创建新的 Microsoft Sentinel 工作簿

  • 5 分钟

除了使用内置模板创建自定义工作簿外,还可以从头开始创建自定义工作簿,以生成包含文本、分析查询、指标和参数的高度交互式报表。

创建自定义工作簿

可在 Microsoft Sentinel“工作簿”页面中创建自定义工作簿。 在标题栏上选择“+添加工作簿”。 此时将打开“新建工作簿”页,其中包含一个基本分析查询,可由此开始使用。

提示

Azure 门户将你创建的每个工作簿作为工作簿资源保存在 Microsoft Sentinel 资源组中。

可以通过选择“编辑”,在“新建工作簿”页上开始生成工作簿。 然后选择“编辑”选项更改出现在新工作簿模板中的文本。

每个工作簿都提供一组丰富的功能,用于可视化从连接器收集的安全数据。 可使用以下可视化效果类型和元素设计工作簿:

  • 文本
  • 查询
  • 参数
  • 链接/选项卡
  • 指标

可选择“+添加”将新元素添加到工作簿,如以下屏幕截图所示。

Screenshot of adding a new step in the workbook.

文本可视化效果

可使用文本块解释安全数据、节标题、遥测数据和其他信息。 可使用 Markdown 标记语言编辑文本,该语言为标题、字体样式、超链接和表提供了不同的格式设置选项。

注意

Markdown 是一种可用于在纯文本文档中设置文本格式的标记语言。 有关如何使用 Markdown 控件设置文本格式的详细信息,请参阅在线提供的 Markdown 指南。

添加文本后,选择“预览”选项卡来预览内容外观。 完成文本编辑后,选择“完成编辑”选项。

查询项

可从日志中创建不同的查询并将数据可视化为文本、图表或网格。 可以使用 KQL 编写查询。 然后使用各种可视化效果设置数据格式,包括:

  • 网格(或表)
  • 面积图
  • 条形图
  • 折线图
  • 饼图
  • 散点图
  • 时间表
  • 磁贴

创建查询时,Microsoft Sentinel 会向工作簿添加新的“运行查询”步骤,如以下屏幕截图所示:

Screenshot of the Query visualization step, with the Done editing button called out.

在标题栏中,有多个字段提供优化查询输出的选项。

名称 说明
运行查询 使用此选项可测试查询的结果。
示例 Microsoft 提供的示例代码包含可添加到工作簿的示例查询。
数据源 使用此选项可指定查询的数据源。
资源类型 使用此选项可选择资源类型。
Log Analytics 工作区 如果要针对多个资源查询数据,请使用此选项。
时间范围 使用此选项可指定要在查询中使用的时间范围参数。
可视化效果 使用此选项可选择特定的可视化效果,或选择“按查询设置”以不同的格式呈现数据。
大小 使用此选项可选择可视化效果元素的大小。

在“高级设置”选项卡上,可为查询步骤的设置和样式提供更多自定义。 在“高级设置”选项卡上,可修改属性。 例如,可输入“图表标题”,如以下屏幕截图所示。

Screenshot of the Advanced settings tab, with the chart title.

可使用“样式”选项卡来调整步骤中的边距和填充元素。 设置和样式的自定义完成后,请记得选择“完成编辑”来保存步骤。

图表可视化效果

创建以图表形式显示安全数据的查询时,可以自定义:

  • 高度
  • 宽度
  • 调色板
  • 图例
  • 标题
  • 轴类型和系列

下面的示例对所有安全警报进行计数,并使用饼图将它们可视化。


SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart

在上面的示例中,查询指示了数据的可视化效果类型。 还可以在不包含 render 参数的情况下使用查询。 使用“可视化效果”下拉菜单选择提供的可视化效果类型之一:

Screenshot of the Visualization dropdown menu options.

网格可视化效果

可使用“可视化效果”下拉菜单中的“网格可视化效果”选项来显示表中的数据,从而为报表提供丰富的 UI。 可选择“列设置”选项来指定显示在表中的列并提供列标签(如有必要)。

在“编辑列设置”选项卡上,可选择不同的列呈现器,如热度地图、条形图和 spark 区域。 如果选择“自定义格式设置”,可为数字值设置单位、样式和格式设置选项。

参数

可使用交互式工作簿中的参数以不同的方式处理查询结果。 选择“添加参数”时,会打开一个“新建参数”页,可在其中提供参数所需的名称和其他输入。

可创建以下参数类型:

  • Text。 可输入任意文本。
  • 下拉列表。 可修改查询步骤的外观以包含下拉菜单,以便从其中的一组值中选择某个值。 在此参数类型中,可输入 KQL 查询或 JSON 字符串来提供下拉列表选项。
  • 时间范围选取器。 可从预填充的时间范围中进行选择,也可选择自定义范围。
  • 资源选取器。 可选择一项或多项 Azure 资源。
  • 订阅选取器。 可选择一个或多个 Azure 订阅资源。
  • 资源类型选取器。 可选择一个或多个 Azure 资源类型值。
  • 位置选取器。 可选择一个或多个 Azure 位置值。
  • 选项组。 可将多个属性分组到组中。
  • 选项卡。
  • 多值。

可使用绑定或值扩展来引用工作簿其他部分中的参数值。

在“新建参数”窗格上的“预览”部分中,可查看在查询代码中显示和使用的变量。

链接/选项卡

可添加链接/选项卡步骤,使用选项卡、列表、段落或项目符号列表来自定义工作簿中的导航。 可以在添加新的链接/选项卡步骤时提供以下输入:

  • 链接之前的文本。 使用此选项可指定选择链接前显示的文本。
  • 链接文本。 使用此选项可指定链接中显示的实际文本。
  • 链接之后的文本。 使用此选项可指定选择链接后显示的文本。
  • 操作。 使用此选项可指定在选择链接时将执行的操作,例如“Url”、“设置参数值”以及“滚动到步骤”。
  • 。 使用此选项可指示链接的值。
  • 设置。 使用此选项可根据链接类型配置特定设置,并支持参数语法。
  • 上下文窗格?。 使用此选项可在旁边打开新的上下文面板而不是完整视图。
  • 样式。 使用此选项可在“链接”、“按钮(主)”和“按钮(次)”样式之间进行选择。

指标步骤

可使用指标步骤将工作簿的结果与不同 Azure 资源中的指标进行组合。 完成对工作簿的所有自定义修改后,请记得选择“完成编辑”来保存工作簿。

知识检查

1.

Microsoft Sentinel 使用哪种格式设置来设置包含文本可视化效果的工作簿中文本的格式?

2.

管理员创建一个自定义工作簿,并希望在表中显示数据。 管理员应在工作簿中使用哪些可视化步骤?