Creare una nuova cartella di lavoro di Microsoft Sentinel

  • 5 minuti

Oltre a usare modelli predefiniti per creare una cartella di lavoro personalizzata, è possibile creare cartelle di lavoro personalizzate da zero per produrre report altamente interattivi che contengono testi, query analitiche, metriche e parametri.

Creare una cartella di lavoro personalizzata

È possibile creare una cartella di lavoro personalizzata dalla pagina Cartelle di lavoro in Microsoft Sentinel. Selezionare +Aggiungi cartella di lavoro nella barra di intestazione. Viene visualizzata la pagina Nuova cartella di lavoro, che contiene una query di analisi di base per iniziare.

Suggerimento

Il portale di Azure salva ogni cartella di lavoro creata come risorsa della cartella di lavoro nel gruppo di risorse di Microsoft Sentinel.

È possibile iniziare a compilare la cartella di lavoro nella pagina Nuova cartella di lavoro selezionando Modifica. Selezionare quindi l'opzione Modifica per modificare il testo visualizzato nel nuovo modello di cartella di lavoro.

Ogni cartella di lavoro offre un ampio set di funzionalità per la visualizzazione dei dati di sicurezza raccolti dai connettori. È possibile progettare la cartella di lavoro con i tipi di visualizzazione e gli elementi seguenti:

  • Testo
  • Query
  • Parametri
  • Collegamenti/schede
  • Metric

È possibile aggiungere un nuovo elemento alla cartella di lavoro selezionando + Aggiungi come illustrato nello screenshot seguente.

Screenshot of adding a new step in the workbook.

Visualizzazioni di tipo testo

È possibile usare blocchi di testo per interpretare i dati di sicurezza, le intestazioni di sezione, i dati di telemetria e altre informazioni. Il testo può essere modificato con il linguaggio di markup Markdown, che include opzioni di formattazione diverse per intestazioni, stili dei tipi di carattere, collegamenti ipertestuali e tabelle.

Nota

Markdown è un linguaggio di markup che è possibile usare per formattare il testo nei documenti di testo normale. Per altre informazioni su come formattare il testo con i controlli Markdown, vedere le guide di Markdown disponibili online.

Dopo aver aggiunto il testo, selezionare la scheda Anteprima per visualizzare in anteprima la modalità di visualizzazione del contenuto. Al termine della modifica del testo, selezionare l'opzione Modifiche completate.

Elemento query

È possibile creare una query diversa dai log e visualizzare i dati come testo, grafici o griglie. È possibile scrivere la query usando KQL. Formattare quindi i dati usando diverse visualizzazioni, tra cui:

  • Griglie (o tabelle)
  • Grafici ad area
  • Grafici a barre
  • Grafici a linee
  • Grafici a torta
  • Grafici a dispersione
  • Grafici temporali
  • Sezioni

Quando si crea una query, Microsoft Sentinel aggiunge un nuovo passaggio Esegui query alla cartella di lavoro, come illustrato nello screenshot seguente:

Screenshot of the Query visualization step, with the Done editing button called out.

Nella barra di intestazione sono disponibili diversi campi che offrono opzioni per ottimizzare l'output della query.

Nome Descrizione
Esegui query Usare questa opzione per verificare il risultato della query.
Esempi Microsoft fornisce codice di esempio che contiene query di esempio che è possibile aggiungere alla cartella di lavoro.
Origine dati Usare questa opzione per specificare l'origine dati per la query.
Tipo di risorsa Usare questa opzione per selezionare il tipo di risorsa.
Area di lavoro Log Analytics Usare questa opzione se si vuole eseguire una query sui dati in più di una risorsa.
Intervallo di ore Usare questa opzione per specificare un parametro di intervallo di tempo da usare nella query.
Visualizzazione Usare questa opzione per scegliere una visualizzazione specifica o scegliere Imposta da query per presentare i dati in un formato diverso.
Dimensione Usare questa opzione per scegliere la dimensione dell'elemento di visualizzazione.

Nella scheda Impostazioni avanzate è possibile fornire una maggiore personalizzazione per le impostazioni e gli stili del passaggio di query. Nella scheda Impostazioni avanzate è possibile modificare le proprietà. Ad esempio, è possibile immettere il titolo del grafico, come illustrato nello screenshot seguente.

Screenshot of the Advanced settings tab, with the chart title.

È possibile usare la scheda Stile per regolare margini e riempimento nel passaggio. Dopo aver completato la personalizzazione delle impostazioni e degli stili, ricordarsi di salvare il passaggio selezionando Modifiche completate.

