Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel
Po połączeniu źródeł danych z usługą Microsoft Sentinel wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel. Usługa Microsoft Sentinel umożliwia tworzenie niestandardowych skoroszytów między danymi lub używanie istniejących szablonów skoroszytów dostępnych z spakowanych rozwiązań lub jako autonomicznej zawartości z centrum zawartości. Te szablony umożliwiają szybkie uzyskiwanie szczegółowych informacji dotyczących danych zaraz po nawiązaniu połączenia ze źródłem danych.
W tym artykule opisano sposób wizualizowania danych w usłudze Microsoft Sentinel przy użyciu skoroszytów.
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagania wstępne
Musisz mieć co najmniej uprawnienia czytelnika skoroszytu lub współautora skoroszytu w grupie zasobów obszaru roboczego usługi Microsoft Sentinel.
Skoroszyty widoczne w usłudze Microsoft Sentinel są zapisywane w grupie zasobów obszaru roboczego usługi Microsoft Sentinel i są oznaczane przez obszar roboczy, w którym zostały utworzone.
Aby użyć szablonu skoroszytu, zainstaluj rozwiązanie zawierające skoroszyt lub zainstaluj skoroszyt jako autonomiczny element z centrum zawartości. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.
Tworzenie skoroszytu na podstawie szablonu
Użyj szablonu zainstalowanego z centrum zawartości, aby utworzyć skoroszyt.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Skoroszyty.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Skoroszyty zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>Przejdź do pozycji Skoroszyty , a następnie wybierz pozycję Szablony , aby wyświetlić listę zainstalowanych szablonów skoroszytów.
Aby sprawdzić, które szablony są istotne dla połączonych typów danych, zapoznaj się z polem Wymagane typy danych w każdym skoroszycie, jeśli jest dostępny.
Wybierz pozycję Zapisz w okienku szczegółów szablonu i lokalizację, w której chcesz zapisać plik JSON dla szablonu. Ta akcja powoduje utworzenie zasobu platformy Azure na podstawie odpowiedniego szablonu i zapisanie pliku JSON skoroszytu, a nie danych.
Wybierz pozycję Wyświetl zapisany skoroszyt w okienku szczegółów szablonu.
Wybierz przycisk Edytuj na pasku narzędzi skoroszytu, aby dostosować skoroszyt zgodnie z potrzebami.
Aby sklonować skoroszyt, wybierz pozycję Edytuj , a następnie pozycję Zapisz jako. Zapisz klon pod inną nazwą w ramach tej samej subskrypcji i grupy zasobów. Sklonowane skoroszyty są wyświetlane na karcie Moje skoroszyty .
Gdy wszystko będzie gotowe, wybierz pozycję Zapisz , aby zapisać zmiany.
Aby uzyskać więcej informacji, zobacz jak tworzyć interaktywne raporty za pomocą skoroszytów usługi Azure Monitor.
Tworzenie nowego skoroszytu
Utwórz skoroszyt od podstaw w usłudze Microsoft Sentinel.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Skoroszyty.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Skoroszyty zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>Wybierz pozycję Dodaj skoroszyt.
Aby edytować skoroszyt, wybierz pozycję Edytuj, a następnie w razie potrzeby dodaj tekst, zapytania i parametry. Aby uzyskać więcej informacji na temat dostosowywania skoroszytu, zobacz jak tworzyć interaktywne raporty za pomocą skoroszytów usługi Azure Monitor.
Podczas tworzenia zapytania ustaw źródło danych na Dzienniki i typ zasobu na Log Analytics, a następnie wybierz co najmniej jeden obszar roboczy.
Zalecamy użycie analizatora advanced Security Information Model (ASIM), a nie wbudowanej tabeli. Zapytanie będzie następnie obsługiwać dowolne bieżące lub przyszłe odpowiednie źródło danych, a nie jedno źródło danych.
Po utworzeniu skoroszytu zapisz skoroszyt w ramach subskrypcji i grupy zasobów obszaru roboczego usługi Microsoft Sentinel.
Jeśli chcesz zezwolić innym osobom w organizacji na korzystanie ze skoroszytu, w obszarze Zapisz wybierz pozycję Udostępnione raporty. Jeśli chcesz, aby ten skoroszyt był dostępny tylko dla Ciebie, wybierz pozycję Moje raporty.
Aby przełączyć się między skoroszytami w obszarze roboczym, wybierz pozycję Otwórz na pasku narzędzi dowolnego skoroszytu. Ekran przełącza się na listę innych skoroszytów, do których można się przełączyć.
Wybierz skoroszyt, który chcesz otworzyć:
Odświeżanie danych skoroszytu
Odśwież skoroszyt, aby wyświetlić zaktualizowane dane. Na pasku narzędzi wybierz jedną z następujących opcji:
Odśwież, aby ręcznie odświeżyć dane skoroszytu.
Automatyczne odświeżanie, aby ustawić skoroszyt na automatyczne odświeżanie w skonfigurowanym interwale.
Obsługiwane interwały automatycznego odświeżania wahają się od 5 minut do 1 dnia.
Automatyczne odświeżanie jest wstrzymane podczas edytowania skoroszytu, a interwały są uruchamiane ponownie za każdym razem, gdy przełączysz się z powrotem do trybu wyświetlania z trybu edycji.
Interwały automatycznego odświeżania są również uruchamiane ponownie w przypadku ręcznego odświeżania danych.
Domyślnie automatyczne odświeżanie jest wyłączone. Aby zoptymalizować wydajność, automatyczne odświeżanie jest wyłączane przy każdym zamknięciu skoroszytu. Nie działa w tle. Włącz automatyczne odświeżanie ponownie zgodnie z potrzebami przy następnym otwarciu skoroszytu.
Drukowanie skoroszytu lub zapisywanie w formacie PDF
Aby wydrukować skoroszyt lub zapisać go jako plik PDF, użyj menu opcji po prawej stronie tytułu skoroszytu.
Wybierz opcje >Drukuj zawartość.
Na ekranie wydruku dostosuj ustawienia drukowania zgodnie z potrzebami lub wybierz pozycję Zapisz jako plik PDF , aby zapisać go lokalnie.
Na przykład: .
Jak usunąć skoroszyty
Aby usunąć zapisany skoroszyt, zapisany szablon lub dostosowany skoroszyt, wybierz zapisany skoroszyt, który chcesz usunąć, a następnie wybierz pozycję Usuń. Ta akcja powoduje usunięcie zapisanego skoroszytu. Usuwa również zasób skoroszytu i wszelkie zmiany wprowadzone w szablonie. Oryginalny szablon pozostaje dostępny.
Powiązane artykuły
Aby dowiedzieć się więcej na temat popularnych wbudowanych skoroszytów, zobacz Często używane skoroszyty usługi Microsoft Sentinel.