Criar uma nova pasta de trabalho do Microsoft Sentinel
Além de usar modelos internos para criar uma pasta de trabalho personalizada, você pode criar pastas de trabalho personalizadas do zero para produzir relatórios altamente interativos que contêm textos, consultas analíticas, métricas e parâmetros.
Criar um livro personalizado
Você pode criar uma pasta de trabalho personalizada a partir da página Pastas de trabalho no Microsoft Sentinel. Selecione +Adicionar pasta de trabalho na barra de cabeçalho. A página Novo livro é apresenta e contém uma consulta de análise básica para começar.
Gorjeta
O portal do Azure salva cada pasta de trabalho que você cria como um recurso de pasta de trabalho no grupo de recursos do Microsoft Sentinel.
Você pode começar a criar sua pasta de trabalho na página Nova pasta de trabalho selecionando Editar. Em seguida, selecione a opção Editar para alterar o texto que aparece no novo modelo de pasta de trabalho.
Cada livro proporciona um conjunto avançado de capacidades para visualizar os dados de segurança recolhidos dos conectores. Pode criar o livro com os seguintes elementos e tipos de visualização:
- Texto
- Query
- Parâmetros
- Ligações/separadores
- Metric
Pode adicionar um novo elemento ao livro ao selecionar +Adicionar, conforme apresentado na captura de ecrã a seguir.
Visualizações de texto
Pode utilizar blocos de texto para interpretar os seus dados de segurança, cabeçalhos de secções, dados telemétricos e outras informações. Pode editar o texto com a linguagem de marcação Markdown, que oferece diferentes opções de formatação para cabeçalhos, estilos de tipo de letra, hiperligações e tabelas.
Nota
Markdown é uma linguagem de marcação que você pode usar para formatar texto em documentos de texto sem formatação. Para obter mais informações sobre como formatar texto com os controlos de Markdown, veja os guias de Markdown disponíveis online.
Depois de adicionar o texto, selecione a guia Visualizar para visualizar como o conteúdo aparece. Quando concluir a edição do texto, selecione a opção Edição concluída .
Item de consulta
Pode criar uma consulta diferente a partir dos registos e visualizar os dados sob a forma de texto, gráficos ou grelhas. Você pode escrever a consulta usando o KQL. Em seguida, formate os dados usando várias visualizações, incluindo:
- Grelhas (ou tabelas)
- Gráficos de área
- Gráficos de barras
- Gráficos de linhas
- Gráficos circulares
- Gráficos de dispersão
- Gráficos de tempo
- Mosaicos
Quando você cria uma consulta, o Microsoft Sentinel adiciona uma nova etapa Executar consulta à pasta de trabalho como mostra a captura de tela a seguir:
Na barra de cabeçalho, há vários campos que fornecem opções para ajustar a saída da consulta.
| Nome | Descrição |
|---|---|
| Executar Consulta | Utilize esta opção para testar o resultado da consulta. |
| Exemplos | A Microsoft disponibiliza um código de exemplo com exemplos de consultas que pode adicionar ao livro. |
| Origem de Dados | Utilize esta opção para especificar a origem de dados da consulta. |
| Tipo de recurso | Utilize esta opção para selecionar o tipo de recurso. |
| Área de trabalho do Log Analytics | Utilize esta opção se quiser consultar dados em mais do que um recurso. |
| Intervalo de Tempo | Utilize esta opção para especificar um parâmetro de intervalo de tempo a utilizar na consulta. |
| Visualização | Utilize esta opção para escolher uma visualização específica ou escolha Definir por consulta para apresentar os dados num formato diferente. |
| Tamanho | Utilize esta opção para escolher o tamanho do elemento de visualização. |
Na guia Configurações avançadas, você pode fornecer mais personalização para as configurações e os estilos da etapa de consulta. Na guia Configurações avançadas, você pode modificar as propriedades. Por exemplo, você pode inserir o título do gráfico, como mostra a captura de tela a seguir.
Pode utilizar o separador Estilo para ajustar a margem e o elemento de preenchimento do passo. Depois de personalizar as configurações e estilos, lembre-se de salvar a etapa selecionando Edição concluída.
