Adatok vizualizációja és monitorozása munkafüzetek használatával a Microsoft Sentinelben
Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, vizualizálja és monitorozza az adatokat a Microsoft Sentinel munkafüzetei segítségével. A Microsoft Sentinel segítségével egyéni munkafüzeteket hozhat létre az adatok között, vagy használhatja a csomagolt megoldásokkal elérhető meglévő munkafüzetsablonokat, vagy különálló tartalomként a tartalomközpontból. Ezek a sablonok lehetővé teszik, hogy gyorsan betekintést nyerjen az adatokba, amint csatlakoztat egy adatforrást.
Ez a cikk azt ismerteti, hogyan jelenítheti meg az adatokat a Microsoft Sentinelben munkafüzetek használatával.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
Legalább munkafüzet-olvasói vagy munkafüzet-közreműködői engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterület erőforráscsoportján.
A Microsoft Sentinelben látható munkafüzetek a Microsoft Sentinel-munkaterület erőforráscsoportjában vannak mentve, és a munkaterület címkézi őket, amelyben létrehozták őket.
Munkafüzetsablon használatához telepítse a munkafüzetet tartalmazó megoldást, vagy telepítse a munkafüzetet önálló elemként a Content Hubról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
Munkafüzet létrehozása sablonból
Munkafüzet létrehozásához használjon a tartalomközpontból telepített sablont.
Az Azure PortalOn a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Munkafüzetek lehetőséget.
Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>munkafüzetek lehetőséget.Lépjen a Munkafüzetek elemre, majd válassza a Sablonok lehetőséget a telepített munkafüzetsablonok listájának megtekintéséhez.
Ha meg szeretné tekinteni, hogy mely sablonok relevánsak a csatlakoztatott adattípusokhoz, tekintse át az egyes munkafüzetek Kötelező adattípusok mezőjét, ahol elérhető.
Válassza a Mentés lehetőséget a sablon részletei panelről, valamint a sablon JSON-fájljának mentési helyéről. Ez a művelet létrehoz egy Azure-erőforrást a megfelelő sablon alapján, és nem az adatokat, hanem a munkafüzet JSON-fájlját menti.
Válassza a Mentett munkafüzet megtekintése lehetőséget a sablon részletei panelen.
Válassza a Szerkesztés gombot a munkafüzet eszköztárán, hogy igényeinek megfelelően testre szabja a munkafüzetet.
A munkafüzet klónozásához válassza a Szerkesztés , majd a Mentés másként lehetőséget. Mentse a klónt egy másik névvel, ugyanabban az előfizetésben és erőforráscsoportban. A klónozott munkafüzetek a Saját munkafüzetek lapon jelennek meg.
Ha elkészült, a módosítások mentéséhez válassza a Mentés lehetőséget.
További információkért tekintse meg, hogyan hozhat létre interaktív jelentéseket az Azure Monitor-munkafüzetekkel.
Új munkafüzet létrehozása
Hozzon létre egy munkafüzetet az alapoktól a Microsoft Sentinelben.
Az Azure PortalOn a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Munkafüzetek lehetőséget.
Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>munkafüzetek lehetőséget.Válassza a Munkafüzet hozzáadása lehetőséget.
A munkafüzet szerkesztéséhez válassza a Szerkesztés lehetőséget, majd szükség szerint adjon hozzá szöveget, lekérdezéseket és paramétereket. A munkafüzet testreszabásával kapcsolatos további információkért tekintse meg, hogyan hozhat létre interaktív jelentéseket az Azure Monitor-munkafüzetekkel.
Lekérdezés létrehozásakor állítsa az adatforrást Naplók és erőforrástípusra Log Analytics értékre, majd válasszon ki egy vagy több munkaterületet.
Javasoljuk, hogy a lekérdezés az Advanced Security Information Model (ASIM) elemzőt használja, és ne egy beépített táblát. A lekérdezés ezután egyetlen adatforrás helyett minden aktuális vagy jövőbeli releváns adatforrást támogat.
A munkafüzet létrehozása után mentse a munkafüzetet a Microsoft Sentinel-munkaterület előfizetése és erőforráscsoportja alá.
Ha engedélyezni szeretné, hogy a szervezet más tagjai is használják a munkafüzetet, a Mentés csoportban válassza a Megosztott jelentések lehetőséget. Ha azt szeretné, hogy ez a munkafüzet csak Ön számára legyen elérhető, válassza a Saját jelentések lehetőséget.
Ha váltani szeretne a munkaterületen lévő munkafüzetek között, válassza a Megnyitás gombot bármelyik munkafüzet eszköztárán. A képernyő más munkafüzetek listájára vált, amelyre válthat.
Jelölje ki a megnyitni kívánt munkafüzetet:
A munkafüzet adatainak frissítése
Frissítse a munkafüzetet a frissített adatok megjelenítéséhez. Az eszköztáron válassza az alábbi lehetőségek egyikét:
Frissítés a munkafüzet adatainak manuális frissítéséhez.
Automatikus frissítés, ha a munkafüzetet konfigurált időközönként automatikus frissítésre szeretné állítani.
A támogatott automatikus frissítési időközök 5 perctől 1 napig terjednek.
A munkafüzet szerkesztése közben az automatikus frissítés szünetel, és az időközök minden alkalommal újraindulnak, amikor visszaáll a megtekintési módra szerkesztési módról.
Az automatikus frissítési időközök is újraindulnak, ha manuálisan frissíti az adatokat.
Alapértelmezés szerint az automatikus frissítés ki van kapcsolva. A teljesítmény optimalizálása érdekében az automatikus frissítés minden alkalommal ki van kapcsolva, amikor bezár egy munkafüzetet. Nem fut a háttérben. A munkafüzet következő megnyitásakor szükség szerint kapcsolja vissza az automatikus frissítést.
Munkafüzet nyomtatása vagy PDF-fájlként való mentés
Munkafüzet nyomtatásához vagy PDF-fájlként való mentéséhez használja a munkafüzet címétől jobbra található Beállítások menüt.
Válassza a Beállítások Tartalom nyomtatása lehetőséget>.
A nyomtatási képernyőn szükség szerint módosítsa a nyomtatási beállításokat, vagy válassza a Mentés PDF-ként lehetőséget a helyi mentéshez.
Például:
Munkafüzetek törlése
Mentett munkafüzet, mentett sablon vagy testreszabott munkafüzet törléséhez jelölje ki a törölni kívánt mentett munkafüzetet, és válassza a Törlés lehetőséget. Ez a művelet eltávolítja a mentett munkafüzetet. Emellett eltávolítja a munkafüzet-erőforrást és a sablonon végzett módosításokat is. Az eredeti sablon továbbra is elérhető marad.
Kapcsolódó cikkek
A népszerű beépített munkafüzetekről a Gyakran használt Microsoft Sentinel-munkafüzetek című témakörben olvashat.