Memvisualisasikan dan memantau data Anda dengan menggunakan buku kerja di Microsoft Azure Sentinel
Setelah Anda menyambungkan sumber data Anda ke Microsoft Azure Sentinel, visualisasikan dan pantau data menggunakan buku kerja di Microsoft Azure Sentinel. Microsoft Azure Sentinel memungkinkan Anda membuat buku kerja kustom di seluruh data Anda atau, menggunakan templat buku kerja yang sudah ada yang tersedia dengan solusi yang dipaketkan atau sebagai konten mandiri dari hub konten. Templat ini memungkinkan Anda untuk dengan cepat mendapatkan wawasan di seluruh data Anda segera setelah Anda menyambungkan sumber data.
Artikel ini menjelaskan cara memvisualisasikan data Anda di Microsoft Azure Sentinel dengan menggunakan buku kerja.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Prasyarat
Setidaknya Anda harus memiliki izin Pembaca buku kerja atau Kontributor buku kerja pada grup sumber daya ruang kerja Microsoft Azure Sentinel.
Buku kerja yang Anda lihat di Microsoft Azure Sentinel disimpan dalam grup sumber daya ruang kerja Microsoft Azure Sentinel dan ditandai oleh ruang kerja tempat buku kerja dibuat.
Untuk menggunakan templat buku kerja, instal solusi yang berisi buku kerja atau instal buku kerja sebagai item mandiri dari Hub Konten. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.
Membuat buku kerja dari templat
Gunakan templat yang diinstal dari hub konten untuk membuat buku kerja.
Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Buku Kerja.
Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Buku Kerja Manajemen>Ancaman Microsoft Sentinel>.Buka Buku Kerja lalu pilih Templat untuk melihat daftar templat buku kerja yang terinstal.
Untuk melihat templat mana yang relevan dengan tipe data yang Anda sambungkan, tinjau bidang Tipe data yang diperlukan di setiap buku kerja jika tersedia.
Pilih Simpan dari panel detail templat dan lokasi tempat Anda ingin menyimpan file JSON untuk templat. Tindakan ini membuat sumber daya Azure berdasarkan templat yang relevan dan menyimpan file JSON buku kerja bukan data.
Pilih Tampilkan buku kerja yang disimpan dari panel detail templat.
Pilih tombol Edit di toolbar buku kerja untuk mengkustomisasi buku kerja sesuai dengan kebutuhan Anda.
Untuk mengkloning buku kerja Anda, pilih Edit lalu Simpan sebagai. Simpan kloning dengan nama lain, di bawah langganan dan grup sumber daya yang sama. Buku kerja yang dikloningkan ditampilkan di bawah tab Buku Kerja saya.
Setelah selesai, pilih Simpan untuk menyimpan perubahan Anda.
Untuk informasi selengkapnya, lihat cara Membuat laporan interaktif dengan Azure Monitor Workbooks.
Buat buku kerja baru
Buat buku kerja dari awal di Microsoft Azure Sentinel.
Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih Buku Kerja.
Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Buku Kerja Manajemen>Ancaman Microsoft Sentinel>.Pilih Tambahkan buku kerja.
Untuk mengedit buku kerja, pilih Edit, lalu tambahkan teks, kueri, dan parameter seperlunya. Untuk informasi selengkapnya tentang cara mengkustomisasi buku kerja, lihat cara membuat laporan interaktif dengan Azure Monitor Workbooks.
Saat membuat kueri, atur Sumber data ke Log dan Jenis sumber daya ke Analitik Log, lalu pilih satu atau beberapa ruang kerja.
Kami menyarankan agar kueri Anda menggunakan pengurai Advanced Security Information Model (ASIM) dan bukan tabel bawaan. Kueri kemudian akan mendukung sumber data yang relevan saat ini atau di masa mendatang daripada satu sumber data.
Setelah Anda membuat buku kerja, simpan buku kerja di bawah grup langganan dan sumber daya ruang kerja Microsoft Azure Sentinel Anda.
Jika Anda ingin mengizinkan orang lain di organisasi Anda menggunakan buku kerja, di bawah Simpan ke pilih Laporan bersama. Jika Anda ingin buku kerja ini hanya tersedia untuk Anda, pilih Laporan saya.
Untuk beralih antar buku kerja di ruang kerja Anda, pilih Buka
di toolbar buku kerja apa pun. Layar beralih ke daftar buku kerja lainnya yang bisa Anda alihkan.Pilih buku kerja yang ingin Anda buka:
Me-refresh data buku kerja Anda
Refresh buku kerja Anda untuk menampilkan data yang diperbarui. Di toolbar, pilih salah satu pilihan berikut ini:
Refresh, untuk merefresh data buku kerja Anda secara manual.
Refresh otomatis, untuk mengatur buku kerja Anda agar secara otomatis merefresh pada interval yang dikonfigurasi.Interval refresh yang didukung memiliki rentang dari 5 menit sampai 1 hari.
Refresh otomatis dijeda selagi Anda mengedit buku kerja, dan interval dihidupkan ulang setiap kali Anda beralih kembali untuk menampilkan mode dari mode edit.
Interval refresh otomatis juga dihidupkan ulang jika Anda me-refresh data secara manual.
Secara default, refresh otomatis dimatikan. Untuk mengoptimalkan performa, refresh otomatis dinonaktifkan setiap kali Anda menutup buku kerja. Ini tidak berjalan di latar belakang. Nyalakan kembali refresh otomatis sesuai kebutuhan saat Anda membuka buku kerja di kesempatan berikutnya.
Cetak buku kerja atau simpan sebagai PDF
Untuk mencetak buku kerja, atau menyimpannya sebagai PDF, gunakan menu pilihan di sebelah kanan judul buku kerja.
Pilih opsi >
Cetak konten.Di layar cetak, sesuaikan pengaturan pencetakan sesuai kebutuhan atau pilih Simpan sebagai PDF untuk menyimpannya secara lokal.
Misalnya:
Cara menghapus buku kerja
Untuk menghapus buku kerja yang disimpan, templat yang disimpan atau buku kerja yang dikustomisasi, pilih buku kerja tersimpan yang ingin Anda hapus dan pilih Hapus. Tindakan ini menghapus buku kerja yang disimpan. Ini juga menghapus sumber daya buku kerja dan perubahan apa pun yang Anda buat pada templat. Templat asli tetap tersedia.
Artikel terkait
Untuk mempelajari tentang buku kerja bawaan yang populer, lihat Buku kerja Microsoft Azure Sentinel yang umum digunakan.