Dashboards converteren naar Azure Workbooks

• Van toepassing op:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Converteer dashboards van uw bestaande SIEM-oplossing (Security Information and Event Management) naar een Azure-werkmap voor Microsoft Sentinel. Azure Workbooks bieden veelzijdigheid voor het maken van aangepaste dashboards voor Microsoft Sentinel. In dit artikel wordt beschreven hoe u uw huidige dashboards kunt controleren, plannen en converteren naar Azure Workbooks.

Dashboards controleren in uw huidige SIEM

Houd rekening met de volgende stappen wanneer u uw migratie ontwerpt.

• Dashboards analyseren. Verzamel informatie over uw dashboards, waaronder ontwerp, parameters, gegevensbronnen en andere details. Het doel of het gebruik van elk dashboard identificeren.
• Wees selectief. Migreer niet alle dashboards zonder overweging. Focus op dashboards die kritiek zijn en regelmatig worden gebruikt.
• Overweeg machtigingen. Bedenk wie de doelgebruikers zijn voor werkmappen. Azure Workbooks maken gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Zie Besturingselement evalueren in Azure Workbooks voor meer informatie. Als u dashboards buiten Azure wilt maken, bijvoorbeeld voor zakelijke leidinggevenden zonder Azure-toegang, gebruikt u een rapportagehulpprogramma zoals Power BI.

Voorbereiden op de dashboardconversie

Nadat u uw dashboards hebt bekeken, voert u de volgende taken uit om de migratie van uw dashboard voor te bereiden:

• Bekijk alle visualisaties in elk dashboard. De dashboards in uw huidige SIEM kunnen verschillende grafieken of panelen bevatten. Het is van cruciaal belang om de inhoud van uw kort vermelde dashboards te bekijken om ongewenste visualisaties of gegevens te elimineren.

• Het dashboardontwerp en de interactiviteit vastleggen.

• Identificeer ontwerpelementen die belangrijk zijn voor uw gebruikers. Bijvoorbeeld de indeling van het dashboard, de rangschikking van de grafieken of zelfs de tekengrootte of kleur van de grafieken.

• Leg eventuele interactiviteit vast, zoals inzoomen, filteren en andere activiteiten die u moet overdragen naar Azure Workbooks.

• Identificeer vereiste parameters of gebruikersinvoer. In de meeste gevallen moet u parameters definiëren waarmee gebruikers de resultaten kunnen zoeken, filteren of verkennen (bijvoorbeeld datumbereik, accountnaam en andere). Daarom is het van cruciaal belang om de details over parameters vast te leggen. Hier volgen enkele van de belangrijkste parametervereisten die moeten worden verzameld:

  • Het type parameter voor gebruikers om selectie of invoer uit te voeren. Bijvoorbeeld datumbereik, tekst of andere.
  • Hoe de parameters worden weergegeven, zoals vervolgkeuzelijst, tekstvak of andere.
  • De verwachte waardenotatie, bijvoorbeeld tijd, tekenreeks, geheel getal of andere.
  • Andere eigenschappen, zoals de standaardwaarde, staan meervoudige selectie, voorwaardelijke zichtbaarheid of andere toe.

Dashboards converteren

Voltooi de volgende taken in Azure Workbooks en Microsoft Sentinel om uw dashboard te converteren.

1. Gegevensbronnen identificeren

Azure Workbooks zijn compatibel met een groot aantal gegevensbronnen. Zie Azure Workbooks-gegevensbronnen voor meer informatie. In de meeste gevallen gebruikt u de azure Monitor-logboekgegevensbron- en Kusto-querytaal -query's (KQL) om de onderliggende logboeken in uw Microsoft Sentinel-werkruimte te visualiseren.

2. KQL-query's maken of controleren

In deze stap werkt u voornamelijk met KQL om uw gegevens te visualiseren. U kunt uw query's maken en testen in Microsoft Sentinel voordat u ze converteert naar Azure Workbooks. Als u de query's van Microsoft Sentinel in Azure Portal wilt testen, gaat u naar Logboeken. Ga vanuit Microsoft Sentinel in de Defender-portal naar Investigation &response>Hunting Advanced hunting>.

Voordat u uw KQL-query's voltooit, moet u de query's altijd controleren en afstemmen om de queryprestaties te verbeteren. Geoptimaliseerde query's:

• Sneller uitvoeren, verminder de totale duur van de uitvoering van de query.
• Een kleinere kans hebben om te worden beperkt of afgewezen.

Voor meer informatie raadpleegt u de volgende bronnen:

• Best practices voor KQL-query's
• Query's optimaliseren in Azure Monitor-logboeken
• KQL-prestaties optimaliseren (webinar)

3. De werkmap maken of bijwerken

Maak een werkmap, werk de werkmap bij of kloon een bestaande werkmap, zodat u niet helemaal opnieuw hoeft te beginnen. Geef ook op hoe de gegevens of visualisaties worden weergegeven, gerangschikt en gegroepeerd. Er zijn twee algemene ontwerpen:

• Verticale werkmap
• Werkmap met tabbladen

Raadpleeg voor meer informatie de volgende artikelen:

• Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel
• Groepen toevoegen in Azure Workbooks

4. Werkmapparameters of gebruikersinvoer maken of bijwerken

Op het moment dat u in deze fase aankomt, hebt u de vereiste parameters voor uw werkmap geïdentificeerd. Met parameters kunt u invoer van de gebruikers verzamelen en verwijzen naar de invoer in andere delen van de werkmap. Deze invoer wordt doorgaans gebruikt om het bereik van de resultatenset te bepalen, om de juiste visualisatie in te stellen en stelt u in staat om interactieve rapporten en ervaringen te maken.

Met werkmappen kunt u bepalen hoe uw parameterbesturingselementen worden gepresenteerd aan consumenten. U selecteert bijvoorbeeld of de besturingselementen worden weergegeven als een tekstvak versus vervolgkeuzelijst of één- versus meervoudige selectie. U kunt ook selecteren welke waarden u wilt gebruiken, van tekst, JSON, KQL of Azure Resource Graph en meer.

Controleer de ondersteunde werkmapparameters. U kunt verwijzen naar deze parameterwaarden in andere delen van werkmappen via bindingen of waarde-uitbreidingen.

5. Visualisaties maken of bijwerken

Werkmappen bieden een uitgebreide set mogelijkheden voor het visualiseren van uw gegevens. Bekijk deze gedetailleerde voorbeelden van elk visualisatietype.

• Text
• Grafieken
• Rasters
• Tegels
• Bomen
• Grafieken
• Map
• Honing kam
• Samengestelde balk

6. De werkmap bekijken en opslaan

Nadat u de werkmap hebt opgeslagen, geeft u de parameters op en valideert u de resultaten. U kunt ook de functie voor automatisch vernieuwen of afdrukken proberen om op te slaan als PDF-bestand.

Volgende stappen

In dit artikel hebt u geleerd hoe u uw dashboards converteert naar Azure-werkmappen.

SOC-processen bijwerken