Visualiser et surveiller vos données à l’aide de classeurs dans Microsoft Sentinel

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Une fois vos sources de données connectées à Microsoft Sentinel, vous pouvez visualiser et analyser les données à l’aide de classeurs dans Microsoft Sentinel. Microsoft Sentinel vous permet de créer des classeurs personnalisés avec vos données ou d’utiliser des modèles de classeur existants accompagnant des solutions empaquetées ou proposés sous forme de contenu autonome dans le hub de contenu. Ces modèles vous permettent d’obtenir rapidement des insights sur vos données dès que vous connectez une source de données.

Cet article décrit comment visualiser vos données dans Microsoft Sentinel à l’aide de classeurs.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

  • Vous devez avoir au moins les droits de lecteur de Workbook ou de contributeur de Workbook sur le groupe de ressources de l'espace de travail Microsoft Sentinel.

    Les classeurs que vous pouvez voir dans Microsoft Sentinel sont enregistrés dans le groupe de ressources de l'espace de travail Microsoft Sentinel et sont étiquetés par l'espace de travail dans lequel ils ont été créés.

  • Pour utiliser un modèle de classeur, installez la solution qui contient le classeur ou installez le classeur en tant qu’élément autonome depuis le hub de contenu. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

Créer un classeur avec un modèle

Pour créer un classeur, utilisez un modèle installé à partir du hub de contenu.

  1. Dans Microsoft Sentinel, dans le Portail Azure, sous Gestion des menaces, sélectionnez Classeurs.
    Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Classeurs.

  2. Accédez à Classeurs, puis sélectionnez Modèles pour afficher la liste des modèles de classeur installés.

    Pour identifier quels modèles sont pertinents pour les types de données que vous avez connectés, examinez le champ Types de données obligatoires dans chaque classeur, le cas échéant.

  3. Sélectionnez Enregistrer à partir des informations sur le modèle, puis choisissez l’emplacement où vous souhaitez enregistrer le fichier JSON du modèle. Cette action crée une ressource Azure basée sur le modèle associé et enregistre le fichier JSON du modèle, mais pas les données.

  4. Sélectionnez Afficher le classeur enregistré dans le volet d’informations du modèle.

  5. Sélectionnez le bouton Modifier de la barre d’outils du classeur pour personnaliser ce dernier en fonction de vos besoins.

    Capture d’écran montrant le classeur enregistré.

    Pour cloner votre classeur, sélectionnez Modifier , puis Enregistrer sous. Enregistrez le clone sous un autre nom dans le même abonnement et le même groupe de ressources. Les classeurs clonés sont affichés sous l’onglet Mes classeurs.

  6. Lorsque vous avez terminé, sélectionnez Enregistrer pour enregistrer vos paramètres.

Pour plus d’informations, consultez Créer des rapports interactifs avec les classeurs Azure Monitor.

Créer un classeur

Créez un classeur à partir de zéro dans Microsoft Sentinel.

  1. Dans Microsoft Sentinel, dans le Portail Azure, sous Gestion des menaces, sélectionnez Classeurs.
    Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Classeurs.

  2. Sélectionnez Ajouter un classeur.

  3. Pour modifier le classeur, sélectionnez Modifier, puis ajoutez du texte, des requêtes et des paramètres selon vos besoins. Pour plus d’informations sur la personnalisation du classeur, consultez Créer des rapports interactifs avec les classeurs Azure Monitor.

    Capture d’écran montrant un nouveau classeur.

  4. Quand vous créez une requête, définissez l’option Source de données sur Journaux et l’option Type de ressource sur Log Analytics, puis choisissez au moins un espace de travail.

    En guise de meilleure pratique, votre requête doit utiliser un Analyseur d’Advanced SIEM Information Model (ASIM), et non un tableau intégré. Ensuite, la requête prend en charge toutes les sources de données pertinentes actuelles ou futures au lieu d’une seule source de données.

  5. Après avoir créé votre classeur, enregistrez-le dans le groupe d'abonnement et de ressources de votre espace de travail Microsoft Sentinel.

  6. Si vous voulez autoriser d’autres personnes de votre organisation à utiliser le classeur, sous Enregistrer dans, sélectionnez Rapports partagés. Si vous souhaitez restreindre l’usage de ce classeur à vous-seul, sélectionnez Mes rapports.

  7. Pour passer d’un classeur à un autre dans votre espace de travail, sélectionnez OuvrirIcône pour ouvrir un classeur. dans la barre d’outils d’un classeur. L’écran bascule vers une liste de classeurs vers lesquels vous pouvez basculer.

    Sélectionnez le classeur que vous souhaitez ouvrir :

    Basculez entre les classeurs.

Actualiser les données de votre classeur

Actualisez votre classeur pour afficher les données mises à jour. Dans la barre d’outils, sélectionnez l’une des options suivantes :

  • Actualiser, pour actualiser manuellement les données de votre classeur.

  • Actualisation automatique, pour définir l’actualisation automatique de votre classeur à un intervalle configuré.

    • Les intervalles d’actualisation automatique s’échelonnent entre 5 minutes et 1 jour.

    • L’actualisation automatique est suspendue lorsque vous modifiez un classeur, et les intervalles sont redémarrés chaque fois que vous revenez en mode d’affichage à partir du mode d’édition.

    • Les intervalles d’actualisation automatique sont également redémarrés si vous actualisez manuellement vos données.

    Par défaut, l’actualisation automatique est désactivée. Pour optimiser les performances, l’actualisation automatique est désactivée chaque fois que vous fermez un classeur. Elle ne s’exécute pas en arrière-plan. Activez l’actualisation automatique en fonction de vos besoins la prochaine fois que vous ouvrirez le classeur.

Pour imprimer un classeur ou l’enregistrer au format PDF, utilisez le menu Options à droite du titre du classeur.

  1. Sélectionnez Options >Imprimer le contenu.

  2. Dans l’écran d’impression, ajustez vos paramètres d’impression si nécessaire ou sélectionnez Enregistrer au format PDF pour l’enregistrer localement.

    Par exemple : Capture d’écran montrant comment imprimer votre classeur ou enregistrer au format PDF.

Comment supprimer des classeurs

Pour supprimer un classeur enregistré (modèle enregistré ou classeur personnalisé), sélectionnez le classeur enregistré à supprimer, puis sélectionnez Supprimer. Cette action a pour effet de supprimer le classeur enregistré. Cette action supprime également le classeur, ainsi que toutes les modifications que vous avez apportées au modèle. Le modèle d’origine reste disponible.

Pour en savoir plus sur les workbooks intégrés les plus populaires, voir Workbooks Microsoft Sentinel couramment utilisés.