Visualizzazioni di tipo grafico

Quando si crea una query per presentare i dati di sicurezza come grafici, è possibile personalizzare:

  • Altezza
  • Larghezza
  • Tavolozza colori
  • Legenda
  • Titoli
  • Tipi e serie degli assi

Nell'esempio seguente vengono conteggiati tutti gli avvisi di sicurezza, che vengono poi visualizzati in un grafico a torta.


SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart

Nell'esempio precedente la query indica il tipo di visualizzazione per i dati. È anche possibile usare la query senza includere il parametro di rendering. Usare il menu a discesa Visualizzazione per selezionare uno dei tipi di visualizzazioni disponibili:

Screenshot of the Visualization dropdown menu options.

Visualizzazioni di tipo griglia

È possibile usare l'opzione di visualizzazione Griglia dal menu a discesa Visualizzazione per presentare i dati in tabelle che forniscono un'interfaccia utente arricchita per i report. È possibile selezionare l'opzione Impostazioni delle colonne per specificare le colonne visualizzate nella tabella e le etichette di colonna, se necessario.

Nella scheda Modifica impostazioni di colonna è possibile selezionare un renderer di colonna diverso, ad esempio, mappa termica, barra e area Spark. Se si seleziona Formattazione personalizzata, è possibile impostare le opzioni relative a unità, stile e formattazione per i valori numerici.

Parametri

Si possono usare i parametri nella cartella di lavoro interattiva per modificare i risultati della query in modi diversi. Quando si seleziona Aggiungi parametro, viene visualizzata una pagina Nuovo parametro in cui è possibile specificare il nome e altri input necessari per il parametro.

È possibile creare i tipi di parametro seguenti:

  • Testo È possibile immettere testo arbitrario.
  • Elenco a discesa. È possibile modificare l'aspetto di un passaggio di query per includere un menu a discesa in cui è possibile selezionare un valore da un set di valori. In questo tipo di parametro è possibile immettere una query KQL o una stringa JSON per fornire le opzioni per l'elenco a discesa.
  • Selezione intervallo di tempo. È possibile scegliere tra intervalli di tempo predefiniti o selezionare un intervallo personalizzato.
  • Selezione risorse. È possibile selezionare una o più risorse di Azure.
  • Selezione sottoscrizione. È possibile selezionare una o più risorse della sottoscrizione di Azure.
  • Selezione tipo di risorsa. È possibile selezionare uno o più valori di tipo di risorsa di Azure.
  • Selezione percorso. È possibile selezionare uno o più valori di posizione di Azure.
  • Gruppo Opzioni. È possibile raggruppare più proprietà in un gruppo.
  • Schede.
  • Multivalore.

È possibile fare riferimento a valori di parametro in altre parti delle cartelle di lavoro usando associazioni o espansioni di valori.

Nel pannello Nuovo parametro, nella sezione Anteprime, è possibile esaminare le variabili visualizzate e usate nel codice della query.

Collegamenti/schede

È possibile aggiungere un passaggio di tipo collegamenti/schede per personalizzare gli spostamenti nella cartella di lavoro con tabulazioni, elenchi, paragrafi o elenchi puntati. È possibile specificare gli input seguenti quando si aggiunge un nuovo passaggio di tipo collegamenti/schede:

  • Testo prima del collegamento. Usare questa opzione per visualizzare il testo prima della selezione del collegamento.
  • Testo del collegamento. Usare questa opzione per specificare il testo effettivo visualizzato nel collegamento.
  • Testo dopo il collegamento. Usare questa opzione per indicare il testo visualizzato dopo la selezione del collegamento.
  • Azione. Usare questa opzione per specificare l'azione eseguita quando si seleziona il collegamento, ad esempio URL, Impostare un valore di parametro e Scorrere fino a un passaggio.
  • Valore. Usare questa opzione per indicare un valore per il collegamento.
  • Impostazioni. Usare questa opzione per configurare impostazioni specifiche in base al tipo di collegamento e alla sintassi dei parametri di supporto.
  • Pannello di contesto?. Usare questa opzione per aprire un nuovo pannello di contesto sul lato anziché una visualizzazione completa.
  • Stile. Usare questa opzione per effettuare una selezione tra gli stili Collegamento, Pulsante (primario) e Pulsante (secondario).

Passaggi di metrica

È possibile usare i passaggi di metrica per combinare i risultati della cartella di lavoro con le metriche da diverse risorse di Azure. Dopo aver apportato tutte le modifiche personalizzate alla cartella di lavoro, ricordarsi di salvare la cartella di lavoro selezionando Modifiche completate.

Verificare le conoscenze

1.

Quale formattazione usa Microsoft Sentinel per formattare il testo nella cartella di lavoro con la visualizzazione di tipo testo?

2.

Un amministratore crea una cartella di lavoro personalizzata e vuole visualizzare i dati in forma di tabella. Quali passaggi di visualizzazione devono essere usati dall'amministratore nella cartella di lavoro?