Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Convertire i dashboard dalla soluzione SIEM (Security Information and Event Management) esistente in una cartella di lavoro Azure per Microsoft Sentinel. Azure Cartelle di lavoro offrono versatilità per creare dashboard personalizzati per Microsoft Sentinel. Questo articolo descrive come esaminare, pianificare e convertire i dashboard correnti in cartelle di lavoro Azure.
Esaminare i dashboard nel siem corrente
Quando si progetta la migrazione, prendere in considerazione i passaggi seguenti.
- Analizzare i dashboard. Raccogliere informazioni sui dashboard, tra cui progettazione, parametri, origini dati e altri dettagli. Identificare lo scopo o l'utilizzo di ogni dashboard.
- Essere selettivo. Non eseguire la migrazione di tutti i dashboard senza considerazioni. Concentrarsi sui dashboard critici e usati regolarmente.
- Prendere in considerazione le autorizzazioni. Valutare chi sono gli utenti di destinazione per le cartelle di lavoro. Azure Cartelle di lavoro usano Azure controllo degli accessi in base al ruolo (Azure controllo degli accessi in base al ruolo). Per altre informazioni, vedere Valutare il controllo nelle cartelle di lavoro di Azure. Per creare dashboard all'esterno Azure, ad esempio per i dirigenti aziendali senza accesso Azure, usare uno strumento di creazione di report, ad esempio Power BI.
Preparare la conversione del dashboard
Dopo aver esaminato i dashboard, completare le attività seguenti per preparare la migrazione del dashboard:
Esaminare tutte le visualizzazioni in ogni dashboard. I dashboard nel SIEM corrente potrebbero contenere diversi grafici o pannelli. È fondamentale esaminare il contenuto dei dashboard di breve durata per eliminare le visualizzazioni o i dati indesiderati.
Acquisire la progettazione e l'interattività del dashboard.
Identificare eventuali elementi di progettazione importanti per gli utenti. Ad esempio, il layout del dashboard, la disposizione dei grafici o anche le dimensioni o il colore del carattere dei grafici.
Acquisire qualsiasi interattività, ad esempio drill-down, filtro e altri elementi che è necessario portare a Azure Cartelle di lavoro.
Identificare i parametri necessari o gli input utente. Nella maggior parte dei casi, è necessario definire parametri per consentire agli utenti di eseguire ricerche, filtrare o definire l'ambito dei risultati, ad esempio l'intervallo di date, il nome dell'account e altri. Di conseguenza, è fondamentale acquisire i dettagli relativi ai parametri. Ecco alcuni dei requisiti dei parametri chiave da raccogliere:
- Tipo di parametro per consentire agli utenti di eseguire la selezione o l'input. Ad esempio, intervallo di date, testo o altri.
- Come vengono rappresentati i parametri, ad esempio l'elenco a discesa, la casella di testo o altri.
- Formato del valore previsto, ad esempio ora, stringa, numero intero o altri.
- Altre proprietà, ad esempio il valore predefinito, consentono la selezione multipla, la visibilità condizionale o altre.
Convertire i dashboard
Per convertire il dashboard, completare le attività seguenti in Azure Cartelle di lavoro e Microsoft Sentinel.
1. Identificare le origini dati
Azure cartelle di lavoro sono compatibili con un numero elevato di origini dati. Per altre informazioni, vedere Azure Origini dati cartelle di lavoro. Nella maggior parte dei casi, usare le query Azure Monitor logs data source and Linguaggio di query Kusto (KQL) per visualizzare i log sottostanti nell'area di lavoro Microsoft Sentinel.
2. Costruire o esaminare query KQL
In questo passaggio si lavora principalmente con KQL per visualizzare i dati. È possibile costruire e testare le query in Microsoft Sentinel prima di convertirle in cartelle di lavoro Azure. Per testare le query da Microsoft Sentinel nel portale di Azure, passare a Log. Da Microsoft Sentinel nel portale di Defender passare ad Indagine & risposta>Ricerca>ricerca avanzata.
Prima di finalizzare le query KQL, esaminare e ottimizzare sempre le query per migliorare le prestazioni delle query. Query ottimizzate:
- Eseguire più velocemente, ridurre la durata complessiva dell'esecuzione della query.
- Avere minori possibilità di essere limitati o rifiutati.
Per ulteriori informazioni, vedere le seguenti risorse:
- Procedure consigliate per le query KQL
- Ottimizzare le query nei log di monitoraggio Azure
- Ottimizzazione delle prestazioni KQL (webinar)
3. Creare o aggiornare la cartella di lavoro
Creare una cartella di lavoro, aggiornare la cartella di lavoro o clonare una cartella di lavoro esistente in modo che non sia necessario iniziare da zero. Specificare anche come vengono rappresentati, disposti e raggruppati i dati o le visualizzazioni. Esistono due progetti comuni:
- Cartella di lavoro verticale
- Cartella di lavoro a schede
Per altre informazioni, vedere gli articoli seguenti:
- Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel
- Aggiungere gruppi in cartelle di lavoro di Azure
4. Creare o aggiornare parametri della cartella di lavoro o input utente
Al momento dell'arrivo in questa fase, sono stati identificati i parametri necessari per la cartella di lavoro. Con i parametri è possibile raccogliere l'input dai consumer e fare riferimento all'input in altre parti della cartella di lavoro. Questo input viene in genere usato per definire l'ambito del set di risultati, per impostare la visualizzazione corretta e consente di creare report ed esperienze interattivi.
Le cartelle di lavoro consentono di controllare il modo in cui i controlli dei parametri vengono presentati ai consumer. Ad esempio, si seleziona se i controlli vengono presentati come casella di testo rispetto all'elenco a discesa o a selezione singola o a selezione multipla. È anche possibile selezionare i valori da usare, da testo, JSON, KQL o Azure Resource Graph e altro ancora.
Esaminare i parametri della cartella di lavoro supportati. È possibile fare riferimento a questi valori di parametro in altre parti delle cartelle di lavoro tramite associazioni o espansioni di valori.
5. Creare o aggiornare visualizzazioni
Le cartelle di lavoro offrono un set completo di funzionalità per la visualizzazione dei dati. Esaminare questi esempi dettagliati di ogni tipo di visualizzazione.
6. Visualizzare in anteprima e salvare la cartella di lavoro
Dopo aver salvato la cartella di lavoro, specificare i parametri e convalidare i risultati. È anche possibile provare l'aggiornamento automatico o la funzionalità di stampa per salvare come PDF.
Passaggi successivi
In questo articolo si è appreso come convertire i dashboard in cartelle di lavoro Azure.