Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Po připojení zdrojů dat ke službě Microsoft Sentinel můžete vizualizovat a monitorovat data pomocí sešitů v Microsoft Sentinelu. Microsoft Sentinel umožňuje vytvářet vlastní sešity napříč vašimi daty nebo používat existující šablony sešitů dostupné s zabalenými řešeními nebo jako samostatný obsah z centra obsahu. Tyto šablony umožňují rychle získat přehled o datech hned po připojení zdroje dat.

Tento článek popisuje, jak vizualizovat data v Microsoft Sentinelu pomocí sešitů.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

  • Ke skupině prostředků pracovního prostoru Microsoft Sentinelu musíte mít oprávnění alespoň čtenáře sešitu nebo přispěvatele sešitu.

    Sešity, které vidíte v Microsoft Sentinelu, se ukládají do skupiny prostředků pracovního prostoru Microsoft Sentinelu a jsou označené pracovním prostorem, ve kterém byly vytvořeny.

  • Pokud chcete použít šablonu sešitu, nainstalujte řešení obsahující sešit nebo ho nainstalujte jako samostatnou položku z centra obsahu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Vytvoření sešitu ze šablony

K vytvoření sešitu použijte šablonu nainstalovanou z centra obsahu.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Sešity.
    Pro Microsoft Sentinel na portálu Defender vyberte Sešity správy>hrozeb Microsoft Sentinelu>.

  2. Přejděte na Sešity a pak vyberte Šablony a zobrazte seznam nainstalovaných šablon sešitů.

    Pokud chcete zjistit, které šablony jsou relevantní pro datové typy, které jste připojili, zkontrolujte pole Požadované datové typy v každém sešitu, kde jsou k dispozici.

  3. V podokně podrobností šablony vyberte Uložit a umístění, kam chcete soubor JSON pro šablonu uložit. Tato akce vytvoří prostředek Azure na základě příslušné šablony a uloží soubor JSON sešitu, nikoli data.

  4. V podokně podrobností šablony vyberte Zobrazit uložený sešit .

  5. Výběrem tlačítka Upravit na panelu nástrojů sešitu můžete sešit přizpůsobit podle svých potřeb.

    Snímek obrazovky znázorňující uložený sešit

    Pokud chcete naklonovat sešit, vyberte Upravit a pak Uložit jako. Uložte klon pod stejným názvem a skupinou prostředků pod stejným předplatným a skupinou prostředků. Klonované sešity se zobrazují na kartě Moje sešity .

  6. Až budete hotovi, uložte provedené změny výběrem možnosti Uložit .

Další informace najdete v tématu vytváření interaktivních sestav pomocí sešitů služby Azure Monitor.

Vytvoření nového sešitu

Vytvořte v Microsoft Sentinelu úplně od začátku sešit.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Sešity.
    Pro Microsoft Sentinel na portálu Defender vyberte Sešity správy>hrozeb Microsoft Sentinelu>.

  2. Vyberte Přidat sešit.

  3. Pokud chcete sešit upravit, vyberte Upravit a podle potřeby přidejte text, dotazy a parametry. Další informace o tom, jak sešit přizpůsobit, najdete v tématu Vytváření interaktivních sestav pomocí sešitů služby Azure Monitor.

    Snímek obrazovky znázorňující nový sešit

  4. Při vytváření dotazu nastavte zdroj dat na protokoly a typ prostředku na Log Analytics a pak zvolte jeden nebo více pracovních prostorů.

    Doporučujeme, aby váš dotaz používal analyzátor ADVANCED Security Information Model (ASIM) a ne integrovanou tabulku. Dotaz pak bude podporovat jakýkoli aktuální nebo budoucí relevantní zdroj dat místo jednoho zdroje dat.

  5. Po vytvoření sešitu uložte sešit pod předplatné a skupinu prostředků pracovního prostoru Služby Microsoft Sentinel.

  6. Pokud chcete, aby sešit používali jiní uživatelé ve vaší organizaci, vyberte v části Uložit sdílené sestavy. Pokud chcete, aby byl tento sešit dostupný jenom vám, vyberte Moje sestavy.

  7. Pokud chcete přepínat mezi sešity v pracovním prostoru, vyberte OtevřítIkona pro otevření sešitu na panelu nástrojů libovolného sešitu. Obrazovka se přepne na seznam dalších sešitů, na které můžete přepnout.

    Vyberte sešit, který chcete otevřít:

    Přepínání sešitů

Aktualizace dat sešitu

Aktualizujte sešit, aby se zobrazila aktualizovaná data. Na panelu nástrojů vyberte jednu z následujících možností:

  • Aktualizujte data sešitu ručně.

  • Automatická aktualizace, která nastaví sešit tak, aby se automaticky aktualizoval v nakonfigurovaným intervalu.

    • Podporované intervaly automatické aktualizace jsou v rozsahu od 5 minut do 1 dne.

    • Při úpravách sešitu se automatická aktualizace pozastaví a intervaly se restartují pokaždé, když přepnete zpět do režimu zobrazení z režimu úprav.

    • Intervaly automatické aktualizace se také restartují, pokud ručně aktualizujete data.

    Ve výchozím nastavení je automatická aktualizace vypnutá. Kvůli optimalizaci výkonu je automatická aktualizace při každém zavření sešitu vypnutá. Nespustí se na pozadí. Automatické aktualizace znovu zapněte podle potřeby při příštím otevření sešitu.

Pokud chcete sešit vytisknout nebo uložit jako PDF, použijte nabídku možností napravo od názvu sešitu.

  1. Vyberte možnosti >Tisk obsahu.

  2. Na obrazovce tisku upravte nastavení tisku podle potřeby nebo vyberte Uložit jako PDF a uložte ho místně.

    Příklad: Snímek obrazovky znázorňující, jak vytisknout sešit nebo uložit jako PDF

Odstraňování sešitů

Pokud chcete odstranit uložený sešit, uloženou šablonu nebo přizpůsobený sešit, vyberte uložený sešit, který chcete odstranit, a vyberte Odstranit. Tato akce odebere uložený sešit. Odebere také prostředek sešitu a všechny změny, které jste v šabloně udělali. Původní šablona zůstane k dispozici.

Další informace o oblíbených předdefinovaných sešitech najdete v tématu Běžně používané sešity Microsoft Sentinelu.