Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nadat u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, visualiseert en bewaakt u de gegevens met behulp van werkmappen in Microsoft Sentinel. Met Microsoft Sentinel kunt u aangepaste werkmappen maken in uw gegevens of bestaande werkmapsjablonen gebruiken die beschikbaar zijn met verpakte oplossingen of als zelfstandige inhoud van de inhoudshub. Met deze sjablonen kunt u snel inzicht krijgen in uw gegevens zodra u verbinding maakt met een gegevensbron.

In dit artikel wordt beschreven hoe u uw gegevens in Microsoft Sentinel kunt visualiseren met behulp van werkmappen.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

  • U moet ten minste machtigingen voor werkmaplezer of Werkmapbijdrager hebben voor de resourcegroep van de Microsoft Sentinel-werkruimte.

    De werkmappen die u in Microsoft Sentinel ziet, worden opgeslagen in de resourcegroep van de Microsoft Sentinel-werkruimte en worden gelabeld door de werkruimte waarin ze zijn gemaakt.

  • Als u een werkmapsjabloon wilt gebruiken, installeert u de oplossing die de werkmap bevat of installeert u de werkmap als een zelfstandig item uit de Content Hub. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

Een werkmap maken op basis van een sjabloon

Gebruik een sjabloon die is geïnstalleerd vanuit de inhoudshub om een werkmap te maken.

  1. Selecteer Werkmappen voor Microsoft Sentinel in Azure Portal onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Workbooks.

  2. Ga naar Werkmappen en selecteer vervolgens Sjablonen om de lijst met werkmapsjablonen weer te geven die zijn geïnstalleerd.

    Als u wilt zien welke sjablonen relevant zijn voor de gegevenstypen die u hebt verbonden, bekijkt u het veld Vereiste gegevenstypen in elke werkmap, indien beschikbaar.

  3. Selecteer Opslaan in het detailvenster van de sjabloon en de locatie waar u het JSON-bestand voor de sjabloon wilt opslaan. Met deze actie wordt een Azure-resource gemaakt op basis van de relevante sjabloon en wordt het JSON-bestand van de werkmap niet de gegevens opgeslagen.

  4. Selecteer Opgeslagen werkmap weergeven in het detailvenster van de sjabloon.

  5. Selecteer de knop Bewerken op de werkbalk van de werkmap om de werkmap aan te passen aan uw behoeften.

    Schermopname van de opgeslagen werkmap.

    Als u de werkmap wilt klonen, selecteert u Bewerken en vervolgens Opslaan als. Sla de kloon op met een andere naam, onder hetzelfde abonnement en dezelfde resourcegroep. Gekloonde werkmappen worden weergegeven op het tabblad Mijn werkmappen .

  6. Wanneer u klaar bent, selecteert u Opslaan om uw wijzigingen op te slaan.

Zie voor meer informatie hoe u interactieve rapporten maakt met Azure Monitor Workbooks.

Nieuwe werkmap maken

Maak een volledig nieuwe werkmap in Microsoft Sentinel.

  1. Selecteer Werkmappen voor Microsoft Sentinel in Azure Portal onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat Management>Workbooks.

  2. Selecteer Werkmap toevoegen.

  3. Als u de werkmap wilt bewerken, selecteert u Bewerken en voegt u indien nodig tekst, query's en parameters toe. Zie hoe u interactieve rapporten maakt met Azure Monitor Workbooks voor meer informatie over het aanpassen van de werkmap.

    Schermopname van een nieuwe werkmap.

  4. Wanneer u een query maakt, stelt u de gegevensbron in op Logboeken en resourcetype op Log Analytics en kiest u vervolgens een of meer werkruimten.

    Het is raadzaam dat uw query gebruikmaakt van een ASIM-parser (Advanced Security Information Model) en niet van een ingebouwde tabel. De query ondersteunt vervolgens alle huidige of toekomstige relevante gegevensbronnen in plaats van één gegevensbron.

  5. Nadat u de werkmap hebt gemaakt, slaat u de werkmap op onder het abonnement en de resourcegroep van uw Microsoft Sentinel-werkruimte.

  6. Als u anderen in uw organisatie de werkmap wilt laten gebruiken, selecteert u onder Opslaan gedeelde rapporten. Als u wilt dat deze werkmap alleen voor u beschikbaar is, selecteert u Mijn rapporten.

  7. Als u wilt schakelen tussen werkmappen in uw werkruimte, selecteert u OpenenPictogram voor het openen van een werkmap. op de werkbalk van een werkmap. Het scherm schakelt over naar een lijst met andere werkmappen waarnaar u kunt overschakelen.

    Selecteer de werkmap die u wilt openen:

    Schakelen tussen werkmappen.

De werkmapgegevens vernieuwen

Vernieuw uw werkmap om bijgewerkte gegevens weer te geven. Selecteer op de werkbalk een van de volgende opties:

  • Vernieuw deze om de werkmapgegevens handmatig te vernieuwen.

  • Automatisch vernieuwen, zodat uw werkmap automatisch wordt vernieuwd met een geconfigureerd interval.

    • Ondersteunde intervallen voor automatisch vernieuwen variëren van 5 minuten tot 1 dag.

    • Automatisch vernieuwen wordt onderbroken terwijl u een werkmap bewerkt en intervallen worden telkens opnieuw gestart wanneer u terugschakelt naar de weergavemodus vanuit de bewerkingsmodus.

    • Intervallen voor automatisch vernieuwen worden ook opnieuw gestart als u uw gegevens handmatig vernieuwt.

    Automatisch vernieuwen is standaard uitgeschakeld. Om de prestaties te optimaliseren, wordt automatisch vernieuwen uitgeschakeld telkens wanneer u een werkmap sluit. Het wordt niet op de achtergrond uitgevoerd. Schakel automatisch vernieuwen zo nodig weer in wanneer u de werkmap de volgende keer opent.

Als u een werkmap wilt afdrukken of als PDF wilt opslaan, gebruikt u het menu Opties rechts van de titel van de werkmap.

  1. Selecteer de opties >Inhoud afdrukken.

  2. Pas in het afdrukscherm de afdrukinstellingen zo nodig aan of selecteer Opslaan als PDF om het lokaal op te slaan.

    Bijvoorbeeld: Schermopname van het afdrukken van uw werkmap of opslaan als PDF.

Werkmappen verwijderen

Als u een opgeslagen werkmap, een opgeslagen sjabloon of een aangepaste werkmap wilt verwijderen, selecteert u de opgeslagen werkmap die u wilt verwijderen en selecteert u Verwijderen. Met deze actie wordt de opgeslagen werkmap verwijderd. De werkmapresource en eventuele wijzigingen die u in de sjabloon hebt aangebracht, worden ook verwijderd. De oorspronkelijke sjabloon blijft beschikbaar.

Zie Veelgebruikte Microsoft Sentinel-werkmappen voor meer informatie over populaire ingebouwde werkmappen.