Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Po połączeniu źródeł danych z usługą Microsoft Sentinel wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel. Usługa Microsoft Sentinel umożliwia tworzenie niestandardowych skoroszytów między danymi lub używanie istniejących szablonów skoroszytów dostępnych z spakowanych rozwiązań lub jako autonomicznej zawartości z centrum zawartości. Te szablony umożliwiają szybkie uzyskiwanie szczegółowych informacji dotyczących danych zaraz po nawiązaniu połączenia ze źródłem danych.

W tym artykule opisano sposób wizualizowania danych w usłudze Microsoft Sentinel przy użyciu skoroszytów.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

  • Musisz mieć co najmniej uprawnienia czytelnika skoroszytu lub współautora skoroszytu w grupie zasobów obszaru roboczego usługi Microsoft Sentinel.

    Skoroszyty widoczne w usłudze Microsoft Sentinel są zapisywane w grupie zasobów obszaru roboczego usługi Microsoft Sentinel i są oznaczane przez obszar roboczy, w którym zostały utworzone.

  • Aby użyć szablonu skoroszytu, zainstaluj rozwiązanie zawierające skoroszyt lub zainstaluj skoroszyt jako autonomiczny element z centrum zawartości. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Tworzenie skoroszytu na podstawie szablonu

Użyj szablonu zainstalowanego z centrum zawartości, aby utworzyć skoroszyt.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Skoroszyty.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Skoroszyty zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>

  2. Przejdź do pozycji Skoroszyty , a następnie wybierz pozycję Szablony , aby wyświetlić listę zainstalowanych szablonów skoroszytów.

    Aby sprawdzić, które szablony są istotne dla połączonych typów danych, zapoznaj się z polem Wymagane typy danych w każdym skoroszycie, jeśli jest dostępny.

  3. Wybierz pozycję Zapisz w okienku szczegółów szablonu i lokalizację, w której chcesz zapisać plik JSON dla szablonu. Ta akcja powoduje utworzenie zasobu platformy Azure na podstawie odpowiedniego szablonu i zapisanie pliku JSON skoroszytu, a nie danych.

  4. Wybierz pozycję Wyświetl zapisany skoroszyt w okienku szczegółów szablonu.

  5. Wybierz przycisk Edytuj na pasku narzędzi skoroszytu, aby dostosować skoroszyt zgodnie z potrzebami.

    Zrzut ekranu przedstawiający zapisany skoroszyt.

    Aby sklonować skoroszyt, wybierz pozycję Edytuj , a następnie pozycję Zapisz jako. Zapisz klon pod inną nazwą w ramach tej samej subskrypcji i grupy zasobów. Sklonowane skoroszyty są wyświetlane na karcie Moje skoroszyty .

  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz , aby zapisać zmiany.

Aby uzyskać więcej informacji, zobacz jak tworzyć interaktywne raporty za pomocą skoroszytów usługi Azure Monitor.

Tworzenie nowego skoroszytu

Utwórz skoroszyt od podstaw w usłudze Microsoft Sentinel.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Skoroszyty.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Skoroszyty zarządzania zagrożeniami>w usłudze Microsoft Sentinel.>

  2. Wybierz pozycję Dodaj skoroszyt.

  3. Aby edytować skoroszyt, wybierz pozycję Edytuj, a następnie w razie potrzeby dodaj tekst, zapytania i parametry. Aby uzyskać więcej informacji na temat dostosowywania skoroszytu, zobacz jak tworzyć interaktywne raporty za pomocą skoroszytów usługi Azure Monitor.

    Zrzut ekranu przedstawiający nowy skoroszyt.

  4. Podczas tworzenia zapytania ustaw źródło danych na Dzienniki i typ zasobu na Log Analytics, a następnie wybierz co najmniej jeden obszar roboczy.

    Zalecamy użycie analizatora advanced Security Information Model (ASIM), a nie wbudowanej tabeli. Zapytanie będzie następnie obsługiwać dowolne bieżące lub przyszłe odpowiednie źródło danych, a nie jedno źródło danych.

  5. Po utworzeniu skoroszytu zapisz skoroszyt w ramach subskrypcji i grupy zasobów obszaru roboczego usługi Microsoft Sentinel.

  6. Jeśli chcesz zezwolić innym osobom w organizacji na korzystanie ze skoroszytu, w obszarze Zapisz wybierz pozycję Udostępnione raporty. Jeśli chcesz, aby ten skoroszyt był dostępny tylko dla Ciebie, wybierz pozycję Moje raporty.

  7. Aby przełączyć się między skoroszytami w obszarze roboczym, wybierz pozycję OtwórzIkona otwierania skoroszytu. na pasku narzędzi dowolnego skoroszytu. Ekran przełącza się na listę innych skoroszytów, do których można się przełączyć.

    Wybierz skoroszyt, który chcesz otworzyć:

    Przełącz skoroszyty.

Odświeżanie danych skoroszytu

Odśwież skoroszyt, aby wyświetlić zaktualizowane dane. Na pasku narzędzi wybierz jedną z następujących opcji:

  • Odśwież, aby ręcznie odświeżyć dane skoroszytu.

  • Automatyczne odświeżanie, aby ustawić skoroszyt na automatyczne odświeżanie w skonfigurowanym interwale.

    • Obsługiwane interwały automatycznego odświeżania wahają się od 5 minut do 1 dnia.

    • Automatyczne odświeżanie jest wstrzymane podczas edytowania skoroszytu, a interwały są uruchamiane ponownie za każdym razem, gdy przełączysz się z powrotem do trybu wyświetlania z trybu edycji.

    • Interwały automatycznego odświeżania są również uruchamiane ponownie w przypadku ręcznego odświeżania danych.

    Domyślnie automatyczne odświeżanie jest wyłączone. Aby zoptymalizować wydajność, automatyczne odświeżanie jest wyłączane przy każdym zamknięciu skoroszytu. Nie działa w tle. Włącz automatyczne odświeżanie ponownie zgodnie z potrzebami przy następnym otwarciu skoroszytu.

Aby wydrukować skoroszyt lub zapisać go jako plik PDF, użyj menu opcji po prawej stronie tytułu skoroszytu.

  1. Wybierz opcje >Drukuj zawartość.

  2. Na ekranie wydruku dostosuj ustawienia drukowania zgodnie z potrzebami lub wybierz pozycję Zapisz jako plik PDF , aby zapisać go lokalnie.

    Na przykład: Zrzut ekranu przedstawiający sposób drukowania skoroszytu lub zapisywania go w formacie PDF..

Jak usunąć skoroszyty

Aby usunąć zapisany skoroszyt, zapisany szablon lub dostosowany skoroszyt, wybierz zapisany skoroszyt, który chcesz usunąć, a następnie wybierz pozycję Usuń. Ta akcja powoduje usunięcie zapisanego skoroszytu. Usuwa również zasób skoroszytu i wszelkie zmiany wprowadzone w szablonie. Oryginalny szablon pozostaje dostępny.

Aby dowiedzieć się więcej na temat popularnych wbudowanych skoroszytów, zobacz Często używane skoroszyty usługi Microsoft Sentinel.