Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel
После подключения источников данных к Microsoft Sentinel визуализировать и отслеживать данные с помощью книг в Microsoft Sentinel. Microsoft Sentinel позволяет создавать пользовательские книги в данных или использовать существующие шаблоны книг, доступные с упакованными решениями или как автономное содержимое из концентратора контента. Эти шаблоны позволяют быстро получать аналитические сведения о данных сразу после подключения источника данных.
В этой статье описывается визуализация данных в Microsoft Sentinel с помощью книг.
Внимание
Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Необходимые компоненты
У вас должна быть по меньшей мере роль читателя книги (а лучше участника книги) в группе ресурсов рабочей области Microsoft Sentinel.
Книги, которые вы видите в Microsoft Sentinel, сохраняются в группе ресурсов рабочей области Microsoft Sentinel и помечены рабочей областью, в которой они были созданы.
Чтобы использовать шаблон книги, установите решение, содержащее книгу, или установите книгу в качестве автономного элемента из Центра контента. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Создание книги из шаблона
Используйте шаблон, установленный из концентратора содержимого, для создания книги.
Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите книги.
Для Microsoft Sentinel на портале Defender выберите книги Microsoft Sentinel>Threat Management>.Перейдите к книгам и выберите шаблоны , чтобы просмотреть список установленных шаблонов книг.
Чтобы узнать, какие шаблоны относятся к подключенным типам данных, просмотрите поле "Обязательные типы данных" в каждой книге, где доступно.
Выберите "Сохранить " в области сведений о шаблоне и расположение, в котором нужно сохранить JSON-файл для шаблона. Это действие создает ресурс Azure на основе соответствующего шаблона и сохраняет JSON-файл книги, а не данные.
Выберите "Вид сохраненной книги " в области сведений о шаблоне.
Нажмите кнопку Изменить на панели инструментов книги, после чего настройте книгу в соответствии со своими потребностями.
Чтобы клонировать книгу, нажмите кнопку "Изменить " и " Сохранить как". Сохраните клон с другим именем в той же подписке и группе ресурсов. Клонированные книги отображаются на вкладке Мои книги.
Когда все будет готово, нажмите кнопку Сохранить, чтобы сохранить изменения.
Дополнительные сведения о настройке книги см. в статье "Книги Azure Monitor".
Создание новой книги
Создайте книгу с нуля в Microsoft Sentinel.
Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите книги.
Для Microsoft Sentinel на портале Defender выберите книги Microsoft Sentinel>Threat Management>.Выберите " Добавить книгу".
Чтобы изменить книгу, щелкните Изменить и добавьте нужные строки, запросы и (или) параметры. Дополнительные сведения о настройке книги см. в статье о создании интерактивных отчетов с помощью книг Azure Monitor.
При создании запроса задайте для источникаданных значение Log Analytics и типресурса, а затем выберите одну или несколько рабочих областей.
Мы рекомендуем использовать в запросе средство синтаксического анализа модели расширенной информации о безопасности (ASIM), а не встроенную таблицу. Затем запрос будет поддерживать любой текущий или будущий соответствующий источник данных, а не один источник данных.
После создания книги сохраните книгу в подписке и группе ресурсов рабочей области Microsoft Sentinel.
Если вы хотите, чтобы другие пользователи в организации могли использовать эту книгу, в разделе Сохранить в выберите Общие отчеты. Если книга должна быть доступна только вам, выберите Мои отчеты.
Чтобы переключиться между книгами в рабочей области, выберите "Открыть " на панели инструментов любой книги. Отобразится список других книг, на которые можно переключиться.
Выберите книгу, которую требуется открыть:
Обновление данных в книге
Чтобы отобразить в книге обновленные данные, обновите ее. На панели инструментов выберите одну из следующих команд:
Обновить — для обновления данных книги вручную;
Автообновление — для настройки автоматического обновления книги с заданным интервалом.
Поддерживаемые интервалы автоматического обновления — от 5 минут до 1 дня.
Автоматическое обновление приостанавливается во время правки книги, а отсчет интервалов начинается заново при каждом переключении в режим просмотра из режима правки.
Кроме того, отсчет интервалы автоматического обновления начинается с нуля при ручном обновлении данных.
По умолчанию автоматическое обновление данных отключено. Чтобы оптимизировать производительность, автоматическое обновление отключается при каждом закрытии книги. Он не выполняется в фоновом режиме. Включите автоматическое обновление по необходимости при следующем открытии книги.
Печать книги или ее сохранение в формате PDF
Чтобы распечатать книгу или сохранить ее в формате PDF, используйте меню параметров справа от заголовка книги.
Щелкните значок параметров, а затем выберите пункт Print content (Печать содержимого).
На экране печати настройте нужные параметры печати или выберите Сохранить как PDF, чтобы сохранить книгу локально.
Например:
Удаление книг
Чтобы удалить сохраненную книгу, сохраните шаблон или настраиваемую книгу, выберите сохраненную книгу, которую вы хотите удалить, и нажмите кнопку "Удалить". Это действие удаляет сохраненную книгу. Он также удаляет ресурс книги и все изменения, внесенные в шаблон. Исходный шаблон остается доступным.
Связанные статьи
Дополнительные сведения о популярных встроенных книгах см. в статье Часто используемые книги Microsoft Sentinel.