Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel
När du har anslutit dina datakällor till Microsoft Sentinel visualiserar och övervakar du data med hjälp av arbetsböcker i Microsoft Sentinel. Med Microsoft Sentinel kan du skapa anpassade arbetsböcker i dina data eller använda befintliga arbetsboksmallar som är tillgängliga med paketerade lösningar eller som fristående innehåll från innehållshubben. Med de här mallarna kan du snabbt få insikter i dina data så snart du ansluter en datakälla.
Den här artikeln beskriver hur du visualiserar dina data i Microsoft Sentinel med hjälp av arbetsböcker.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Förutsättningar
Du måste ha minst behörighet som arbetsboksläsare eller arbetsboksdeltagare i resursgruppen på Microsoft Sentinel-arbetsytan.
Arbetsböckerna som du ser i Microsoft Sentinel sparas i Microsoft Sentinel-arbetsytans resursgrupp och taggas av arbetsytan där de skapades.
Om du vill använda en arbetsboksmall installerar du lösningen som innehåller arbetsboken eller installerar arbetsboken som ett fristående objekt från innehållshubben. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.
Skapa en arbetsbok från en mall
Använd en mall som är installerad från innehållshubben för att skapa en arbetsbok.
För Microsoft Sentinel i Azure-portalen går du till Hothantering och väljer Arbetsböcker.
För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel-arbetsböcker> för hothantering>.Gå till Arbetsböcker och välj sedan Mallar för att se listan över installerade arbetsboksmallar.
Om du vill se vilka mallar som är relevanta för de datatyper som du har anslutit läser du fältet Obligatoriska datatyper i varje arbetsbok där det är tillgängligt.
Välj Spara i fönstret med mallinformation och den plats där du vill spara JSON-filen för mallen. Den här åtgärden skapar en Azure-resurs baserat på den relevanta mallen och sparar JSON-filen för arbetsboken, inte data.
Välj Visa sparad arbetsbok i fönstret med mallinformation.
Välj knappen Redigera i arbetsbokens verktygsfält för att anpassa arbetsboken efter dina behov.
Om du vill klona arbetsboken väljer du Redigera och sedan Spara som. Spara klonen med ett annat namn under samma prenumeration och resursgrupp. Klonade arbetsböcker visas under fliken Mina arbetsböcker .
När du är klar väljer du Spara för att spara ändringarna.
Mer information finns i Skapa interaktiva rapporter med Azure Monitor-arbetsböcker.
Skapa ny arbetsbok
Skapa en arbetsbok från grunden i Microsoft Sentinel.
För Microsoft Sentinel i Azure-portalen går du till Hothantering och väljer Arbetsböcker.
För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel-arbetsböcker> för hothantering>.Välj Lägg till arbetsbok.
Om du vill redigera arbetsboken väljer du Redigera och lägger sedan till text, frågor och parametrar efter behov. Mer information om hur du anpassar arbetsboken finns i Skapa interaktiva rapporter med Azure Monitor-arbetsböcker.
När du skapar en fråga anger du Datakällan till Loggar och Resurstyp till Log Analytics och väljer sedan en eller flera arbetsytor.
Vi rekommenderar att din fråga använder en ASIM-parsare (Advanced Security Information Model) och inte en inbyggd tabell. Frågan stöder sedan alla aktuella eller framtida relevanta datakällor i stället för en enda datakälla.
När du har skapat arbetsboken sparar du arbetsboken under prenumerationen och resursgruppen på din Microsoft Sentinel-arbetsyta.
Om du vill låta andra i din organisation använda arbetsboken väljer du Delade rapporter under Spara. Om du bara vill att arbetsboken ska vara tillgänglig för dig väljer du Mina rapporter.
Om du vill växla mellan arbetsböcker på din arbetsyta väljer du Öppna
i verktygsfältet i valfri arbetsbok. Skärmen växlar till en lista över andra arbetsböcker som du kan växla till.Välj den arbetsbok som du vill öppna:
Uppdatera arbetsboksdata
Uppdatera arbetsboken för att visa uppdaterade data. Välj något av följande alternativ i verktygsfältet:
Uppdatera för att manuellt uppdatera arbetsboksdata.
Automatisk uppdatering för att ställa in att arbetsboken ska uppdateras automatiskt med ett konfigurerat intervall.Intervallen för automatisk uppdatering som stöds varierar från 5 minuter till 1 dag.
Automatisk uppdatering pausas när du redigerar en arbetsbok och intervallen startas om varje gång du växlar tillbaka till visningsläget från redigeringsläget.
Automatiska uppdateringsintervall startas också om om du uppdaterar dina data manuellt.
Som standard är automatisk uppdatering inaktiverad. För att optimera prestanda inaktiveras automatisk uppdatering varje gång du stänger en arbetsbok. Den körs inte i bakgrunden. Aktivera automatisk uppdatering igen efter behov nästa gång du öppnar arbetsboken.
Skriva ut en arbetsbok eller spara som PDF
Om du vill skriva ut en arbetsbok eller spara den som en PDF använder du alternativmenyn till höger om arbetsbokens rubrik.
Välj alternativ >
Skriv ut innehåll.På utskriftsskärmen justerar du utskriftsinställningarna efter behov eller väljer Spara som PDF för att spara dem lokalt.
Till exempel:
Ta bort arbetsböcker
Om du vill ta bort en sparad arbetsbok, antingen en sparad mall eller en anpassad arbetsbok, väljer du den sparade arbetsbok som du vill ta bort och väljer Ta bort. Den här åtgärden tar bort den sparade arbetsboken. Den tar också bort arbetsboksresursen och eventuella ändringar som du har gjort i mallen. Den ursprungliga mallen är fortfarande tillgänglig.
Relaterade artiklar
Mer information om populära inbyggda arbetsböcker finns i Vanliga Microsoft Sentinel-arbetsböcker.