Membuat Buku Kerja Microsoft Sentinel baru
Selain menggunakan templat bawaan untuk membuat buku kerja yang dikustomisasi, Anda bisa membuat buku kerja kustom dari awal untuk menghasilkan laporan yang sangat interaktif yang berisi teks, kueri analitik, metrik, dan parameter.
Membuat buku kerja kustom
Anda bisa membuat buku kerja kustom dari halaman Buku Kerja di Microsoft Azure Sentinel. Pilih +Tambahkan buku kerja pada bilah header. Halaman Buku Kerja baru terbuka, berisi kueri analitik dasar untuk membantu Anda memulai.
Tip
portal Azure menyimpan setiap buku kerja yang Anda buat sebagai sumber daya buku kerja di grup sumber daya Microsoft Azure Sentinel.
Anda bisa mulai membuat buku kerja Anda di halaman Buku Kerja Baru dengan memilih Edit. Lalu pilih opsi Edit untuk mengubah teks yang muncul di templat buku kerja baru.
Setiap buku kerja menyediakan set kapabilitas yang banyak untuk memvisualisasikan data keamanan yang dikumpulkan dari konektor. Anda dapat mendesain buku kerja Anda dengan tipe dan elemen visualisasi berikut ini:
- Teks
- Kueri
- Parameter
- Tautan/tab
- Metric
Anda dapat menambahkan elemen baru ke buku kerja Anda dengan memilih +Tambahkan sebagai digambarkan cuplikan layar berikut ini.
Visualisasi teks
Anda dapat menggunakan blok teks untuk menginterpretasikan data keamanan, judul bagian, data telemetri, dan informasi lainnya. Anda dapat mengedit teks menggunakan bahasa markup Markdown, yang menyediakan opsi pemformatan berbeda untuk judul, gaya font, hyperlink, dan tabel.
Catatan
Markdown adalah bahasa markup yang bisa Anda gunakan untuk memformat teks dalam dokumen teks biasa. Untuk informasi selengkapnya tentang cara memformat teks dengan menggunakan kontrol Markdown, lihat panduan markdown yang tersedia secara online.
Setelah Anda menambahkan teks, pilih tab Pratinjau untuk mempratinjau tampilan konten Anda. Saat Anda selesai mengedit teks, pilih opsi Selesai Mengedit .
Item kueri
Anda dapat membuat kueri yang berbeda dari log dan memvisualisasikan data sebagai teks, bagan, atau kisi. Anda dapat menulis kueri menggunakan KQL. Kemudian format data menggunakan berbagai visualisasi termasuk:
- Kisi (atau tabel)
- Diagram area
- Diagram batang
- Diagram garis
- Diagram lingkaran
- Diagram sebar
- Bagan waktu
- Petak Peta
Saat Anda membuat kueri, Microsoft Sentinel menambahkan langkah Jalankan Kueri baru ke buku kerja seperti yang digambarkan cuplikan layar berikut:
Pada bilah header, ada beberapa bidang yang memberi Anda opsi untuk menyetel output kueri.
Nama | Deskripsi |
---|---|
Jalankan Kueri | Gunakan opsi ini untuk menguji hasil kueri. |
Sampel | Microsoft menyediakan contoh kode yang berisi contoh kueri yang dapat Anda tambahkan ke buku kerja. |
Sumber data | Gunakan opsi ini untuk menentukan sumber data untuk kueri. |
Jenis Sumber Daya | Gunakan opsi ini untuk memilih tipe sumber daya. |
Ruang kerja Analitik Log | Gunakan opsi ini jika Anda ingin mengkueri data terhadap lebih dari satu sumber daya. |
Rentang Waktu | Gunakan opsi ini untuk menentukan parameter rentang waktu yang akan digunakan dalam kueri. |
Visualisasi | Gunakan opsi ini untuk memilih visualisasi tertentu atau pilih Atur menurut kueri untuk menyajikan data dalam format berbeda. |
Ukuran | Gunakan opsi ini untuk memilih ukuran elemen visualisasi. |
Pada tab Pengaturan Tingkat Lanjut, Anda bisa menyediakan lebih banyak kustomisasi untuk pengaturan dan gaya langkah kueri Anda. Pada tab Pengaturan Tingkat Lanjut, Anda dapat mengubah properti. Misalnya, Anda dapat memasukkan judul Bagan, seperti yang digambarkan cuplikan layar berikut.
Anda dapat menggunakan tab Gaya untuk menyesuaikan margin dan elemen padding di langkah tersebut. Setelah Selesai menyesuaikan pengaturan dan gaya, ingatlah untuk menyimpan langkah dengan memilih Selesai Mengedit.
