Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel

  • Artikel
  • Gilt für:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nachdem Sie Ihre Datenquellen mit Microsoft Sentinel verbunden haben, visualisieren und überwachen Sie die Daten mithilfe von Arbeitsmappen in Microsoft Sentinel. Mit Microsoft Sentinel können Sie benutzerdefinierte Arbeitsmappen für Ihre Daten erstellen oder vorhandene Arbeitsmappenvorlagen verwenden, die als Teil von gepackten Lösungen oder als eigenständiger Inhalt aus dem Content Hub verfügbar sind. Mit diesem Vorlagen können Sie schnell Einblicke in Ihre Daten gewinnen, sobald Sie eine Verbindung mit einer Datenquelle herstellen.

Dieser Artikel beschreibt, wie Sie Ihre Daten in Microsoft Sentinel mit Arbeitsmappen visualisieren können.

Wichtig

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitliche Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

  • Sie müssen mindestens über die Berechtigungen Arbeitsmappenleser oder Arbeitsmappenmitarbeiter in der Ressourcengruppe des Microsoft Sentinel-Arbeitsbereichs verfügen.

    Die Arbeitsmappen, die Sie in Microsoft Sentinel sehen, werden in der Ressourcengruppe des Microsoft Sentinel-Arbeitsbereichs gespeichert und sind mit dem Arbeitsbereich gekennzeichnet, in dem sie erstellt wurden.

  • Um eine Arbeitsmappenvorlage zu verwenden, installieren Sie die Lösung, die die Arbeitsmappe enthält, oder installieren Sie die Arbeitsmappe als eigenständiges Element aus dem Content Hub. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.

Erstellen einer Arbeitsmappe aus einer Vorlage

Verwenden Sie eine Vorlage, die über den Inhaltshub installiert wurde, um eine Arbeitsmappe zu erstellen.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Arbeitsmappen aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Arbeitsmappen aus.

  2. Wechseln Sie zu Arbeitsmappen, und wählen Sie dann Vorlagen aus, um die vollständige Liste der installierten Arbeitsmappenvorlagen anzuzeigen.

    Wenn Sie sehen möchten, welche Vorlagen für die verbundenen Datentypen relevant sind, überprüfen Sie das Feld Erforderlichen Datentypen in jeder Arbeitsmappe, sofern verfügbar.

  3. Wählen Sie Speichern aus dem Detailbereich der Vorlage und den Speicherort aus, an dem Sie die JSON-Datei für die Vorlage speichern möchten. Durch diese Aktion wird eine Azure-Ressource erstellt, die auf der relevanten Vorlage basiert, und die JSON-Datei der Arbeitsmappe, nicht die Daten, wird gespeichert.

  4. Wählen Sie im Detailbereich der Vorlage Gespeicherte Arbeitsmappe anzeigen aus.

  5. Wählen Sie auf der Symbolleiste der Arbeitsmappe die Schaltfläche Bearbeiten aus, um die Arbeitsmappe entsprechend Ihren Anforderungen anzupassen.

    Screenshot der gespeicherten Arbeitsmappe.

    Um die Arbeitsmappe zu klonen, wählen Sie Bearbeiten und Speichern unter aus. Speichern Sie den Klon unter einem anderen Namen im selben Abonnement und in derselben Ressourcengruppe. Geklonte Arbeitsmappen werden auf der Registerkarte My workbooks (Meine Arbeitsmappen) angezeigt.

  6. Wenn Sie fertig sind, wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

Weitere Informationen finden Sie unter Erstellen interaktiver Berichte mit Azure Monitor-Arbeitsmappen.

Erstellen einer neuen Arbeitsmappe

Erstellen Sie in Microsoft Sentinel eine Arbeitsmappe von Grund auf neu.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Arbeitsmappen aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Arbeitsmappen aus.

  2. Wählen Sie Arbeitsmappe hinzufügen aus.

  3. Um die Arbeitsmappe zu bearbeiten, wählen Sie Edit (Bearbeiten) aus, und fügen Sie dann nach Bedarf Text, Abfragen und Parameter hinzu. Weitere Informationen zum Anpassen der Arbeitsmappe finden Sie unter Erstellen interaktiver Berichte mit Azure Monitor-Arbeitsmappen.

    Screenshot: Neue Arbeitsmappe.

