Converter painéis em pastas de trabalho do Azure

• Aplica-se a:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Converta painéis de sua solução de gerenciamento de eventos e informações de segurança (SIEM) existente em uma pasta de trabalho do Azure para o Microsoft Sentinel. As Pastas de Trabalho do Azure fornecem versatilidade para criar painéis personalizados para o Microsoft Sentinel. Este artigo descreve como revisar, planejar e converter seus painéis atuais em Pastas de Trabalho do Azure.

Revise os painéis no seu SIEM atual

Considere as etapas a seguir ao projetar sua migração.

• Analise painéis. Reúna informações sobre seus painéis, incluindo design, parâmetros, fontes de dados e outros detalhes. Identifique a finalidade ou o uso de cada painel.
• Seja seletivo. Não migre todos os painéis sem consideração. Concentre-se em painéis que são críticos e usados regularmente.
• Considere as permissões. Considere quem são os usuários de destino das pastas de trabalho. As Pastas de Trabalho do Azure usam o controle de acesso baseado em função do Azure (Azure RBAC). Para obter mais informações, consulte Avaliar controle em pastas de trabalho do Azure. Para criar painéis fora do Azure, por exemplo, para executivos de negócios sem acesso ao Azure, use uma ferramenta de relatório como o Power BI.

Prepare-se para a conversão do painel

Depois de revisar seus painéis, conclua as seguintes tarefas para se preparar para a migração do painel:

• Analise todas as visualizações em cada painel. Os painéis em seu SIEM atual podem conter vários gráficos ou painéis. É crucial rever o conteúdo dos seus painéis pré-selecionados para eliminar quaisquer visualizações ou dados indesejados.

• Capture o design e a interatividade do painel.

• Identifique todos os elementos de design que são importantes para seus usuários. Por exemplo, o layout do painel, a disposição dos gráficos ou até mesmo o tamanho da fonte ou a cor dos gráficos.

• Capture qualquer interatividade, como detalhamento, filtragem e outras que você precise transferir para as Pastas de Trabalho do Azure.

• Identifique os parâmetros necessários ou as entradas do usuário. Na maioria dos casos, você precisa definir parâmetros para que os usuários realizem pesquisa, filtragem ou escopo dos resultados (por exemplo, intervalo de datas, nome da conta e outros). Por isso, é crucial capturar os detalhes em torno dos parâmetros. Aqui estão alguns dos principais requisitos de parâmetros a serem coletados:

  • O tipo de parâmetro para os usuários executarem a seleção ou entrada. Por exemplo, intervalo de datas, texto ou outros.
  • Como os parâmetros são representados, como lista suspensa, caixa de texto ou outros.
  • O formato de valor esperado, por exemplo, tempo, cadeia de caracteres, inteiro ou outros.
  • Outras propriedades, como o valor padrão, permitem multiseleção, visibilidade condicional ou outras.

Converter painéis

Para converter seu painel, conclua as seguintes tarefas em Pastas de Trabalho do Azure e no Microsoft Sentinel.

1. Identificar fontes de dados

As Pastas de Trabalho do Azure são compatíveis com um grande número de fontes de dados. Para obter mais informações, consulte Fontes de dados das Pastas de Trabalho do Azure. Na maioria dos casos, use a fonte de dados de logs do Azure Monitor e as consultas KQL (Kusto Query Language) para visualizar os logs subjacentes em seu espaço de trabalho do Microsoft Sentinel.

2. Construa ou analise consultas KQL

Nesta etapa, você trabalha principalmente com o KQL para visualizar seus dados. Você pode construir e testar suas consultas no Microsoft Sentinel antes de convertê-las em Pastas de Trabalho do Azure. Para testar as consultas do Microsoft Sentinel no portal do Azure, vá para Logs. No Microsoft Sentinel no portal do Defender, vá para Investigação e resposta>Caça>avançada.

Antes de finalizar suas consultas KQL, sempre revise e ajuste as consultas para melhorar o desempenho da consulta. Consultas otimizadas:

• Execute mais rapidamente, reduza a duração total da execução da consulta.
• Ter uma chance menor de ser limitado ou rejeitado.

Para obter mais informações, consulte os seguintes recursos:

• Práticas recomendadas de consulta KQL
• Otimizar consultas nos Logs do Azure Monitor
• Otimizando o desempenho do KQL (webinar)

3. Criar ou atualizar a pasta de trabalho

Crie uma pasta de trabalho, atualize-a ou clone uma pasta de trabalho existente para que você não precise começar do zero. Além disso, especifique como os dados ou visualizações são representados, organizados e agrupados. Existem dois desenhos ou modelos comuns:

• Pasta de trabalho vertical
• Pasta de trabalho com guias

Para obter mais informações, consulte os seguintes artigos:

• Visualize e monitore seus dados usando pastas de trabalho no Microsoft Sentinel
• Adicionar grupos em Pastas de Trabalho do Azure

4. Criar ou atualizar parâmetros da pasta de trabalho ou entradas do usuário

Ao chegar a este estágio, você identificou os parâmetros necessários para sua pasta de trabalho. Com parâmetros, você pode coletar a entrada dos consumidores e fazer referência à entrada em outras partes da pasta de trabalho. Essa entrada é normalmente usada para definir o escopo do conjunto de resultados, para definir a visualização correta e permite que você crie relatórios e experiências interativas.

As pastas de trabalho permitem controlar como seus controles de parâmetro são apresentados aos consumidores. Por exemplo, você seleciona se os controles são apresentados como uma caixa de texto vs. lista suspensa ou seleção única versus múltipla. Você também pode selecionar quais valores usar, a partir de texto, JSON, KQL ou Azure Resource Graph, e muito mais.

Revise os parâmetros da pasta de trabalho suportados. Você pode fazer referência a esses valores de parâmetro em outras partes de pastas de trabalho por meio de associações ou expansões de valor.

5. Criar ou atualizar visualizações

As pastas de trabalho fornecem um conjunto avançado de recursos para visualizar seus dados. Analise estes exemplos detalhados de cada tipo de visualização.

• Texto
• Gráficos
• Grelhas
• Telhas
• Árvores
• Gráficos
• Mapa
• Favo de mel
• Barra composta

6. Visualizar e salvar a pasta de trabalho

Depois de salvar a pasta de trabalho, especifique os parâmetros e valide os resultados. Você também pode tentar a atualização automática ou o recurso de impressão para salvar como PDF.

Próximos passos

Neste artigo, você aprendeu como converter seus painéis em pastas de trabalho do Azure.

Atualizar processos SOC