Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dopo aver connesso le origini dati a Microsoft Sentinel, visualizzare e monitorare i dati usando le cartelle di lavoro in Microsoft Sentinel. Microsoft Sentinel consente di creare cartelle di lavoro personalizzate tra i dati o di usare modelli di cartella di lavoro esistenti disponibili con soluzioni in pacchetto o come contenuto autonomo dall'hub del contenuto. Questi modelli consentono di ottenere rapidamente informazioni dettagliate sui dati non appena si connette un'origine dati.

Questo articolo descrive come visualizzare i dati in Microsoft Sentinel usando le cartelle di lavoro.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

• Per il gruppo di risorse dell'area di lavoro di Microsoft Sentinel è necessario disporre almeno delle autorizzazioni di lettore o collaboratore alla cartella di lavoro della cartella di lavoro.

  Le cartelle di lavoro visualizzate in Microsoft Sentinel vengono salvate all'interno del gruppo di risorse dell'area di lavoro di Microsoft Sentinel e contrassegnate dall'area di lavoro in cui sono state create.

• Per usare un modello di cartella di lavoro, installare la soluzione che contiene la cartella di lavoro o installare la cartella di lavoro come elemento autonomo dall'hub contenuto. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Creare una cartella di lavoro da un modello

Usare un modello installato dall'hub del contenuto per creare una cartella di lavoro.

1. Per Microsoft Sentinel nella portale di Azure, in Gestione delle minacce selezionare Cartelle di lavoro.
   Per Microsoft Sentinel nel portale di Defender selezionare Cartelle di lavoro di gestione>delle minacce di Microsoft Sentinel.>

2. Passare a Cartelle di lavoro e quindi selezionare Modelli per visualizzare l'elenco dei modelli di cartella di lavoro installati.

   Per vedere quali modelli sono rilevanti per i tipi di dati connessi, esaminare il campo Tipi di dati obbligatori in ogni cartella di lavoro, dove disponibile.

   Azure portal

   

   Portale di Defender

   

3. Selezionare Salva dal riquadro dei dettagli del modello e il percorso in cui si vuole salvare il file JSON per il modello. Questa azione crea una risorsa di Azure basata sul modello pertinente e salva il file JSON della cartella di lavoro non i dati.

4. Selezionare Visualizza cartella di lavoro salvata nel riquadro dei dettagli del modello.

5. Selezionare il pulsante Modifica nella barra degli strumenti della cartella di lavoro per personalizzare la cartella di lavoro in base alle proprie esigenze.

   

   Per clonare la cartella di lavoro, selezionare Modifica e quindi Salva con nome. Salvare il clone con un altro nome, nella stessa sottoscrizione e nello stesso gruppo di risorse. Le cartelle di lavoro clonate vengono visualizzate nella scheda Cartelle di lavoro personali.

6. Al termine, selezionare Salva per salvare le modifiche.

Per altre informazioni, vedere Come creare report interattivi con cartelle di lavoro di Monitoraggio di Azure.

Creare una nuova cartella di lavoro

Creare una cartella di lavoro da zero in Microsoft Sentinel.

1. Per Microsoft Sentinel nella portale di Azure, in Gestione delle minacce selezionare Cartelle di lavoro.
   Per Microsoft Sentinel nel portale di Defender selezionare Cartelle di lavoro di gestione>delle minacce di Microsoft Sentinel.>

2. Selezionare Aggiungi cartella di lavoro.

3. Per modificare la cartella di lavoro, selezionare Modifica e quindi aggiungere testo, query e parametri, se necessari. Per altre informazioni su come personalizzare la cartella di lavoro, vedere Creare report interattivi con Cartelle di lavoro di Monitoraggio di Azure.

   

4. Quando si compila una query, impostare Origine dati su Log e Tipo di risorsa su Log Analytics e quindi scegliere una o più aree di lavoro.

   È consigliabile che la query usi un parser ASIM (Advanced Security Information Model) e non una tabella predefinita. La query supporterà quindi qualsiasi origine dati pertinente corrente o futura anziché una singola origine dati.

5. Dopo aver creato la cartella di lavoro, salvare la cartella di lavoro nella sottoscrizione e nel gruppo di risorse dell'area di lavoro di Microsoft Sentinel.

6. Se si vuole consentire ad altri utenti dell'organizzazione di usare la cartella di lavoro, in Salva in selezionare Report condivisi. Se si vuole che la cartella di lavoro non sia disponibile per altri utenti, selezionare Report personali.

7. Per passare da una cartella di lavoro all'altra nell'area di lavoro, selezionare Apri sulla barra degli strumenti di qualsiasi cartella di lavoro. La schermata passa a un elenco di altre cartelle di lavoro a cui è possibile passare.

   Selezionare la cartella di lavoro da aprire:

   

Aggiornare i dati della cartella di lavoro

Aggiornare la cartella di lavoro per visualizzare i dati aggiornati. Nella barra degli strumenti selezionare una delle opzioni seguenti:

• Aggiornare, per aggiornare manualmente i dati della cartella di lavoro.

• Aggiornamento automatico per impostare la cartella di lavoro per l'aggiornamento automatico a intervalli configurati.

  • Gli intervalli di aggiornamento automatico supportati sono compresi tra 5 minuti e 1 giorno.

  • L'aggiornamento automatico viene sospeso durante la modifica di una cartella di lavoro e gli intervalli vengono riavviati ogni volta che si torna alla modalità di visualizzazione dalla modalità di modifica.

  • Anche gli intervalli di aggiornamento automatico vengono riavviati se si aggiornano manualmente i dati.

  Per impostazione predefinita, l'aggiornamento automatico è disattivato. Per ottimizzare le prestazioni, l'aggiornamento automatico viene disattivato ogni volta che si chiude una cartella di lavoro. Non viene eseguito in background. Riattivare l'aggiornamento automatico in base alle esigenze alla successiva apertura della cartella di lavoro.

Stampare una cartella di lavoro o salvarla come PDF

Per stampare una cartella di lavoro o salvarla come PDF, utilizzare il menu delle opzioni a destra del titolo della cartella di lavoro.

1. Selezionare le opzioni >Stampa contenuto.

2. Nella schermata di stampa modificare le impostazioni di stampa in base alle esigenze o selezionare Salva come PDF per salvarlo in locale.

   Ad esempio:

Come eliminare le cartelle di lavoro

Per eliminare una cartella di lavoro salvata, un modello salvato o una cartella di lavoro personalizzata, selezionare la cartella di lavoro salvata da eliminare e selezionare Elimina. Questa azione rimuove la cartella di lavoro salvata. Rimuove anche la risorsa della cartella di lavoro e le eventuali modifiche apportate al modello. Il modello originale rimane disponibile.

Articoli correlati

Per informazioni sulle cartelle di lavoro predefinite più diffuse, vedere Cartelle di lavoro di Microsoft Sentinel comunemente usate.