Übung: Einrichten eines Dashboards und Hinzufügen eines Berichts
In dieser Übung richten Sie ein Dashboard für das Sicherheitsteam ein, um das Potenzial von Azure-Protokollen und -Warnungen beim Überwachen des Benutzerverhaltens zu erkennen. Sie führen folgende Aufgaben aus:
- Erstellen eines Sicherheitsdashboards.
- Erstellen einer Abfrage für das Dashboard.
- Anheften von Abfrageergebnissen an Ihr Dashboard.
- Bearbeiten oder Anpassen eines Elements in Ihrem Dashboard.
- Exportieren eines Berichts in Excel.
Hinweis
Diese Übung ist optional. Wenn Sie kein Azure-Konto haben, können Sie die folgenden Anweisungen durchlesen, damit Sie verstehen, wie Sie Ihren Log Analytics-Arbeitsbereich und Dashboards nutzen können.
Wenn Sie diese Übung absolvieren möchten, aber kein Azure-Abonnement haben oder Ihr eigenes Konto nicht verwenden möchten, können Sie, bevor Sie beginnen, ein kostenloses Konto erstellen.
Erstellen eines Sicherheitsdashboards
Suchen Sie im Azure-Portal nach Dashboard.
Wählen Sie Neues Dashboard>Leeres Dashboard aus.
Nennen Sie das Dashboard SecurityDashboard, und wählen Sie dann Speichern aus. Lassen Sie das Dashboard vorerst leer. Im Laufe der nächsten Schritte fügen Sie Ihrem Dashboard eine Berichtsabfrage hinzu.
Klicken Sie auf Freigeben.
Vergewissern Sie sich im Bereich Freigabe und Zugriffssteuerung, dass die Informationen stimmen:
- Der Name des Dashboards ist Sicherheitsdashboard.
- Übernehmen Sie als Abonnementnamen den Standardwert.
- Das Kontrollkästchen In der Ressourcengruppe „Dashboards“ veröffentlichen ist deaktiviert.
Wählen Sie Veröffentlichen aus, um das leere Dashboard verfügbar zu machen.
Erstellen einer Abfrage für das Dashboard
So erstellen Sie eine Abfrage für das Dashboard:
Wählen Sie im Azure-Portal Alle Ressourcen aus.
Wählen Sie den Log Analytics-Arbeitsbereich aus, den Sie zuvor erstellt haben.
Wählen Sie unter Allgemein die Option Protokolle aus.
Für diese Übung möchten Sie wissen, welches Benutzerereignis in der letzten Woche am häufigsten aufgetreten ist. Fügen Sie im Abfrage-Editor die folgende Abfrage ein:
AuditLogs | where TimeGenerated >= ago(7d) | summarize auditCount = count() by OperationName | sort by auditCount desc
Klicken Sie auf der Menüleiste auf die Option Ausführen, um sicherzustellen, dass die Abfrage Daten zurückgibt.
Wenn Sie die gewünschten Daten vorliegen und Sie zufrieden sind, wählen Sie Bearbeitung abgeschlossen aus, und wählen Sie dann das Symbol Speichern in der Menüleiste aus.
Geben Sie einen beschreibenden Namen ein, z. B. Häufige Benutzerereignisse der letzten 7 Tage.
Wählen Sie das Abonnement, die Ressourcengruppe und den Speicherort aus, die Sie verwenden möchten, oder geben Sie sie ein.
Wählen Sie Speichern aus.
Anheften von Abfrageergebnissen an Ihr Dashboard
Als Nächstes heften Sie Abfrageergebnisse an das von Ihnen erstellte Dashboard an:
Kehren Sie zurück zum Log Analytics-Arbeitsbereich, und klicken Sie unter Allgemein auf Protokolle.
Suchen Sie im Dialogfeld Abfragen nach der von Ihnen erstellten Abfrage, und wählen Sie dann Ausführen aus.
Zum Anheften von Abfrageergebnissen an ein Dashboard wählen Sie in der Menüleiste das Symbol Anheften aus.
Wählen Sie im Bereich An Dashboard anheften die Optionen aus, die Sie verwenden möchten. Wählen Sie beispielsweise das zuvor erstellte SecurityDashboard aus.
Wählen Sie Anheftenaus.
Wechseln Sie zum Dashboard, um Ihre Analyseergebnisse anzuzeigen.
Bearbeiten oder Anpassen eines Berichts in Ihrem Dashboard
So ändern Sie den Titel eines Elements in einem Dashboard oder die Dashboardsicht:
Wählen Sie im Menü des Azure-Portals die Option Dashboard aus.
Wenn Sie über mehrere Dashboards verfügen, wählen Sie im Dropdownmenü „Dashboards“ die Option SecurityDashboard aus.
Wählen Sie auf einer Kachel die Auslassungspunkte aus, und wählen Sie dann Kacheleinstellungen konfigurieren (das Zahnradsymbol) in der Elementkachel aus.
Ändern Sie im Bereich Kacheleinstellungen konfigurieren den Titel in Top-Benutzerereignisse in der letzten Woche.
Wählen Sie Übernehmen.
Um zu ändern, wie ein Element im Dashboard angezeigt wird, wählen Sie die Auslassungspunkte und dann Anpassen (das Bleistiftsymbol) aus. Wählen Sie die Option zum Ändern der Kacheldarstellung im Dashboard und dann Anpassung abgeschlossen aus.
Klicken Sie auf Speichern.
Exportieren eines Berichts in Excel
Exportieren Sie schließlich den Bericht in Excel:
Wählen Sie in der Berichtskachel auf dem Dashboard das Symbol Auf Blatt „Protokolle“ öffnen aus:
Wählen Sie im Bereich Protokolle die Option Ausführen und dann Exportieren>In Excel öffnen aus.
Öffnen Sie die heruntergeladene Datei, und speichern Sie sie auf Ihrem Computer.