Создание книги Microsoft Sentinel

5 мин

Помимо использования встроенных шаблонов для создания настраиваемой книги, можно создавать пользовательские книги с нуля, чтобы создавать интерактивные отчеты, содержащие тексты, аналитические запросы, метрики и параметры.

Создание пользовательской книги

Вы можете создать пользовательскую книгу на странице книг в Microsoft Sentinel. Нажмите кнопку +Добавить книгу на панели заголовков. Откроется страница Новая книга, содержащая для начала базовый запрос аналитики.

Совет

Портал Azure сохраняет каждую книгу, созданную в качестве ресурса книги, в группе ресурсов Microsoft Sentinel.

Чтобы начать создание книги на странице "Новая книга ", нажмите кнопку "Изменить". Затем выберите параметр "Изменить ", чтобы изменить текст, отображаемый в новом шаблоне книги.

Каждая книга предоставляет широкий набор возможностей для визуализации данных о безопасности, собираемых из соединителей. Для разработки книги можно использовать следующие типы визуализации и элементы:

Text
Query
Параметры
Ссылки или вкладки
Metric

Выбрав + Добавить, можно добавить в книгу новый элемент, как показано на следующем снимке экрана.

Screenshot of adding a new step in the workbook.

Визуализации текста

Для интерпретации данных безопасности, заголовков разделов, данных телеметрии и других сведений можно использовать текстовые блоки. Текст можно изменить с помощью языка разметки Markdown, который предоставляет различные параметры форматирования для заголовков, стилей шрифтов, гиперссылок и таблиц.

Примечание.

Markdown — это язык разметки, который можно использовать для форматирования текста в документах обычного текста. Дополнительные сведения о форматировании текста с помощью элементов управления Markdown см. в руководствах по Markdown, доступных в Интернете.

После добавления текста выберите вкладку "Предварительный просмотр" , чтобы просмотреть, как будет отображаться содержимое. После завершения редактирования текста выберите параметр "Готово редактирование ".

Элемент запроса

Можно создать другой запрос из журналов и визуализировать данные в виде текста, диаграмм или сеток. Запрос можно написать с помощью KQL. Затем отформатируйте данные с помощью различных визуализаций, включая:

Сетки (или таблицы)
Диаграммы с областями
Линейчатые диаграммы
Графики
Круговая диаграмма
Точечная диаграмма
Диаграммы времени
Плитки

При создании запроса Microsoft Sentinel добавляет новый шаг запуска запроса в книгу, как показано на следующем снимке экрана:

Screenshot of the Query visualization step, with the Done editing button called out.

На панели заголовков есть несколько полей, которые предоставляют параметры для настройки выходных данных запроса.

Имя	Описание
Выполнить запрос	Используйте этот параметр для проверки результата запроса.
Примеры	Корпорация Майкрософт предоставляет пример кода, содержащий примеры запросов, которые можно добавить в книгу.
Источник данных	Используйте этот параметр, чтобы указать источник данных для запроса.
Тип ресурса	Используйте этот параметр, чтобы выбрать тип ресурса.
Рабочая область Log Analytics	Используйте этот параметр, если требуется запросить данные из нескольких ресурсов.
Диапазон времени	Используйте этот параметр, чтобы указать параметр диапазона времени для использования в запросе.
Визуализация	Используйте этот параметр, чтобы выбрать конкретную визуализацию или выберите Задается запросом для представления данных в другом формате.
Размер	Используйте этот параметр, чтобы выбрать размер элемента визуализации.

На вкладке "Дополнительные Параметры" можно настроить параметры и стили шага запроса. На вкладке "Дополнительное Параметры" можно изменить свойства. Например, можно ввести заголовок диаграммы, как показано на следующем снимках экрана.

Screenshot of the Advanced settings tab, with the chart title.

Для настройки полей и элемента заполнения этапа можно использовать вкладку Стиль. После настройки параметров и стилей не забудьте сохранить шаг, нажав кнопку "Готово редактирование".

