Skapa en ny Microsoft Sentinel-arbetsbok

  • 5 minuter

Förutom att använda inbyggda mallar för att skapa en anpassad arbetsbok kan du skapa anpassade arbetsböcker från grunden för att skapa mycket interaktiva rapporter som innehåller texter, analysfrågor, mått och parametrar.

Skapa en anpassad arbetsbok

Du kan skapa en anpassad arbetsbok från sidan Arbetsböcker i Microsoft Sentinel. Välj +Lägg till arbetsbok i rubrikfältet. Sidan Ny arbetsbok öppnas med en grundläggande analysfråga för att du ska komma igång.

Dricks

Azure-portalen sparar varje arbetsbok som du skapar som en arbetsboksresurs i Microsoft Sentinel-resursgruppen.

Du kan börja skapa arbetsboken på sidan Ny arbetsbok genom att välja Redigera. Välj sedan alternativet Redigera för att ändra texten som visas i den nya arbetsboksmallen.

Varje arbetsbok innehåller en omfattande uppsättning funktioner för visualisering av säkerhetsdata som samlas in från anslutningarna. Du kan utforma din arbetsbok med följande visualiseringstyper och element:

  • Text
  • Fråga
  • Parametrar
  • Länkar/flikar
  • Metric

Du kan lägga till ett nytt element i din arbetsbok genom att välja +Lägg till som visas i nedanstående skärmbild.

Screenshot of adding a new step in the workbook.

Textvisualiseringar

Du kan använda textblock för att tolka säkerhetsdata, avsnittsrubriker, telemetridata och annan information. Du kan redigera texten med Markdown-märkningsspråket, som innehåller olika formateringsalternativ för rubriker, teckensnittsformat, hyperlänkar och tabeller.

Kommentar

Markdown är ett markeringsspråk som du kan använda för att formatera text i oformaterade dokument. Mer information om hur du formaterar text med hjälp av Markdown-kontroller finns i Markdown-handböcker online.

När du har lagt till texten väljer du fliken Förhandsversion för att förhandsgranska hur innehållet visas. När du har redigerat texten väljer du alternativet Klar redigering .

Frågeobjekt

Du kan skapa en annan fråga från loggarna och visualisera datan som text, diagram eller rutnät. Du kan skriva frågan med KQL. Formatera sedan data med hjälp av olika visualiseringar, inklusive:

  • Rutnät (eller tabeller)
  • Ytdiagram
  • Stapeldiagram
  • Linjediagram
  • Cirkeldiagram
  • Punktdiagram
  • Tidsdiagram
  • Paneler

När du skapar en fråga lägger Microsoft Sentinel till ett nytt Körningsfråga-steg i arbetsboken som följande skärmbild visar:

Screenshot of the Query visualization step, with the Done editing button called out.

I rubrikfältet finns det flera fält som ger dig alternativ för att justera frågans utdata.

Name beskrivning
Köra fråga Använd det här alternativet om du vill testa resultatet av frågan.
Exempel Microsoft tillhandahåller exempelkod med exempelfrågor som du kan lägga till i arbetsboken.
Datakälla Använd det här alternativet om du vill ange datakällan för frågan.
Resurstyp Använd det här alternativet om du vill välja resurstyp.
Log Analytics-arbetsyta Använd det här alternativet om du vill fråga efter data mot fler än en resurs.
Tidsintervall Använd det här alternativet för att ange en tidsintervallparameter som ska användas i frågan.
Visualisering Använd det här alternativet om du vill välja en särskild visualisering eller välja Ange per fråga för att presentera datan i ett annat format.
Storlek Använd det här alternativet om du vill välja storlek på visualiseringselementet.

På fliken Avancerat Inställningar kan du ange mer anpassning för inställningarna och formaten för frågesteget. På fliken Avancerat Inställningar kan du ändra egenskaper. Du kan till exempel ange diagramrubriken, som följande skärmbild visar.

Screenshot of the Advanced settings tab, with the chart title.

Du kan använda fliken Format för att justera marginal- och utfyllnadselementet i steget. När du har anpassat inställningarna och formatmallarna ska du spara steget genom att välja Klar redigering.

