Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Depois de conectar suas fontes de dados ao Microsoft Sentinel, visualize e monitore dados usando pastas de trabalho no Microsoft Sentinel. O Microsoft Sentinel permite que você crie pastas de trabalho personalizadas em todos os seus dados ou use modelos de pastas de trabalho existentes disponíveis com soluções em pacote ou como conteúdo autônomo do hub de conteúdo. Esses modelos permitem que você obtenha rapidamente insights sobre seus dados assim que conectar uma fonte de dados.

Este artigo descreve como visualizar seus dados no Microsoft Sentinel usando pastas de trabalho.

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

  • Você deve ter pelo menos as permissões de leitor de Pasta de Trabalho ou de colaborador de Pasta de Trabalho no grupo de recursos do workspace do Microsoft Azure Sentinel.

    As pastas de trabalho que você vê no Microsoft Sentinel são salvas no grupo de recursos do espaço de trabalho do Microsoft Sentinel e são marcadas pelo espaço de trabalho em que foram criadas.

  • Para usar um modelo de pasta de trabalho, instale a solução que contém a pasta de trabalho ou instale a pasta de trabalho como um item autônomo do Hub de Conteúdo. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

Criar uma pasta de trabalho a partir de um modelo

Use um modelo instalado no hub de conteúdo para criar uma pasta de trabalho.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Pastas de trabalho.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Pastas de trabalho.

  2. Vá até as Pastas de Trabalho e depois selecione Modelos para ver a lista de modelos de pasta de trabalho instalados.

    Para ver quais modelos são relevantes para os tipos de dados conectados, examine o campo Tipos de dados necessários em cada pasta de trabalho, quando disponível.

  3. Selecione Salvar no painel de detalhes do modelo e no local onde você deseja salvar o arquivo JSON para o modelo. Essa ação cria um recurso do Azure com base no modelo relevante e salva o arquivo JSON da pasta de trabalho e não os dados.

  4. Selecione Exibir pasta de trabalho salva no painel de detalhes do modelo.

  5. Selecione o botão Editar na barra de ferramentas da pasta de trabalho para personalizar a pasta de trabalho de acordo com suas necessidades.

    Captura de tela que mostra a pasta de trabalho salva.

    Para clonar sua pasta de trabalho, selecione Editar e, em seguida, Salvar como. Salve o clone com outro nome, na mesma assinatura e grupo de recursos. Essas pastas de trabalho são exibidas na guia Minhas pastas de trabalho.

  6. Quando você concluir, selecione Salvar para salvar as alterações.

Para obter mais informações, confira como Crias relatórios interativos com Pastas de Trabalho do Azure Monitor.

Criar uma nova pasta de trabalho

Crie uma pasta de trabalho do zero no Microsoft Sentinel.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Pastas de trabalho.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Pastas de trabalho.

  2. Selecione Adicionar pasta de trabalho.

  3. Para editar a pasta de trabalho, selecione Editare, em seguida, adicione texto, consultas e parâmetros conforme necessário. Para obter mais informações sobre como personalizar a pasta de trabalho, veja como Criar relatórios interativos com as pastas de trabalho do Azure Monitor.

    Uma captura de tela mostrando a nova pasta de trabalho.

  4. Ao criar uma consulta, defina a Fonte de dados como Logs e Tipo de recurso como Log Analytics e escolha um ou mais workspaces.

    Recomendamos que sua consulta use um analisador ASIM (Modelo de Informações de Segurança Avançado) e não uma tabela criada. Em seguida, a consulta dará suporte a qualquer fonte de dados relevante atual ou futura, em vez de uma única fonte de dados.

  5. Depois de criar sua pasta de trabalho, salve a pasta de trabalho na assinatura e no grupo de recursos do seu workspace do Microsoft Sentinel.

  6. Se quiser permitir que outras pessoas em sua organização usem a pasta de trabalho, em Salvar para selecione Relatórios compartilhados. Se quiser que essa pasta de trabalho esteja disponível apenas para você, selecione Meus relatórios.

  7. Para alternar entre pastas de trabalho no workspace, selecione AbrirÍcone para abrir uma pasta de trabalho. na barra de ferramentas de qualquer pasta de trabalho. A tela mostra uma lista de outras pastas de trabalho para as quais você pode trocar.

    Escolha a pasta de trabalho que quer abrir:

    Alternar pastas de trabalho.

Atualizar os dados da pasta de trabalho

Atualize a pasta de trabalho para exibir dados atualizados. Na barra de ferramentas, escolha uma das seguintes opções:

  • Atualizar, para atualizar manualmente os dados da pasta de trabalho.

  • Atualização automática, para configurar a pasta de trabalho para ser atualizada automaticamente em um intervalo configurado.

    • Os intervalos de atualização automática disponíveis variam entre 5 minutos e 1 dia.

    • A atualização automática fica em pausa enquanto você edita uma pasta de trabalho. Os intervalos são reiniciados toda vez que você sai do modo de edição e volta para o modo de exibição.

    • Os intervalos de atualização automática também são reiniciados se você atualizar os dados manualmente.

    A atualização automática fica desabilitada por padrão. Para otimizar o desempenho, a atualização automática é desativada sempre que você fecha uma pasta de trabalho. Ela não é executada em segundo plano. Quando precisar, basta habilitar o recurso novamente na próxima vez que abrir a pasta de trabalho.

Para imprimir uma pasta de trabalho ou salvá-la como PDF, use o menu de opções à direita do título da pasta de trabalho.

  1. Selecionar opções >Imprimir conteúdo.

  2. Na tela de impressão, ajuste as configurações de impressão conforme necessário ou selecione Salvar como PDF para salvar localmente.

    Por exemplo: Captura de tela que mostra como imprimir sua pasta de trabalho ou salvar como PDF.

Como excluir pastas de trabalho

Para excluir uma pasta de trabalho salva, um modelo salvo ou uma pasta de trabalho personalizada, selecione a pasta de trabalho salva que você deseja excluir e selecione Excluir. Esta ação remove a pasta de trabalho salva. Essa ação também remove o recurso da pasta de trabalho e todas as alterações feitas no modelo. O modelo original permanece disponível.

Para saber mais sobre pastas de trabalho internas populares, consulte Pastas de trabalho comumente usadas do Microsoft Azure Sentinel.