Använda Azure Monitor arbetsböcker för att visualisera och övervaka dina data

  • Artikel
  • 4 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

När du har anslutit dina datakällor till Microsoft Sentinel kan du visualisera och övervaka data med hjälp av Microsoft Sentinel-införandet av Azure Monitor-arbetsböcker, vilket ger flexibilitet när du skapar anpassade instrumentpaneler. Arbetsböckerna visas på olika sätt i Microsoft Sentinel, men det kan vara användbart för dig att se hur du skapar interaktiva rapporter med Azure Monitor Arbetsböcker. Med Microsoft Sentinel kan du skapa anpassade arbetsböcker för dina data och levereras med inbyggda arbetsboksmallar så att du snabbt kan få insikter om dina data så fort du ansluter en datakälla.

Den här artikeln beskriver hur du visualiserar dina data i Microsoft Sentinel.

  • Använda inbyggda arbetsböcker
  • Skapa nya arbetsböcker

Förutsättningar

Du måste minst ha behörighet som arbetsboksläsare eller Arbetsboksdeltagare för resursgruppen på Microsoft Sentinel-arbetsytan.

Anteckning

Arbetsböckerna som du kan se i Microsoft Sentinel sparas i Microsoft Sentinel-arbetsytans resursgrupp och taggas av arbetsytan där de skapades.

Använda inbyggda arbetsböcker

  1. Gå till Arbetsböcker och välj sedan Mallar för att se en fullständig lista över inbyggda Microsoft Sentinel-arbetsböcker.

    För att se vilka som är relevanta för de datatyper som du har anslutit visas datatypen bredvid en grön bock i fältet Nödvändiga datatyper i varje arbetsbok om du redan strömmar relevanta data till Microsoft Sentinel.

    Gå till arbetsböcker.

  2. Välj Visa mall för att se mallen ifylld med dina data.

  3. Om du vill redigera arbetsboken väljer du Spara och sedan den plats där du vill spara JSON-filen för mallen.

    Anteckning

    Detta skapar en Azure-resurs baserat på relevant mall och sparar JSON-filen för arbetsboken och inte data.

  4. Välj Visa sparad arbetsbok.

    Visa arbetsböcker.

    Välj knappen Redigera i arbetsbokens verktygsfält för att anpassa arbetsboken efter dina behov. När du är klar väljer du Spara för att spara ändringarna.

    Mer information finns i Skapa interaktiva rapporter med Azure Monitor Arbetsböcker.

Tips

Om du vill klona arbetsboken väljer du Redigera och sedan Spara som . Se till att spara den med ett annat namn under samma prenumeration och resursgrupp. Klonade arbetsböcker visas under fliken Mina arbetsböcker.

Skapa ny arbetsbok

  1. Gå till Arbetsböcker och välj sedan Lägg till arbetsbok för att skapa en ny arbetsbok från grunden.

    Ny arbetsbok.

  2. Om du vill redigera arbetsboken väljer du Redigera och lägger sedan till text, frågor och parametrar efter behov. Mer information om hur du anpassar arbetsboken finns i Skapa interaktiva rapporter med Azure Monitor arbetsböcker.

  3. När du skapar en fråga kontrollerar du att Datakälla är inställt på Loggar och Resurstyp är inställt på Log Analytics och väljer sedan relevanta arbetsytor.

  4. När du har skapat arbetsboken sparar du arbetsboken och ser till att du sparar den under prenumerationen och resursgruppen för microsoft Sentinel-arbetsytan.

  5. Om du vill låta andra i din organisation använda arbetsboken går du till Spara för att välja Delade rapporter. Om du vill att den här arbetsboken endast ska vara tillgänglig för dig väljer du Mina rapporter.

  6. Om du vill växla mellan arbetsböcker på arbetsytan väljer du Öppna ikon för att öppna en arbetsbok. i verktygsfältet för alla arbetsböcker. Skärmen växlar till en lista över andra arbetsböcker som du kan växla till.

    Välj den arbetsbok som du vill öppna:

    Växla arbetsböcker.

Uppdatera arbetsboksdata

Uppdatera arbetsboken för att visa uppdaterade data. Välj något av följande alternativ i verktygsfältet:

  • Uppdatera, för att uppdatera arbetsboksdata manuellt.

  • Uppdatera automatiskt för att ange att arbetsboken ska uppdateras automatiskt med ett konfigurerat intervall.

    • Intervall för automatisk uppdatering som stöds sträcker sig från 5 minuter till 1 dag.

    • Den automatiska uppdateringen pausas när du redigerar en arbetsbok och intervallen startas om varje gång du växlar tillbaka till visningsläget från redigeringsläget.

    • Automatiska uppdateringsintervall startas också om om du uppdaterar dina data manuellt.

    Tips

    Automatisk uppdatering är inaktiverat som standard. För att optimera prestanda inaktiveras automatisk uppdatering varje gång du stänger en arbetsbok och körs inte i bakgrunden. Aktivera automatisk uppdatering igen vid behov nästa gång du öppnar arbetsboken.

Om du vill skriva ut en arbetsbok eller spara den som en PDF-fil använder du alternativmenyn till höger om arbetsbokens rubrik.

  1. Välj alternativ > Skriv ut innehåll.
  2. På utskriftsskärmen justerar du utskriftsinställningarna efter behov eller väljer Spara som PDF för att spara den lokalt.

Exempel:

Skriv ut din arbetsbok eller spara som PDF.

Ta bort arbetsböcker

Om du vill ta bort en sparad arbetsbok (antingen en sparad mall eller en anpassad arbetsbok) går du till sidan Arbetsböcker och väljer den sparade arbetsbok som du vill ta bort och väljer Ta bort. Den sparade arbetsboken tas bort.

Anteckning

Detta tar bort arbetsboksresursen samt eventuella ändringar som du har gjort i mallen. Den ursprungliga mallen förblir tillgänglig.

Nästa steg

I den här artikeln har du lärt dig att visualisera dina data i Microsoft Sentinel med hjälp av Azure-arbetsböcker.

Information om hur du automatiserar svar på hot finns i Konfigurera automatiserade hotsvar i Microsoft Sentinel.

Mer information om populära inbyggda arbetsböcker finns i Vanliga Microsoft Sentinel-arbetsböcker.