Diagramvisualiseringar

När du skapar en fråga som ska visa säkerhetsdata som diagram, kan du anpassa:

  • Höjd
  • Width
  • Färgpalett
  • Förklaring
  • Rubriker
  • Axeltyper och serier

I följande exempel räknas alla säkerhetsaviseringar och de visualiseras i ett cirkeldiagram.


SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart

I föregående exempel anger frågan visualiseringstypen för data. Du kan också använda frågan utan att inkludera återgivningsparametern. Använd listrutan Visualisering för att välja någon av de typer av visualiseringar som erbjuds:

Screenshot of the Visualization dropdown menu options.

Rutnätsvisualiseringar

Du kan använda alternativet Rutnätsvisualisering från listrutan Visualisering för att visa data i tabeller, vilket ger ett berikat användargränssnitt för rapporterna. Du kan välja alternativet Kolumn Inställningar för att ange vilken kolumn som ska visas i tabellen och ange kolumnetiketter om det behövs.

På fliken Redigera kolumninställningar kan du välja en annan kolumnåtergivning som exempelvis termisk karta, stapel och Spark-yta. Om du väljer Anpassad formatering kan du ange alternativ för enheter, format och formatering för numeriska värden.

Parametrar

Du kan använda parametrar i din interaktiva arbetsbok för att ändra resultatet av frågan på olika sätt. När du väljer Lägg till parameter öppnas sidan Ny parameter där du kan ange namnet och andra indata som krävs för parametern.

Du kan skapa följande parametertyper:

  • Text. Du kan ange valfri text.
  • Nedrullningsbara. Du kan ändra utseendet på ett frågesteg så att det innehåller en listmeny där du kan välja ett värde från en uppsättning värden. I den här parametertypen kan du ange en KQL-fråga eller en JSON-sträng för att ange alternativen för listrutan.
  • Tidsintervallväljare. Du kan välja bland förifyllda tidsintervall eller välja ett anpassat intervall.
  • Resursväljare. Du kan välja en eller flera Azure-resurser.
  • Prenumerationsväljare. Du kan välja en eller flera Azure-prenumerationsresurser.
  • Väljare av resurstyp. Du kan välja ett eller flera Azure-resurstypvärden.
  • Platsväljare. Du kan välja ett eller flera Azure-platsvärden.
  • Alternativgrupp. Du kan gruppera flera egenskaper i en grupp.
  • Flikar.
  • Flera värden.

Du kan referera till parametervärden i andra delar av arbetsböckerna, antingen med hjälp av bindningar eller genom att använda värdeexpanderingar.

I fönstret Ny parameter i avsnittet Förhandsversioner kan du granska variablerna som visas och används i frågekoden.

Länkar/flikar

Du kan lägga till steget länkar/flikar för att anpassa navigeringen i arbetsboken med flikar, listor, stycken eller punktlistor. Du kan ange följande indata när du lägger till ett steg med nya länkar/flikar:

  • Text före länk. Använd alternativet om du vill visa texten innan länken är markerad.
  • Länktext. Använd alternativet för att ange den faktiska texten som visas i länken.
  • Text efter länk. Använd alternativet för att ange den text som visas när länken är markerad.
  • Åtgärd. Använd det här alternativet om du vill ange den åtgärd som utförs när du väljer länken, till exempel Url, Ange ett parametervärde och Bläddra till ett steg.
  • Värde. Använd alternativet om du vill ange ett värde för länken.
  • Inställningar. Använd det här alternativet om du vill konfigurera specifika inställningar baserat på syntaxen för länktyp och stödparametrar.
  • Sammanhangsfönster?. Använd det här alternativet för att öppna en ny kontextpanel på sidan i stället för en fullständig vy.
  • Format. Använd det här alternativet om du vill välja mellan formaten Länk, Knapp (primär) och Knapp (sekundär).

Måttsteg

Du kan använda måttsteg för att kombinera resultatet från arbetsboken med mått från olika Azure-resurser. När du är klar med alla anpassade ändringar i arbetsboken ska du spara arbetsboken genom att välja Klar redigering.

Testa dina kunskaper

1.

Vilken formatering använder Microsoft Sentinel för att formatera texten i arbetsboken med textvisualisering?

2.

En administratör skapar en anpassad arbetsbok och vill visa data i tabellen. Vilka visualiseringssteg bör administratören använda i arbetsboken?