Создание книги Microsoft Sentinel
Помимо использования встроенных шаблонов для создания настраиваемой книги, можно создавать пользовательские книги с нуля, чтобы создавать интерактивные отчеты, содержащие тексты, аналитические запросы, метрики и параметры.
Создание пользовательской книги
Вы можете создать пользовательскую книгу на странице книг в Microsoft Sentinel. Нажмите кнопку +Добавить книгу на панели заголовков. Откроется страница Новая книга, содержащая для начала базовый запрос аналитики.
Совет
Портал Azure сохраняет каждую книгу, созданную в качестве ресурса книги, в группе ресурсов Microsoft Sentinel.
Чтобы начать создание книги на странице "Новая книга ", нажмите кнопку "Изменить". Затем выберите параметр "Изменить ", чтобы изменить текст, отображаемый в новом шаблоне книги.
Каждая книга предоставляет широкий набор возможностей для визуализации данных о безопасности, собираемых из соединителей. Для разработки книги можно использовать следующие типы визуализации и элементы:
- Text
- Query
- Параметры
- Ссылки или вкладки
- Metric
Выбрав + Добавить, можно добавить в книгу новый элемент, как показано на следующем снимке экрана.
Визуализации текста
Для интерпретации данных безопасности, заголовков разделов, данных телеметрии и других сведений можно использовать текстовые блоки. Текст можно изменить с помощью языка разметки Markdown, который предоставляет различные параметры форматирования для заголовков, стилей шрифтов, гиперссылок и таблиц.
Примечание.
Markdown — это язык разметки, который можно использовать для форматирования текста в документах обычного текста. Дополнительные сведения о форматировании текста с помощью элементов управления Markdown см. в руководствах по Markdown, доступных в Интернете.
После добавления текста выберите вкладку "Предварительный просмотр" , чтобы просмотреть, как будет отображаться содержимое. После завершения редактирования текста выберите параметр "Готово редактирование ".
Элемент запроса
Можно создать другой запрос из журналов и визуализировать данные в виде текста, диаграмм или сеток. Запрос можно написать с помощью KQL. Затем отформатируйте данные с помощью различных визуализаций, включая:
- Сетки (или таблицы)
- Диаграммы с областями
- Линейчатые диаграммы
- Графики
- Круговая диаграмма
- Точечная диаграмма
- Диаграммы времени
- Плитки
При создании запроса Microsoft Sentinel добавляет новый шаг запуска запроса в книгу, как показано на следующем снимке экрана:
На панели заголовков есть несколько полей, которые предоставляют параметры для настройки выходных данных запроса.
| Имя | Описание |
|---|---|
| Выполнить запрос | Используйте этот параметр для проверки результата запроса. |
| Примеры | Корпорация Майкрософт предоставляет пример кода, содержащий примеры запросов, которые можно добавить в книгу. |
| Источник данных | Используйте этот параметр, чтобы указать источник данных для запроса. |
| Тип ресурса | Используйте этот параметр, чтобы выбрать тип ресурса. |
| Рабочая область Log Analytics | Используйте этот параметр, если требуется запросить данные из нескольких ресурсов. |
| Диапазон времени | Используйте этот параметр, чтобы указать параметр диапазона времени для использования в запросе. |
| Визуализация | Используйте этот параметр, чтобы выбрать конкретную визуализацию или выберите Задается запросом для представления данных в другом формате. |
| Размер | Используйте этот параметр, чтобы выбрать размер элемента визуализации. |
На вкладке "Дополнительные Параметры" можно настроить параметры и стили шага запроса. На вкладке "Дополнительное Параметры" можно изменить свойства. Например, можно ввести заголовок диаграммы, как показано на следующем снимках экрана.
Для настройки полей и элемента заполнения этапа можно использовать вкладку Стиль. После настройки параметров и стилей не забудьте сохранить шаг, нажав кнопку "Готово редактирование".
