Adatok vizualizációja és monitorozása munkafüzetek használatával a Microsoft Sentinelben

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Miután csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, vizualizálja és monitorozza az adatokat a Microsoft Sentinel munkafüzetei segítségével. A Microsoft Sentinel segítségével egyéni munkafüzeteket hozhat létre az adatok között, vagy használhatja a csomagolt megoldásokkal elérhető meglévő munkafüzetsablonokat, vagy különálló tartalomként a tartalomközpontból. Ezek a sablonok lehetővé teszik, hogy gyorsan betekintést nyerjen az adatokba, amint csatlakoztat egy adatforrást.

Ez a cikk azt ismerteti, hogyan jelenítheti meg az adatokat a Microsoft Sentinelben munkafüzetek használatával.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

  • Legalább munkafüzet-olvasói vagy munkafüzet-közreműködői engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterület erőforráscsoportján.

    A Microsoft Sentinelben látható munkafüzetek a Microsoft Sentinel-munkaterület erőforráscsoportjában vannak mentve, és a munkaterület címkézi őket, amelyben létrehozták őket.

  • Munkafüzetsablon használatához telepítse a munkafüzetet tartalmazó megoldást, vagy telepítse a munkafüzetet önálló elemként a Content Hubról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Munkafüzet létrehozása sablonból

Munkafüzet létrehozásához használjon a tartalomközpontból telepített sablont.

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Munkafüzetek lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>munkafüzetek lehetőséget.

  2. Lépjen a Munkafüzetek elemre, majd válassza a Sablonok lehetőséget a telepített munkafüzetsablonok listájának megtekintéséhez.

    Ha meg szeretné tekinteni, hogy mely sablonok relevánsak a csatlakoztatott adattípusokhoz, tekintse át az egyes munkafüzetek Kötelező adattípusok mezőjét, ahol elérhető.

  3. Válassza a Mentés lehetőséget a sablon részletei panelről, valamint a sablon JSON-fájljának mentési helyéről. Ez a művelet létrehoz egy Azure-erőforrást a megfelelő sablon alapján, és nem az adatokat, hanem a munkafüzet JSON-fájlját menti.

  4. Válassza a Mentett munkafüzet megtekintése lehetőséget a sablon részletei panelen.

  5. Válassza a Szerkesztés gombot a munkafüzet eszköztárán, hogy igényeinek megfelelően testre szabja a munkafüzetet.

    Képernyőkép a mentett munkafüzetről.

    A munkafüzet klónozásához válassza a Szerkesztés , majd a Mentés másként lehetőséget. Mentse a klónt egy másik névvel, ugyanabban az előfizetésben és erőforráscsoportban. A klónozott munkafüzetek a Saját munkafüzetek lapon jelennek meg.

  6. Ha elkészült, a módosítások mentéséhez válassza a Mentés lehetőséget.

További információkért tekintse meg, hogyan hozhat létre interaktív jelentéseket az Azure Monitor-munkafüzetekkel.

Új munkafüzet létrehozása

Hozzon létre egy munkafüzetet az alapoktól a Microsoft Sentinelben.

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Fenyegetéskezelés területen válassza a Munkafüzetek lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>munkafüzetek lehetőséget.

  2. Válassza a Munkafüzet hozzáadása lehetőséget.

  3. A munkafüzet szerkesztéséhez válassza a Szerkesztés lehetőséget, majd szükség szerint adjon hozzá szöveget, lekérdezéseket és paramétereket. A munkafüzet testreszabásával kapcsolatos további információkért tekintse meg, hogyan hozhat létre interaktív jelentéseket az Azure Monitor-munkafüzetekkel.

    Új munkafüzetet bemutató képernyőkép.

  4. Lekérdezés létrehozásakor állítsa az adatforrást Naplók és erőforrástípusra Log Analytics értékre, majd válasszon ki egy vagy több munkaterületet.

    Javasoljuk, hogy a lekérdezés az Advanced Security Information Model (ASIM) elemzőt használja, és ne egy beépített táblát. A lekérdezés ezután egyetlen adatforrás helyett minden aktuális vagy jövőbeli releváns adatforrást támogat.

  5. A munkafüzet létrehozása után mentse a munkafüzetet a Microsoft Sentinel-munkaterület előfizetése és erőforráscsoportja alá.

  6. Ha engedélyezni szeretné, hogy a szervezet más tagjai is használják a munkafüzetet, a Mentés csoportban válassza a Megosztott jelentések lehetőséget. Ha azt szeretné, hogy ez a munkafüzet csak Ön számára legyen elérhető, válassza a Saját jelentések lehetőséget.

  7. Ha váltani szeretne a munkaterületen lévő munkafüzetek között, válassza a MegnyitásA munkafüzet megnyitásának ikonja. gombot bármelyik munkafüzet eszköztárán. A képernyő más munkafüzetek listájára vált, amelyre válthat.

    Jelölje ki a megnyitni kívánt munkafüzetet:

    Munkafüzetek váltása.

A munkafüzet adatainak frissítése

Frissítse a munkafüzetet a frissített adatok megjelenítéséhez. Az eszköztáron válassza az alábbi lehetőségek egyikét:

  • Frissítés a munkafüzet adatainak manuális frissítéséhez.

  • Automatikus frissítés, ha a munkafüzetet konfigurált időközönként automatikus frissítésre szeretné állítani.

    • A támogatott automatikus frissítési időközök 5 perctől 1 napig terjednek.

    • A munkafüzet szerkesztése közben az automatikus frissítés szünetel, és az időközök minden alkalommal újraindulnak, amikor visszaáll a megtekintési módra szerkesztési módról.

    • Az automatikus frissítési időközök is újraindulnak, ha manuálisan frissíti az adatokat.

    Alapértelmezés szerint az automatikus frissítés ki van kapcsolva. A teljesítmény optimalizálása érdekében az automatikus frissítés minden alkalommal ki van kapcsolva, amikor bezár egy munkafüzetet. Nem fut a háttérben. A munkafüzet következő megnyitásakor szükség szerint kapcsolja vissza az automatikus frissítést.

Munkafüzet nyomtatásához vagy PDF-fájlként való mentéséhez használja a munkafüzet címétől jobbra található Beállítások menüt.

  1. Válassza a Beállítások Tartalom nyomtatása lehetőséget>.

  2. A nyomtatási képernyőn szükség szerint módosítsa a nyomtatási beállításokat, vagy válassza a Mentés PDF-ként lehetőséget a helyi mentéshez.

    Például: Képernyőkép a munkafüzet nyomtatásáról vagy PDF-fájlként való mentésről.

Munkafüzetek törlése

Mentett munkafüzet, mentett sablon vagy testreszabott munkafüzet törléséhez jelölje ki a törölni kívánt mentett munkafüzetet, és válassza a Törlés lehetőséget. Ez a művelet eltávolítja a mentett munkafüzetet. Emellett eltávolítja a munkafüzet-erőforrást és a sablonon végzett módosításokat is. Az eredeti sablon továbbra is elérhető marad.

A népszerű beépített munkafüzetekről a Gyakran használt Microsoft Sentinel-munkafüzetek című témakörben olvashat.