Visualisasi bagan
Saat Anda membuat kueri untuk menyajikan data keamanan sebagai bagan, Anda dapat mengkustomisasi:
- Height
- Width
- Palet Warna
- Legenda
- Judul
- Tipe dan seri sumbu
Contoh berikut menghitung semua pemberitahuan keamanan dan memvisualisasikannya dalam diagram lingkaran.
SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart
Dalam contoh sebelumnya, kueri menunjukkan jenis visualisasi untuk data. Anda juga dapat menggunakan kueri tanpa menyertakan parameter render . Gunakan menu dropdown Visualisasi untuk memilih salah satu jenis visualisasi yang ditawarkan:
Visualisasi kisi
Anda dapat menggunakan opsi visualisasi Kisi dari menu dropdown Visualisasi untuk menyajikan data dalam tabel, yang menyediakan UI yang diperkaya untuk laporan. Anda dapat memilih opsi Kolom Pengaturan untuk menentukan kolom mana yang ditampilkan dalam tabel dan untuk menyediakan label kolom, jika perlu.
Pada tab Edit pengaturan Kolom, Anda dapat memilih penyaji kolom yang berbeda seperti, heatmap, bilah, dan area percikan. Jika Anda memilih Pemformatan kustom, Anda dapat mengatur opsi unit, gaya, dan pemformatan untuk nilai angka.
Parameter
Anda dapat menggunakan parameter dalam buku kerja interaktif Anda untuk memanipulasi hasil kueri dengan cara yang berbeda. Saat Anda memilih Tambahkan Parameter, halaman Parameter Baru terbuka di mana Anda dapat memberikan nama dan input lain yang diperlukan untuk parameter .
Anda dapat membuat tipe parameter berikut:
- Teks. Anda dapat memasukkan teks arbitrer.
- Turun ke bawah. Anda bisa mengubah tampilan langkah kueri untuk menyertakan menu dropdown tempat Anda bisa memilih nilai dari sekumpulan nilai. Dalam jenis parameter ini, Anda dapat memasukkan kueri KQL atau string JSON untuk menyediakan pilihan untuk daftar dropdown.
- Pemilih rentang waktu. Anda dapat memilih dari rentang waktu yang telah diisi atau memilih rentang kustom.
- Pemilih sumber daya. Anda dapat memilih satu atau beberapa sumber daya Azure.
- Pemilih langganan. Anda dapat memilih satu atau beberapa sumber daya langganan Azure.
- Pemilih jenis sumber daya. Anda dapat memilih satu atau beberapa nilai tipe sumber daya Azure.
- Pemilih lokasi. Anda dapat memilih satu atau beberapa nilai lokasi Azure.
- Grup opsi. Anda dapat mengelompokkan beberapa properti ke dalam grup.
- Tab.
- Multinilai.
Anda dapat mereferensikan nilai parameter di bagian lain buku kerja baik dengan menggunakan pengikatan atau dengan menggunakan ekspansi nilai.
Pada panel Parameter Baru di bagian Pratinjau , Anda bisa meninjau variabel yang ditampilkan dan digunakan dalam kode kueri.
Tautan/tab
Anda dapat menambahkan langkah tautan/tab untuk mengkustomisasi navigasi dalam buku kerja dengan tab, daftar, paragraf, atau daftar poin. Anda dapat menyediakan input berikut sambil menambahkan langkah tautan/tab baru:
- Teks sebelum tautan. Gunakan opsi ini untuk menampilkan teks sebelum tautandipilih.
- Teks tautan. Gunakan opsi ini untuk menentukan teks aktual yang ditampilkan di tautan.
- Teks setelah tautan. Gunakan opsi ini untuk menunjukkan teks yang ditampilkan setelah tautan dipilih.
- Aksi. Gunakan opsi ini untuk menentukan tindakan yang dilakukan saat Anda memilih tautan, seperti Url, Mengatur nilai parameter, dan Menggulir ke langkah.
- Nilai. Gunakan opsi ini untuk menunjukkan nilai untuk tautan.
- Pengguna. Gunakan opsi ini untuk mengonfigurasi pengaturan tertentu berdasarkan jenis tautan dan sintaks parameter dukungan.
- Panel konteks?. Gunakan opsi ini untuk membuka panel konteks baru ke samping alih-alih tampilan penuh.
- Gaya. Gunakan opsi ini untuk memilih antara gaya Tautan, Tombol (utama), dan Tombol (sekunder ).
Langkah-langkah metrik
Anda dapat menggunakan langkah-langkah metrik untuk menggabungkan hasil buku kerja dengan metrik dari sumber daya Azure yang berbeda. Setelah Selesai melakukan semua modifikasi kustom pada buku kerja Anda, ingatlah untuk menyimpan buku kerja dengan memilih Selesai Mengedit.