Dashboards in Azure-Arbeitsmappen konvertieren
Konvertieren Sie Dashboards aus Ihrer vorhandenen SIEM-Lösung (Security Information & Event Management) in eine Azure-Arbeitsmappe für Microsoft Sentinel. Azure-Arbeitsmappen bieten Flexibilität zum Erstellen benutzerdefinierter Dashboards für Microsoft Sentinel. In diesem Artikel wird beschrieben, wie Sie Ihre aktuellen Dashboards überprüfen und planen und in Azure-Arbeitsmappen konvertieren.
Überprüfen von Dashboards in Ihrem aktuellen SIEM
Berücksichtigen Sie beim Entwerfen der Migration die folgenden Schritte.
- Analysieren Sie die Dashboards. Sammeln Sie Informationen zu Ihren Dashboards, einschließlich Entwurf, Parametern, Datenquellen und anderen Details. Identifizieren Sie den Zweck oder die Verwendung jedes Dashboards.
- Seien Sie selektiv. Migrieren Sie nicht alle Dashboards ohne zuvor zu überlegen. Konzentrieren Sie sich auf Dashboards, die wichtig sind und regelmäßig verwendet werden.
- Berücksichtigen Sie Berechtigungen. Berücksichtigen Sie, wer die Zielgruppe für Arbeitsmappen ist. Azure-Arbeitsmappen verwenden die rollenbasierte Zugriffssteuerung (Azure RBAC). Weitere Informationen finden Sie im Artikel zur Zugriffssteuerung in Azure-Arbeitsmappen. Um Dashboards außerhalb von Azure zu erstellen, z. B. für Führungskräfte ohne Azure-Zugriff, verwenden Sie ein Berichterstellungstool wie Power BI.
Vorbereiten der Dashboardkonvertierung
Führen Sie nach Überprüfung Ihrer Dashboards die folgenden Aufgaben aus, um Ihre Dashboardmigration vorzubereiten:
Überprüfen Sie alle Visualisierungen in jedem Dashboard. Die Dashboards in Ihrem aktuellen SIEM enthalten möglicherweise mehrere Diagramme oder Panels. Es ist wichtig, den Inhalt der Dashboards in der engeren Auswahl zu überprüfen, um unerwünschte Visualisierungen oder Daten zu beseitigen.
Erfassen Sie Dashboarddesign und -interaktivität.
Identifizieren Sie alle Designelemente, die für Ihre Benutzer wichtig sind. Beispielsweise das Layout des Dashboards, die Anordnung der Diagramme oder sogar den Schriftgrad oder die Farbe der Diagramme.
Erfassen Sie sämtliche Interaktivitäten wie Drilldown, Filterung usw., die Sie in Azure-Arbeitsmappen übertragen müssen.
Identifizieren sie erforderliche Parameter oder Benutzereingaben. In den meisten Fällen müssen Sie Parameter für Benutzer definieren, um Suchen, Filterungen oder Bereichsergebnisse auszuführen (z. B. Datumsbereich, Kontoname und andere). Daher ist es wichtig, die Details im Zusammenhang mit den Parametern zu erfassen. Im Folgenden sind einige der wichtigsten Parameteranforderungen aufgeführt, die gesammelt werden sollen:
- Der Typ der Parameter für Benutzer zum Ausführen von Auswahl oder Eingabe. Beispielsweise Datumsbereich, Text oder andere.
- Wie die Parameter dargestellt werden, z. B. Dropdown, Textfeld oder andere.
- Das erwartete Wertformat, z. B. Zeit, Zeichenfolge, ganze Zahl oder andere.
- Andere Eigenschaften, z. B. der Standardwert, das Zulassen der Mehrfachauswahl, die bedingte Sichtbarkeit oder andere.
Konvertieren von Dashboards
Um Ihr Dashboard zu konvertieren, führen Sie die folgenden Aufgaben in Azure-Arbeitsmappen und Microsoft Sentinel aus.