Визуализации диаграмм

При создании запроса для представления данных безопасности в виде диаграмм можно настроить следующие параметры:

Height
Width
Палитра цветов
Условные обозначения
Titles
Типы и ряды осей

В следующем примере подсчитываются все оповещения системы безопасности, а результат визуализируется на круговой диаграмме.


SecurityAlert
| where TimeGenerated \&gt;= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart

В предыдущем примере запрос указывает тип визуализации данных. Вы также можете использовать запрос без включения параметра отрисовки. Используйте раскрывающееся меню визуализации, чтобы выбрать один из предлагаемых типов визуализаций:

Визуализации сеток

Для представления данных в таблицах можно использовать параметр визуализации сетки из раскрывающегося меню визуализации , который предоставляет расширенный пользовательский интерфейс для отчетов. При необходимости можно выбрать параметр "Столбец Параметры", чтобы указать, какой столбец отображается в таблице, а также предоставить метки столбцов.

На вкладке Изменить параметры столбца можно выбрать другой отрисовщик столбцов, например тепловую карту, линейчатую область и область Spark. Выбрав Пользовательское форматирование, можно задать единицы, а также параметры стиля и форматирование для числовых значений.

Параметры

С помощью параметров в интерактивной книге можно управлять результатами запроса различными способами. При нажатии кнопки "Добавить параметр" откроется страница "Новый параметр", где можно указать имя и другие входные данные, необходимые для параметра.

Поддерживается создание параметров следующих типов:

Text. Можно ввести произвольный текст.
Раскрывающийся список. Вы можете изменить внешний вид шага запроса, чтобы включить раскрывающееся меню, в котором можно выбрать значение из набора значений. В этом типе параметра можно ввести запрос KQL или строку JSON, чтобы указать варианты раскрывающегося списка.
Средство выбора диапазона времени. Можно выбрать один из предварительно заполненных диапазонов времени или настраиваемый диапазон.
Средство выбора ресурсов. Можно выбрать один или несколько ресурсов Azure.
Средство выбора подписок. Вы можете выбрать один или несколько ресурсов подписки Azure.
Средство выбора типов ресурсов. Можно выбрать одно или несколько значений типа ресурса Azure.
Средство выбора расположения. Вы можете выбрать одно или несколько значений расположения Azure.
Группа параметров. Несколько свойств можно объединить в группу.
Вкладки.
Многозначное значение.

Для ссылки на значения параметров в других частях книг можно использовать привязки или расширения значений.

На панели "Создать параметр" в разделе "Предварительные версии" можно просмотреть переменные, отображаемые и используемые в коде запроса.

Ссылки или вкладки

Для настройки в книге навигации с помощью вкладок, списков, абзацев или маркированных списков можно добавить этап создания ссылок или вкладок. При добавлении нового этапа создания ссылки или вкладки можно указать следующие входные данные.

Текст перед ссылкой. Используйте этот параметр для отображения текста до выбора ссылки.
Текст ссылки. Используйте этот параметр, чтобы указать фактический текст, отображаемый в ссылке.
Текст после ссылки. Используйте этот параметр, чтобы указать текст, отображаемый после выбора ссылки.
Действие. Используйте этот параметр, чтобы указать действие, выполняемое при выборе ссылки, например URL-адрес, задание значения параметра и прокрутку на шаг.
Значение. Используйте этот параметр, чтобы указать значение для ссылки.
Параметры. Используйте этот параметр для настройки определенных параметров на основе типа ссылки и синтаксиса параметров поддержки.
Область контекста?. Используйте этот параметр, чтобы вместо полного представления открыть сбоку новую область контекста.
Стиль. Используйте этот параметр для выбора между стилями Link, Button (primary) и Button (secondary).

Этапы метрик

С помощью этапов "Метрика" можно объединить результаты книги с метриками из различных ресурсов Azure. После выполнения всех пользовательских изменений в книге не забудьте сохранить книгу, нажав кнопку "Готовое редактирование".