Créer un workbook Microsoft Sentinel

  • 5 minutes

Outre l’utilisation de modèles intégrés pour créer un workbook personnalisé, vous pouvez créer des workbooks personnalisés à partir de rien pour produire des rapports très interactifs contenant du texte, des requêtes analytiques, des métriques et des paramètres.

Créer un classeur personnalisé

Vous pouvez créer un workbook personnalisé dans la page Workbooks dans Microsoft Sentinel. Sélectionnez +Ajouter un workbook dans la barre d’en-tête. La page Nouveau workbook s’ouvre, qui contient une requête analytique de base pour vous aider à démarrer.

Conseil

Le portail Azure enregistre chaque workbook créé en tant que ressource de workbook dans le groupe de ressources Microsoft Sentinel.

Vous pouvez commencer à créer votre workbook dans la page Nouveau workbook en sélectionnant Modifier. Ensuite, sélectionnez l’option Modifier pour changer le texte qui apparaît dans le nouveau modèle de workbook.

Chaque workbook fournit un ensemble complet de fonctionnalités permettant de visualiser les données de sécurité collectées à partir des connecteurs. Vous pouvez concevoir votre workbook avec les types et éléments de visualisation suivants :

  • Texte
  • Query
  • Paramètres
  • Links/onglets
  • Métrique

Vous pouvez ajouter un nouvel élément à votre workbook en sélectionnant + Ajouter comme le montre la capture d’écran suivante.

Screenshot of adding a new step in the workbook.

Visualisations de textes

Vous pouvez utiliser des blocs de texte pour interpréter vos données de sécurité, vos titres des sections, vos données de télémétrie et d’autres informations. Vous pouvez modifier le texte en utilisant le langage de marquage Markdown, qui fournit différentes options de mise en forme pour les titres, les styles de police, les liens hypertexte et les tables.

Notes

Markdown est un langage de marquage que vous pouvez utiliser pour mettre en forme du texte dans des documents en texte brut. Pour plus d’informations sur la mise en forme de texte en utilisant des contrôles Markdown, consultez les guides disponibles en ligne.

Après avoir ajouté le texte, sélectionnez l’onglet Aperçu pour afficher un aperçu de l’apparence de votre contenu. Quand vous avec terminé l’édition du texte, sélectionnez l’option Modification terminée.

Élément de requête

Vous pouvez créer une requête différente à partir des journaux, et visualiser les données sous forme de texte, de graphiques ou de grilles. Vous pouvez écrire la requête en utilisant KQL. Ensuite, mettez en forme les données au moyen de différentes visualisations, notamment :

  • Grilles (ou tables)
  • Graphiques en aires
  • Graphiques à barres
  • Graphiques en courbes
  • Graphiques en secteurs
  • Nuages de points
  • Graphiques de temps
  • Vignettes

Quand vous créez une requête, Microsoft Sentinel ajoute une nouvelle étape Exécuter la requête au workbook, comme le montre la capture d’écran suivante :

Screenshot of the Query visualization step, with the Done editing button called out.

Dans la barre d’en-tête, plusieurs champs vous permettent d’optimiser la sortie de la requête.

Nom Description
Exécuter la requête Utilisez cette option pour tester le résultat de la requête.
Exemples Microsoft fournit un exemple de code qui contient des exemples de requêtes que vous pouvez ajouter au workbook.
Source de données Utilisez cette option pour spécifier la source de données pour la requête.
Type de ressource Utilisez cette option pour sélectionner le type de ressource.
Espace de travail Log Analytics Utilisez cette option si vous voulez interroger les données pour plusieurs ressources.
Intervalle de temps Utilisez cette option pour spécifier un paramètre de plage horaire à utiliser dans la requête.
Visualisation Utilisez cette option pour choisir une visualisation spécifique ou choisissez Définir par la requête pour présenter les données dans un format différent.
Taille Utilisez cette option pour choisir la taille de l’élément de visualisation.

Sous l’onglet Paramètres avancés, vous pouvez fournir une personnalisation plus poussée pour les paramètres et les styles de votre étape de requête. Sous l’onglet Paramètres avancés, vous pouvez modifier les propriétés. Par exemple, vous pouvez entrer le Titre du graphique, comme le montre la capture d’écran suivante.

Screenshot of the Advanced settings tab, with the chart title.

Vous pouvez utiliser l’onglet Style pour ajuster la marge et l’élément de remplissage dans l’étape. Après avoir personnalisé les paramètres et les styles, n’oubliez pas d’enregistrer l’étape en sélectionnant Modification terminée.

Visualisations de graphiques

Quand vous créez une requête pour présenter les données de sécurité sous forme de graphiques, vous pouvez personnaliser les éléments suivants :

  • Hauteur
  • Largeur
  • Palette de couleurs
  • Légende
  • Titres
  • Types d’axe et séries

L’exemple suivant fait le compte de toutes les alertes de sécurité et les visualise dans un graphique à secteurs.


SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart

Dans l’exemple précédent, la requête indique le type de visualisation pour les données. Vous pouvez également utiliser la requête sans inclure le paramètre render. Utilisez le menu déroulant Visualisation pour sélectionner l’un des types de visualisations proposés :

Screenshot of the Visualization dropdown menu options.

Visualisations de grille

Vous pouvez utiliser l’option de visualisation Grille à partir du menu déroulant Visualisation pour présenter les données sous forme de tables, ce qui fournit une interface utilisateur enrichie pour les rapports. Vous pouvez sélectionner l’option Paramètres de colonne pour spécifier la colonne qui est affichée dans le tableau et fournir si nécessaire des étiquettes de colonne.

Sous l’onglet Modifier les paramètres de colonne, vous pouvez sélectionner une autre représentation pour la colonne, comme une carte thermique, un graphique à barres et une zone Spark. Si vous sélectionnez Mise en forme personnalisée, vous pouvez définir des options pour les unités, le style et la mise en forme des valeurs numériques.

Paramètres

Vous pouvez utiliser des paramètres dans votre workbook interactif pour manipuler les résultats de la requête de différentes façons. Quand vous sélectionnez Ajouter un paramètre, une page Nouveau paramètre s’ouvre, où vous pouvez fournir le nom et d’autres entrées nécessaires pour le paramètre.

Vous pouvez créer les types de paramètre suivants :

  • Text. Vous pouvez entrer du texte arbitraire.
  • Liste déroulante. Vous pouvez modifier l’apparence d’une étape de requête pour y inclure un menu déroulant où vous pouvez sélectionner une valeur dans un ensemble de valeurs. Dans ce type de paramètre, vous pouvez entrer une requête KQL ou une chaîne JSON pour fournir les choix possibles de la liste déroulante.
  • Sélecteur de plage horaire. Vous pouvez sélectionner des plages horaires préremplies ou sélectionner une plage personnalisée.
  • Sélecteur de ressources. Vous pouvez sélectionner une ou plusieurs ressources Azure.
  • Sélecteur d’abonnement. Vous pouvez sélectionner une ou plusieurs ressources d’abonnement Azure.
  • Sélecteur de type de ressource. Vous pouvez sélectionner une ou plusieurs valeurs de type de ressource Azure.
  • Sélecteur d’emplacement. Vous pouvez sélectionner une ou plusieurs valeurs d’emplacement Azure.
  • Groupe d’options. Vous pouvez regrouper plusieurs propriétés en un groupe.
  • Onglets.
  • À valeurs multiples.

Vous pouvez référencer des valeurs de paramètre dans d’autres parties des workbooks en utilisant des liaisons ou des expansions de valeurs.

Dans le volet Nouveaux paramètres, dans la section Aperçus, vous pouvez vérifier les variables qui sont affichées et utilisées dans le code de la requête.

Links/onglets

Vous pouvez ajouter une étape de liens/onglets pour personnaliser la navigation dans le workbook avec des onglets, des listes, des paragraphes ou des listes à puces. Vous pouvez fournir les entrées suivantes lors de l’ajout d’une nouvelle étape de liens/onglets :

  • Texte avant le lien. Utilisez cette option pour afficher le texte avant que le lien ne soit sélectionné.
  • Texte du lien. Utilisez cette option pour spécifier le texte réel affiché dans le lien.
  • Texte après le lien. Utilisez cette option pour indiquer le texte qui s’affiche une fois le lien sélectionné.
  • Action. Utilisez cette option pour spécifier l’action qui est exécutée quand vous sélectionnez le lien, par exemple URL, Définir une valeur de paramètre et Faire défiler jusqu’à une étape.
  • Valeur. Utilisez cette option pour indiquer une valeur pour le lien.
  • Paramètres. Utilisez cette option pour configurer des paramètres spécifiques basés sur le type de lien et pour prendre en charge la syntaxe des paramètres.
  • Volet contextuel ?. Utilisez cette option pour ouvrir un nouveau panneau de contexte sur le côté au lieu d’une vue complète.
  • Style. Utilisez cette option pour sélectionner un style Lien, Bouton (principal) ou Bouton (secondaire).

Étapes de métrique

Vous pouvez utiliser des étapes de métrique pour combiner les résultats du workbook avec des métriques provenant de différentes ressources Azure. Après avoir apporté toutes vos modifications personnalisées à votre workbook, n’oubliez pas de l’enregistrer en sélectionnant Modification terminée.

Vérifiez vos connaissances

1.

Quel est le format utilisé par Microsoft Sentinel pour mettre en forme le texte du workbook avec la visualisation de texte ?

2.

Un administrateur crée un workbook personnalisé et veut afficher les données de la table. Quelles étapes de visualisation l’administrateur doit utiliser dans le workbook ?