Konfigurowanie pulpitów nawigacyjnych i raportów w celu wizualizacji danych dziennika
Użyto narzędzi i usług w witrynie Azure Portal do zbierania plików dziennika dotyczących użytkowników sieci i ich działań. Korzystając z zebranych dzienników inspekcji i logowania, utworzono zapytania w celu uzyskania szczegółowych informacji na temat określonych zachowań. Te zapytania mogą również wysyłać alerty do zespołu w przypadku wystąpienia podejrzanego zachowania użytkownika. Sporo trwało, zanim udało się spełnić wymagania Twojego zespołu dotyczące bezpieczeństwa.
Członkowie Twojego zespołu są usatysfakcjonowani. Gdy zostaną wykryte podejrzane zachowania, będą oni otrzymywać ściśle ukierunkowane alerty. Teraz członkowie zespołu chcą wiedzieć, czy na platformie Azure można wyświetlać w czasie rzeczywistym widoki bezpieczeństwa danych firmy. Dzięki temu będą oni mogli identyfikować nowe zagrożenia i reagować na nie.
Platforma Azure udostępnia kilka narzędzi i raportów do tworzenia wizualizacji, które mogą spełniać potrzeby zespołu. Chcesz wiedzieć, jak można wykorzystać praktycznie te narzędzia i raporty.
W tej lekcji dowiesz się, jak ulepszać i dostosowywać podstawowe zapytania raportów i zapisywać je na pulpicie nawigacyjnym zabezpieczeń. Następnie dowiesz się, jak wyeksportować te raporty do programu Excel i programu Power BI Desktop.
Tworzenie pulpitu nawigacyjnego zabezpieczeń
Pulpity nawigacyjne zapewniają zorganizowany widok zasobów w wystąpieniu chmury na platformie Azure. Na pulpicie nawigacyjnym można zorganizować i zaplanować codzienne oraz cykliczne zadania i działania operacyjne. Każdy pulpit nawigacyjny można utworzyć wokół określonego działania, takiego jak zadanie lub projekt.
Aby utworzyć nowy pulpit nawigacyjny dla zespołu ds. zabezpieczeń, w menu witryny Azure Portal wybierz pozycję Pulpit nawigacyjny. Zacznij od pustego pulpitu nawigacyjnego.
Wprowadź nazwę pulpitu nawigacyjnego i możesz dodać typowe składniki do pulpitu nawigacyjnego z galerii kafelków. Mimo że pulpit nawigacyjny nie zawiera żadnych danych, możesz udostępnić pulpit nawigacyjny, publikując go dla innych użytkowników sieciowych.
Po utworzeniu pulpitu nawigacyjnego musisz dodać raport zapytania do pulpitu nawigacyjnego. Może się wydawać, że dane z dzienników inspekcji lub dzienników logowania można dodać bezpośrednio do pulpitu nawigacyjnego, ale jeszcze nie możesz tego zrobić. Aby utworzyć zapytanie do dodania do pulpitu nawigacyjnego, musisz wrócić do obszaru roboczego usługi Log Analytics.
Tworzenie zapytania pulpitu nawigacyjnego
W obszarze roboczym usługi Log Analytics utwórz nowe zapytanie. Załóżmy, że chcesz się dowiedzieć, jakie było najpopularniejsze zdarzenie użytkownika w zeszłym tygodniu. W tym celu można użyć zapytania takiego jak to:
AuditLogs
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName
| sort by auditCount desc
Aby rozpocząć, przejdź do dzienników w obszarze roboczym usługi Log Analytics. W menu po lewej stronie w obszarze Ogólne wybierz pozycję Dzienniki.
Chcesz poznać najbardziej typowe zdarzenie użytkownika w zeszłym tygodniu, więc w edytorze zapytań wklej zapytanie. Uruchom zapytanie, aby sprawdzić dane.
Jeśli masz żądane dane, wybierz pozycję Zakończono edytowanie, a następnie zapisz zapytanie z nazwą, subskrypcją, grupą zasobów i lokalizacją.
Przypinanie wyników zapytania do pulpitu nawigacyjnego
Wyniki zapytań można przypiąć do pulpitu nawigacyjnego, aby można je było łatwo znaleźć i udostępnić:
Aby przypiąć wyniki zapytania do pulpitu nawigacyjnego, na pasku menu wybierz ikonę Przypnij . Wybierz opcje, których chcesz użyć, wybierz pulpit nawigacyjny, a następnie wybierz pozycję Przypnij.
Możesz przejść do pulpitu nawigacyjnego, aby wyświetlić wyniki analizy.
Eksportowanie raportu z pulpitu nawigacyjnego
Jeśli raport spełnia Twoje oczekiwania, możesz go wyeksportować do programu Excel lub aplikacji Power BI Desktop.
Na kafelku raportu na pulpicie nawigacyjnym wybierz ikonę bloku Otwórz w dziennikach:
Uruchom zapytanie dziennika, a następnie wybierz listę rozwijaną Eksportuj. Wybierz opcję eksportu:
- Eksportowanie do pliku CSV — wszystkie kolumny
- Eksportowanie do pliku CSV — wyświetlane kolumny
- Eksportowanie do usługi Power BI (zapytanie M)
- Otwórz w programie Excel
Eksportowanie raportu do usługi Power BI (zapytanie M)
Usługa Power BI umożliwia tworzenie złożonych i dynamicznych raportów i pulpitów nawigacyjnych z danych, które je podajesz. W obszarze roboczym usługi Log Analytics wyeksportuj raport do usługi Power BI, wybierając listę rozwijaną Eksportuj, a następnie wybierając opcję Eksportuj do usługi Power BI (zapytanie M). Ta sekwencja nie eksportuje danych bezpośrednio, a jedynie tworzy złożone zapytanie w języku M. Aplikacja Power BI Desktop używa zapytania M, aby nawiązać połączenie z wystąpieniem platformy Azure i ściągnąć z niego aktywne dane.
Wybierz pozycję Zapisz, aby zapisać plik tekstowy raportu na komputerze lokalnym. Następnie otwórz zapisany plik w edytorze tekstów. Za chwilę skopiujesz zawartość do usługi Power BI. W programie Power BI Desktop wybierz pozycję Pobierz dane, a następnie wybierz pozycję Puste zapytanie.
W edytorze zapytań usługi Power BI wybierz opcję Menu Widok, a następnie wybierz pozycję Edytor zaawansowany. Następnie skopiuj zawartość z zapisanego pliku zapytania usługi Power BI (M) i wklej skrypt języka M w okienku edytora.
Ponieważ to zapytanie pochodzi z platformy Azure, musisz użyć opcji Konto organizacyjne i poświadczenia uwierzytelniania platformy Azure, aby zapewnić usłudze Power BI dostęp do wystąpienia platformy Azure.
Następnie wybierz styl wykresu raportowania, aby reprezentować dane w odpowiedni sposób. Poniższy zrzut ekranu przedstawia przykład:
Po odpowiednim zaprojektowaniu raportu możesz wybrać opcję Publikuj w sieci Web, aby opublikować raport w obszarze roboczym w chmurze usługi Azure Power BI. Z tego miejsca możesz również wyświetlać raport na innych stronach internetowych.