Übung: Einrichten eines Dashboards und Hinzufügen eines Berichts

  • 10 Minuten

In dieser Übung richten Sie ein Dashboard für das Sicherheitsteam ein, um das Potenzial von Azure-Protokollen und -Warnungen beim Überwachen des Benutzerverhaltens zu erkennen. Sie führen folgende Aufgaben aus:

  • Erstellen eines Sicherheitsdashboards.
  • Erstellen einer Abfrage für das Dashboard.
  • Anheften von Abfrageergebnissen an Ihr Dashboard.
  • Bearbeiten oder Anpassen eines Elements in Ihrem Dashboard.
  • Exportieren eines Berichts in Excel.

Hinweis

Diese Übung ist optional. Wenn Sie kein Azure-Konto haben, können Sie die folgenden Anweisungen durchlesen, damit Sie verstehen, wie Sie Ihren Log Analytics-Arbeitsbereich und Dashboards nutzen können.

Wenn Sie diese Übung absolvieren möchten, aber kein Azure-Abonnement haben oder Ihr eigenes Konto nicht verwenden möchten, können Sie, bevor Sie beginnen, ein kostenloses Konto erstellen.

Erstellen eines Sicherheitsdashboards

  1. Suchen Sie im Azure-Portal nach Dashboard.

  2. Wählen Sie Neues Dashboard>Leeres Dashboard aus.

    Screenshot that shows how to create a new dashboard.

  3. Nennen Sie das Dashboard SecurityDashboard, und wählen Sie dann Speichern aus. Lassen Sie das Dashboard vorerst leer. Im Laufe der nächsten Schritte fügen Sie Ihrem Dashboard eine Berichtsabfrage hinzu.

    Screenshot that shows how to save a dashboard.

  4. Klicken Sie auf Freigeben.

    Screenshot of the Share button.

  5. Vergewissern Sie sich im Bereich Freigabe und Zugriffssteuerung, dass die Informationen stimmen:

    • Der Name des Dashboards ist Sicherheitsdashboard.
    • Übernehmen Sie als Abonnementnamen den Standardwert.
    • Das Kontrollkästchen In der Ressourcengruppe „Dashboards“ veröffentlichen ist deaktiviert.

  6. Wählen Sie Veröffentlichen aus, um das leere Dashboard verfügbar zu machen.

    Screenshot of the Sharing and access control pane.

Erstellen einer Abfrage für das Dashboard

So erstellen Sie eine Abfrage für das Dashboard:

  1. Wählen Sie im Azure-Portal Alle Ressourcen aus.

  2. Wählen Sie den Log Analytics-Arbeitsbereich aus, den Sie zuvor erstellt haben.

  3. Wählen Sie unter Allgemein die Option Protokolle aus.

  4. Für diese Übung möchten Sie wissen, welches Benutzerereignis in der letzten Woche am häufigsten aufgetreten ist. Fügen Sie im Abfrage-Editor die folgende Abfrage ein:

    AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc

  5. Klicken Sie auf der Menüleiste auf die Option Ausführen, um sicherzustellen, dass die Abfrage Daten zurückgibt.

    Screenshot of searching logs.

  6. Wenn Sie die gewünschten Daten vorliegen und Sie zufrieden sind, wählen Sie Bearbeitung abgeschlossen aus, und wählen Sie dann das Symbol Speichern in der Menüleiste aus.

  7. Geben Sie einen beschreibenden Namen ein, z. B. Häufige Benutzerereignisse der letzten 7 Tage.

  8. Wählen Sie das Abonnement, die Ressourcengruppe und den Speicherort aus, die Sie verwenden möchten, oder geben Sie sie ein.

  9. Wählen Sie Speichern aus.

Anheften von Abfrageergebnissen an Ihr Dashboard

Als Nächstes heften Sie Abfrageergebnisse an das von Ihnen erstellte Dashboard an:

  1. Kehren Sie zurück zum Log Analytics-Arbeitsbereich, und klicken Sie unter Allgemein auf Protokolle.

  2. Suchen Sie im Dialogfeld Abfragen nach der von Ihnen erstellten Abfrage, und wählen Sie dann Ausführen aus.

  3. Zum Anheften von Abfrageergebnissen an ein Dashboard wählen Sie in der Menüleiste das Symbol Anheften aus.

  4. Wählen Sie im Bereich An Dashboard anheften die Optionen aus, die Sie verwenden möchten. Wählen Sie beispielsweise das zuvor erstellte SecurityDashboard aus.

  5. Wählen Sie Anheftenaus.

    Screenshot of pinning a query.

  6. Wechseln Sie zum Dashboard, um Ihre Analyseergebnisse anzuzeigen.

Bearbeiten oder Anpassen eines Berichts in Ihrem Dashboard

So ändern Sie den Titel eines Elements in einem Dashboard oder die Dashboardsicht:

  1. Wählen Sie im Menü des Azure-Portals die Option Dashboard aus.

    Screenshot that shows selecting Dashboard in the portal menu.

  2. Wenn Sie über mehrere Dashboards verfügen, wählen Sie im Dropdownmenü „Dashboards“ die Option SecurityDashboard aus.

  3. Wählen Sie auf einer Kachel die Auslassungspunkte aus, und wählen Sie dann Kacheleinstellungen konfigurieren (das Zahnradsymbol) in der Elementkachel aus.

  4. Ändern Sie im Bereich Kacheleinstellungen konfigurieren den Titel in Top-Benutzerereignisse in der letzten Woche.

  5. Wählen Sie Übernehmen.

    Screenshot of editing a report on the dashboard.

  6. Um zu ändern, wie ein Element im Dashboard angezeigt wird, wählen Sie die Auslassungspunkte und dann Anpassen (das Bleistiftsymbol) aus. Wählen Sie die Option zum Ändern der Kacheldarstellung im Dashboard und dann Anpassung abgeschlossen aus.

    Screenshot of customizing a report on the dashboard.

  7. Klicken Sie auf Speichern.

Exportieren eines Berichts in Excel

Exportieren Sie schließlich den Bericht in Excel:

  1. Wählen Sie in der Berichtskachel auf dem Dashboard das Symbol Auf Blatt „Protokolle“ öffnen aus:

    Screenshot that shows the Open in Logs blade icon.

  2. Wählen Sie im Bereich Protokolle die Option Ausführen und dann Exportieren>In Excel öffnen aus.

    Screenshot of the options in the Export dropdown.

  3. Öffnen Sie die heruntergeladene Datei, und speichern Sie sie auf Ihrem Computer.