1. Identifizieren von Datenquellen
Azure-Arbeitsmappen sind mit einer großen Anzahl von Datenquellen kompatibel. Weitere Informationen finden Sie unter Datenquellen für Azure-Arbeitsmappen. In den meisten Fällen verwenden Sie als Datenquelle Azure Monitor-Protokolle und Kusto Query Language-(KQL-)Abfragen, um die zugrunde liegenden Protokolle in Ihrem Microsoft Sentinel-Arbeitsbereich zu visualisieren.
2. Erstellen oder Überprüfen von KQL-Abfragen
In diesem Schritt arbeiten Sie hauptsächlich mit KQL, um Ihre Daten zu visualisieren. Sie können Ihre Abfragen in Microsoft Sentinel erstellen und testen, bevor Sie sie in Azure-Arbeitsmappen konvertieren. Um die Abfragen aus Microsoft Sentinel im Azure-Portal zu testen, wechseln Sie zu Protokolle. Wählen Sie in Microsoft Sentinel im Defender-Portal Untersuchung und Reaktion>Hunting>Erweiterte Bedrohungssuche aus.
Bevor Sie Ihre KQL-Abfragen abschließen, überprüfen und optimieren Sie die Abfragen immer, um die Abfrageleistung zu verbessern. Optimierte Abfragen:
- werden schneller ausgeführt, wodurch sich die Gesamtdauer der Abfrageausführung verringert.
- werden mit geringerer Wahrscheinlichkeit gedrosselt oder abgelehnt.
Weitere Informationen finden Sie in den folgenden Ressourcen:
- Bewährte Methoden für KQL-Abfragen
- Optimieren von Abfragen in Azure Monitor Logs
- Optimieren der KQL Leistung (Webinar)
3. Erstellen oder Aktualisieren der Arbeitsmappe
Erstellen Sie eine Arbeitsmappe, aktualisieren Sie die Arbeitsmappe, oder klonen Sie eine vorhandene Arbeitsmappe, sodass Sie nicht von Grund auf neu beginnen müssen. Geben Sie außerdem an, wie die Daten oder Visualisierungen dargestellt, angeordnet und gruppiert werden. Es gibt zwei gebräuchliche Designs:
- Vertikale Arbeitsmappe
- Arbeitsmappe mit Registerkarten
Weitere Informationen finden Sie in den folgenden Artikeln:
- Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel
- Hinzufügen von Gruppen in Azure-Arbeitsmappen
4. Erstellen oder Aktualisieren von Arbeitsmappenparametern oder Benutzereingaben
Bis Sie in dieser Phase angekommen sind, sollten Sie die erforderlichen Parameter für Ihre Arbeitsmappe identifiziert haben. Mit Parametern können Sie Eingaben von den Verbrauchern sammeln und auf die Eingabe in anderen Teilen der Arbeitsmappe verweisen. Diese Eingabe wird in der Regel zum Ermitteln des Ergebnisbereichs verwendet, um die richtige Visualisierung festzulegen, und Sie können interaktive Berichte und Oberflächen erstellen.
Mithilfe von Workbooks können Sie steuern, wie Ihre Parametersteuerelemente den Verbrauchern präsentiert werden. Sie wählen z. B. aus, ob die Steuerelemente als Textfeld oder Dropdownliste oder als Einzel- oder Mehrfachauswahl dargestellt werden. Sie können auch auswählen, welche Werte verwendet werden sollen, wie z. B. Text-, JSON-, KQL- oder Azure Resource Graph-Werte etc.
Überprüfen Sie die unterstützten Arbeitsmappenparameter. Auf diese Parameterwerte kann in anderen Teilen von Arbeitsmappen entweder über Bindungen oder Werterweiterungen verwiesen werden.
5. Erstellen oder Aktualisieren von Visualisierungen
Arbeitsmappen bieten eine Vielzahl von Funktionen zur Visualisierung Ihrer Daten. Lesen Sie diese detaillierten Beispiele für jeden Visualisierungstyp.
6. Erstellen einer Vorschau und Speichern der Arbeitsmappe
Nachdem Sie Ihre Arbeitsmappe gespeichert haben, geben Sie die Parameter an, und überprüfen Sie die Ergebnisse. Sie können es auch mit der automatischen Aktualisierung oder dem Druckfeature zum Speichern als PDF versuchen.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Ihre Dashboards in Azure-Arbeitsmappen konvertieren.