создания отчетов, например Power BI.
Подготовка к преобразованию панели мониторинга
После просмотра панелей мониторинга выполните следующие задачи, чтобы подготовиться к миграции панели мониторинга:
Просмотрите все визуализации на каждой панели мониторинга. Панели мониторинга в текущем SIEM могут содержать несколько диаграмм или панелей. Важно просмотреть содержимое отобранных панелей мониторинга, чтобы исключить ненужные визуализации или данные.
Зафиксируйте структуру панели мониторинга и интерактивность.
Определите все элементы конструктора, важные для пользователей. Например, макет панели мониторинга, расположение диаграмм или даже размер шрифта или цвет графов.
Захватить любые интерактивные действия, такие как детализация, фильтрация и другие, которые необходимо перенести в книги Azure.
Определите необходимые параметры или входные данные пользователя. В большинстве случаев необходимо определить параметры для пользователей с целью выполнения поиска, фильтрации или определения области результатов (например, диапазон дат, имя учетной записи и прочее). Таким образом, важно записать подробные сведения о параметрах. Ниже приведены некоторые ключевые требования к параметру для сбора:
- Тип параметра, который пользователи должны выбирать или вводить. Например, диапазон дат, текст или другие.
- Способ представления параметров, таких как раскрывающийся список, текстовое поле или другие.
- Ожидаемый формат значения, например время, строка, целое число или др.
- Другие свойства, такие как значение по умолчанию, разрешают множественное выделение, условную видимость или другие.
Преобразование панелей мониторинга
Чтобы преобразовать панель мониторинга, выполните следующие задачи в книгах Azure и Microsoft Sentinel.
1. Определение источников данных
Книги Azure совместимы с большим количеством источников данных. Дополнительные сведения см. в статье "Источники данных книг Azure". В большинстве случаев используйте источник данных azure Monitor и запросы язык запросов Kusto (KQL) для визуализации базовых журналов в рабочей области Microsoft Sentinel.
2. Создание или проверка запросов KQL
На этом шаге вы в основном работаете с KQL для визуализации данных. Вы можете создавать и тестировать запросы в Microsoft Sentinel перед их преобразованием в книги Azure. Чтобы протестировать запросы из Microsoft Sentinel в портал Azure, перейдите в журналы. На портале Defender перейдите на портал Microsoft Sentinel и перейдите на страницу "Расследование и ответ>Охота>расширенной охоты".
Перед завершением запросов KQL всегда просматривайте и настраивайте запросы для повышения производительности запросов. Оптимизированные запросы:
- выполняются быстрее, позволяют сократить общую длительность выполнения запроса.
- имеют меньшую вероятность столкнуться с проблемой регулирования или отклонения.
Дополнительные сведения см. на следующих ресурсах:
- Рекомендации по запросам KQL
- Управление запросами в журналах Azure Monitor
- Оптимизация производительности KQL (вебинар)
3. Создание или изменение книги
Создайте книгу, обновите ее или клонируйте существующую книгу, чтобы вам не нужно было начинать с нуля. Кроме того, укажите, как представляются данные или визуализации, упорядочивается и группируется. Есть два распространенных дизайна:
- Вертикальная книга
- Книга с вкладками
Дополнительные сведения см. в следующих статьях:
4. Создание или обновление параметров книги или входных данных пользователя
По истечении этого этапа вы определили необходимые параметры для книги. С помощью параметров можно собирать входные данные от потребителей и ссылаться на входные данные в других частях книги. Эти входные данные обычно используются для определения области набора результатов, установки правильной визуализации и позволяют создавать интерактивные отчеты и функциональные возможности.
Книги позволяют вам управлять тем, как ваши элементы управления параметрами представлены потребителям. Например, вы выбираете, представлены ли элементы управления в виде текстового поля и раскрывающегося списка, или одноэлементного и множественного выбора. Вы также можете выбрать, какие значения следует использовать из текста, JSON, KQL или Azure Resource Graph и т. д.
Просмотрите поддерживаемые параметры книги. Вы можете ссылаться на эти значения параметров в других частях книг посредством привязок или расширений значений.
5. Создание или обновление визуализаций
Книги предоставляют широкий набор возможностей для визуализации данных. Просмотрите эти подробные примеры каждого типа визуализации.
6. Предварительный просмотр и сохранение книги
После сохранения книги укажите параметры и проверьте результаты. Вы также можете попробовать автоматическое обновление или функцию печати, чтобы сохранить в формате PDF.
Следующие шаги
Из этой статьи вы узнали, как преобразовать панели мониторинга в книги Azure.