Dela via

Konvertera instrumentpaneler till Azure-arbetsböcker

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Konvertera instrumentpaneler från din befintliga siem-lösning (säkerhetsinformation och händelsehantering) till en Azure-arbetsbok för Microsoft Sentinel. Azure-arbetsböcker ger mångsidighet för att skapa anpassade instrumentpaneler för Microsoft Sentinel. Den här artikeln beskriver hur du granskar, planerar och konverterar dina aktuella instrumentpaneler till Azure-arbetsböcker.

Granska instrumentpaneler i din aktuella SIEM

Tänk på följande steg när du utformar migreringen.

  • Analysera instrumentpaneler. Samla in information om dina instrumentpaneler, inklusive design, parametrar, datakällor och annan information. Identifiera syftet med eller användningen av varje instrumentpanel.
  • Var selektiv. Migrera inte alla instrumentpaneler utan att tänka på det. Fokusera på instrumentpaneler som är kritiska och används regelbundet.
  • Överväg behörigheter. Överväg vilka som är målanvändare för arbetsböcker. Azure-arbetsböcker använder rollbaserad åtkomstkontroll i Azure (Azure RBAC). Mer information finns i Utvärdera kontroll i Azure-arbetsböcker. Om du vill skapa instrumentpaneler utanför Azure, till exempel för företagsledare utan Azure-åtkomst, använder du ett rapporteringsverktyg som Power BI.

Förbereda för instrumentpanelskonverteringen

När du har granskat dina instrumentpaneler slutför du följande uppgifter för att förbereda migreringen av instrumentpanelen:

  • Granska alla visualiseringar på varje instrumentpanel. Instrumentpanelerna i din aktuella SIEM kan innehålla flera diagram eller paneler. Det är viktigt att granska innehållet i dina kortlistade instrumentpaneler för att eliminera oönskade visualiseringar eller data.

  • Avbilda instrumentpanelens design och interaktivitet.

  • Identifiera eventuella designelement som är viktiga för användarna. Till exempel instrumentpanelens layout, diagrammens placering eller till och med diagrammens teckenstorlek eller färg.

  • Samla in all interaktivitet, till exempel detaljgranskning, filtrering och andra som du behöver överföra till Azure-arbetsböcker.

  • Identifiera obligatoriska parametrar eller användarindata. I de flesta fall måste du definiera parametrar för användare att utföra sökning, filtrering eller omfång för resultaten (till exempel datumintervall, kontonamn och andra). Därför är det viktigt att samla in information om parametrar. Här följer några av de viktigaste parameterkraven som ska samlas in:

    • Typ av parameter för användare att utföra val eller indata. Till exempel datumintervall, text eller andra.
    • Hur parametrarna representeras, till exempel listruta, textruta eller andra.
    • Det förväntade värdeformatet, till exempel tid, sträng, heltal eller andra.
    • Andra egenskaper, till exempel standardvärdet, tillåter flera val, villkorsstyrd synlighet eller andra.

Konvertera instrumentpaneler

Om du vill konvertera instrumentpanelen slutför du följande uppgifter i Azure-arbetsböcker och Microsoft Sentinel.

1. Identifiera datakällor

Azure-arbetsböcker är kompatibla med ett stort antal datakällor. Mer information finns i Datakällor för Azure-arbetsböcker. I de flesta fall använder du Azure Monitor-loggarnas datakälla och KQL-frågor (Kusto Query Language) för att visualisera de underliggande loggarna på din Microsoft Sentinel-arbetsyta.

2. Skapa eller granska KQL-frågor

I det här steget arbetar du främst med KQL för att visualisera dina data. Du kan skapa och testa dina frågor i Microsoft Sentinel innan du konverterar dem till Azure-arbetsböcker. Om du vill testa frågorna från Microsoft Sentinel i Azure-portalen går du till Loggar. Från Microsoft Sentinel i Defender-portalen går du till Undersökning och svar>Jakt>Avancerad jakt.

Innan du slutför dina KQL-frågor bör du alltid granska och finjustera frågorna för att förbättra frågeprestandan. Optimerade frågor:

  • Kör snabbare, minska den totala varaktigheten för frågekörningen.
  • Har en mindre chans att begränsas eller avvisas.

Mer information finns i följande resurser:

3. Skapa eller uppdatera arbetsboken

Skapa en arbetsbok, uppdatera arbetsboken eller klona en befintlig arbetsbok så att du inte behöver börja från början. Ange också hur data eller visualiseringar representeras, ordnas och grupperas. Det finns två vanliga design:

  • Lodrät arbetsbok
  • Arbetsbok med flikar

Mer information finns i följande artiklar:

4. Skapa eller uppdatera arbetsboksparametrar eller användarindata

När du kommer till det här steget har du identifierat de parametrar som krävs för din arbetsbok. Med parametrar kan du samla in indata från konsumenterna och referera till indata i andra delar av arbetsboken. Dessa indata används vanligtvis för att begränsa resultatuppsättningen, för att ange rätt visualisering och gör att du kan skapa interaktiva rapporter och upplevelser.

Med arbetsböcker kan du styra hur parameterkontrollerna visas för konsumenterna. Du kan till exempel välja om kontrollerna ska visas som en textruta jämfört med listrutan, eller enkel eller flera val. Du kan också välja vilka värden som ska användas, från text, JSON, KQL eller Azure Resource Graph med mera.

Granska de arbetsboksparametrar som stöds. Du kan referera till dessa parametervärden i andra delar av arbetsböcker antingen via bindningar eller värdeexpansioner.

5. Skapa eller uppdatera visualiseringar

Arbetsböcker ger en omfattande uppsättning funktioner för visualisering av dina data. Granska de här detaljerade exemplen på varje visualiseringstyp.

6. Förhandsgranska och spara arbetsboken

När du har sparat arbetsboken anger du parametrarna och validerar resultatet. Du kan också prova den automatiska uppdateringen eller utskriftsfunktionen för att spara som pdf.

Nästa steg

I den här artikeln har du lärt dig hur du konverterar dina instrumentpaneler till Azure-arbetsböcker.

Uppdatera SOC-processer