Визуализации диаграмм
При создании запроса для представления данных безопасности в виде диаграмм можно настроить следующие параметры:
- Height
- Width
- Палитра цветов
- Условные обозначения
- Titles
- Типы и ряды осей
В следующем примере подсчитываются все оповещения системы безопасности, а результат визуализируется на круговой диаграмме.
SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart
В предыдущем примере запрос указывает тип визуализации данных. Вы также можете использовать запрос без включения параметра отрисовки. Используйте раскрывающееся меню визуализации, чтобы выбрать один из предлагаемых типов визуализаций:
Визуализации сеток
Для представления данных в таблицах можно использовать параметр визуализации сетки из раскрывающегося меню визуализации , который предоставляет расширенный пользовательский интерфейс для отчетов. При необходимости можно выбрать параметр "Столбец Параметры", чтобы указать, какой столбец отображается в таблице, а также предоставить метки столбцов.
На вкладке Изменить параметры столбца можно выбрать другой отрисовщик столбцов, например тепловую карту, линейчатую область и область Spark. Выбрав Пользовательское форматирование, можно задать единицы, а также параметры стиля и форматирование для числовых значений.
Параметры
С помощью параметров в интерактивной книге можно управлять результатами запроса различными способами. При нажатии кнопки "Добавить параметр" откроется страница "Новый параметр", где можно указать имя и другие входные данные, необходимые для параметра.
Поддерживается создание параметров следующих типов:
- Text. Можно ввести произвольный текст.
- Раскрывающийся список. Вы можете изменить внешний вид шага запроса, чтобы включить раскрывающееся меню, в котором можно выбрать значение из набора значений. В этом типе параметра можно ввести запрос KQL или строку JSON, чтобы указать варианты раскрывающегося списка.
- Средство выбора диапазона времени. Можно выбрать один из предварительно заполненных диапазонов времени или настраиваемый диапазон.
- Средство выбора ресурсов. Можно выбрать один или несколько ресурсов Azure.
- Средство выбора подписок. Вы можете выбрать один или несколько ресурсов подписки Azure.
- Средство выбора типов ресурсов. Можно выбрать одно или несколько значений типа ресурса Azure.
- Средство выбора расположения. Вы можете выбрать одно или несколько значений расположения Azure.
- Группа параметров. Несколько свойств можно объединить в группу.
- Вкладки.
- Многозначное значение.
Для ссылки на значения параметров в других частях книг можно использовать привязки или расширения значений.
На панели "Создать параметр" в разделе "Предварительные версии" можно просмотреть переменные, отображаемые и используемые в коде запроса.
Ссылки или вкладки
Для настройки в книге навигации с помощью вкладок, списков, абзацев или маркированных списков можно добавить этап создания ссылок или вкладок. При добавлении нового этапа создания ссылки или вкладки можно указать следующие входные данные.
- Текст перед ссылкой. Используйте этот параметр для отображения текста до выбора ссылки.
- Текст ссылки. Используйте этот параметр, чтобы указать фактический текст, отображаемый в ссылке.
- Текст после ссылки. Используйте этот параметр, чтобы указать текст, отображаемый после выбора ссылки.
- Действие. Используйте этот параметр, чтобы указать действие, выполняемое при выборе ссылки, например URL-адрес, задание значения параметра и прокрутку на шаг.
- Значение. Используйте этот параметр, чтобы указать значение для ссылки.
- Параметры. Используйте этот параметр для настройки определенных параметров на основе типа ссылки и синтаксиса параметров поддержки.
- Область контекста?. Используйте этот параметр, чтобы вместо полного представления открыть сбоку новую область контекста.
- Стиль. Используйте этот параметр для выбора между стилями Link, Button (primary) и Button (secondary).
Этапы метрик
С помощью этапов "Метрика" можно объединить результаты книги с метриками из различных ресурсов Azure. После выполнения всех пользовательских изменений в книге не забудьте сохранить книгу, нажав кнопку "Готовое редактирование".