Visualizações de gráfico
Ao criar uma consulta para apresentar os dados de segurança sob a forma de gráficos, pode personalizar os seguintes elementos:
- Height
- Width
- Paleta de cores
- Legenda
- Títulos
- Séries e tipos de eixo
O exemplo seguinte conta todos os alertas de segurança e visualiza-os num gráfico circular.
SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart
No exemplo anterior, a consulta indica o tipo de visualização para os dados. Você também pode usar a consulta sem incluir o parâmetro render . Use o menu suspenso Visualização para selecionar um dos tipos de visualizações oferecidos:
Visualizações de grelha
Você pode usar a opção Visualização em planilha no menu suspenso Visualização para apresentar dados em tabelas, o que fornece uma interface do usuário enriquecida para os relatórios. Você pode selecionar a opção Configurações de coluna para especificar qual coluna é exibida na tabela e fornecer rótulos de coluna, se necessário.
No separador Editar Definições de coluna, pode selecionar um compositor de coluna diferente, como mapa térmico, barras e área Spark. Se selecionar Formatação personalizada, pode definir unidades, estilo e opções de formatação para valores numéricos.
Parâmetros
Pode utilizar parâmetros no seu livro interativo para manipular os resultados da consulta de diferentes formas. Quando você seleciona Adicionar parâmetro, uma página Novo parâmetro é aberta, onde você pode fornecer o nome e outras entradas necessárias para o parâmetro.
Pode criar os seguintes tipos de parâmetros:
- Texto. Pode introduzir texto arbitrário.
- Drop-down. Você pode modificar a aparência de uma etapa de consulta para incluir um menu suspenso no qual você pode selecionar um valor de um conjunto de valores. Neste tipo de parâmetro, você pode inserir uma consulta KQL ou uma cadeia de caracteres JSON para fornecer as opções para a lista suspensa.
- Seletor de intervalo de tempo. Pode selecionar entre intervalos de tempo pré-preenchidos ou selecionar um intervalo personalizado.
- Seletor de recursos. Pode selecionar um ou mais recursos do Azure.
- Seletor de assinaturas. Pode selecionar um ou mais recursos da subscrição do Azure.
- Seletor de tipo de recurso. Pode selecionar um ou mais valores de tipo de recurso do Azure.
- Seletor de localização. Pode selecionar um ou mais valores de localização do Azure.
- Grupo de opções. Pode agrupar várias propriedades.
- Separadores.
- Multi-valor.
Pode referenciar valores de parâmetros noutras partes dos livros através de enlaces ou expansões de valores.
No painel Novo Parâmetro na seção Visualizações, você pode revisar as variáveis exibidas e usadas no código de consulta.
Ligações/separadores
Pode adicionar um passo de ligações/separadores para personalizar a navegação no livro com separadores, listas, parágrafos ou listas com marcas. Pode indicar as seguintes entradas ao adicionar um novo passo de ligações/separadores:
- Texto antes da ligação. Utilize esta opção para apresentar o texto antes de a ligação ser selecionada.
- Texto da ligação. Utilize esta opção para especificar o texto apresentado na ligação.
- Texto após ligação. Utilize esta opção para indicar o texto apresentado depois de a ligação ser selecionada.
- Ação. Use essa opção para especificar a ação que é executada quando você seleciona o link, como Url, Definir um valor de parâmetro e Rolar para uma etapa.
- Valor. Utilize esta opção para indicar um valor para a ligação.
- Definições. Use esta opção para definir configurações específicas com base no tipo de link e na sintaxe dos parâmetros de suporte.
- Painel de contexto?. Utilize esta opção para abrir um novo painel de contexto na parte lateral, em vez de uma vista completa.
- Estilo. Use esta opção para selecionar entre os estilos Link, Button (principal) e Button (secundário).
Passos de métricas
Pode utilizar passos de métricas para combinar os resultados do livro com métricas de diferentes recursos do Azure. Depois de concluir todas as modificações personalizadas na pasta de trabalho, lembre-se de salvá-la selecionando Edição concluída.