  4. Legen Sie beim Erstellen einer Abfrage die Datenquelle auf Protokolle und Ressourcentyp auf Log Analytics fest, und wählen Sie dann einen oder mehrere Arbeitsbereiche aus.

    Es wird empfohlen, dass Ihre Abfrage einen ASIM-Parser (Advanced Security Information Model) und keine integrierte Tabelle verwendet. Die Abfrage unterstützt dann alle aktuellen oder zukünftigen relevanten Datenquellen statt einer einzelnen Datenquelle.

  5. Nachdem Sie Ihre Arbeitsmappe erstellt haben, speichern Sie sie unter dem Abonnement und der Ressourcengruppe Ihres Microsoft Sentinel-Arbeitsbereichs.

  6. Wenn Sie möchten, dass andere Personen in Ihrer Organisation die Arbeitsmappe verwenden, wählen Sie unter Save to (Speichern in) die Option Shared reports (Freigegebene Berichte) aus. Wenn Sie möchten, dass diese Arbeitsmappe nur für Sie verfügbar ist, wählen Sie My reports (Meine Berichte) aus.

  7. Um zwischen Arbeitsmappen in Ihrem Arbeitsbereich zu wechseln, klicken Sie auf der Symbolleiste einer beliebigen Arbeitsmappe auf ÖffnenSymbol zum Öffnen einer Arbeitsmappe. Der Bildschirm wechselt zu einer Liste von anderen Arbeitsmappen, zu denen Sie wechseln können.

    Öffnen Sie die Arbeitsmappe, die Sie aktualisieren möchten:

    Arbeitsmappen wechseln.

Aktualisieren Sie Ihre Arbeitsmappendaten

Aktualisieren Sie die Arbeitsmappe, um aktualisierte Daten anzuzeigen. Wählen Sie in der Symbolleiste eine der folgenden Optionen aus:

  • Aktualisieren, um die Arbeitsmappendaten manuell zu aktualisieren

  • Automatische Aktualisierung, um die automatische Aktualisierung der Arbeitsmappe in einem konfigurierten Intervall festzulegen

    • Die unterstützten Aktualisierungsintervalle reichen von 5 Minuten bis zu 1 Tag.

    • Die automatische Aktualisierung wird angehalten, während Sie eine Arbeitsmappe bearbeiten, und die Intervalle werden jedes Mal neu gestartet, wenn Sie vom Bearbeitungsmodus zurück in den Ansichtsmodus wechseln.

    • Automatische Aktualisierungsintervalle werden ebenfalls neu gestartet, wenn Sie Ihre Daten manuell aktualisieren.

    Die automatische Aktualisierung ist standardmäßig deaktiviert. Um die Leistung zu optimieren, wird die automatische Aktualisierung jedes Mal deaktiviert, wenn Sie eine Arbeitsmappe schließen. Sie wird nicht im Hintergrund ausgeführt. Aktivieren Sie die automatische Aktualisierung ggf. wieder, wenn Sie die Arbeitsmappe das nächste Mal öffnen.

Verwenden Sie das Optionsmenü rechts neben dem Titel der Arbeitsmappe, um eine Arbeitsmappe zu drucken oder als PDF zu speichern.

  1. Klicken Sie auf das Optionsmenü >Inhalt drucken.

  2. Passen Sie bei Bedarf die Druckeinstellungen auf der entsprechenden Seite an, oder klicken Sie auf Save as PDF( Als PDF speichern), um die Datei lokal zu speichern.

    Beispiel: Screenshot, der zeigt, wie Sie Ihre Arbeitsmappe drucken oder als PDF speichern können.

Löschen von Arbeitsmappen

Um eine gespeicherte Arbeitsmappe (entweder eine gespeicherte Vorlage oder eine angepasste Arbeitsmappe) zu löschen, wählen Sie diese aus, und wählen Sie Löschen aus. Durch diese Aktion wird die gespeicherte Arbeitsmappe entfernt. Außerdem werden die Arbeitsmappenressource und alle Änderungen, die Sie an der Vorlage vorgenommen haben, entfernt. Die ursprüngliche Vorlage bleibt verfügbar.

Weitere Informationen zu beliebten integrierten Arbeitsmappen finden Sie unter Häufig verwendete Microsoft Sentinel-Arbeitsmappen.