你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Microsoft Sentinel 中使用工作簿可视化和监视数据

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

将数据源连接到 Microsoft Sentinel 后,使用 Microsoft Sentinel 中的工作簿可视化和监视数据。 借助 Microsoft Sentinel,可以跨数据创建自定义工作簿,或者使用打包解决方案中提供的现有工作簿模板,或将其用作来自内容中心的独立内容。 使用这些模板,可以在连接数据源后快速跨数据获取见解。

本文介绍了如何使用工作簿在 Microsoft Sentinel 中可视化数据。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

先决条件

  • 对于 Microsoft Sentinel 工作区的资源组,你需要至少具有工作簿读者或工作簿参与者权限 。

    在 Microsoft Sentinel 中查看的工作簿保存在 Microsoft Sentinel 工作区的资源组中,并由创建它们的工作区进行标记。

  • 要使用工作簿模板,可安装包含工作簿的解决方案,或将工作簿作为内容中心中的独立项目进行安装。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 的现成内容

从模板创建工作簿

使用从内容中心安装的模板创建工作簿。

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“工作簿”
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“工作簿”

  2. 转到“工作簿”,然后选择“模板”来查看所安装工作簿模板的列表。

    若要查看哪些模板与连接的数据类型相关,请查看每个工作簿中可用的“必需数据类型”字段

  3. 从模板详细信息窗格中选择“保存”,然后选择要将模板 JSON 文件保存到的位置。 此操作基于相关模板创建 Azure 资源,并保存工作簿的 JSON 文件,而不是数据。

  4. 从模板详细信息窗格中选择“查看已保存的工作簿”

  5. 选择工作簿工具栏中的“编辑”按钮,根据需要自定义工作簿。

    显示已保存的工作簿的屏幕截图。

    若要克隆工作簿,请选择“编辑”,然后选择“另存为”。 在同一订阅和资源组下使用其他名称保存克隆。 克隆的工作簿显示在“我的工作簿”选项卡下。

  6. 完成后,选择“保存”以保存更改。

有关详细信息,请参阅如何使用 Azure Monitor 工作簿创建交互式报表

创建新的工作簿

在 Microsoft Sentinel 中从头开始创建工作簿。

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“工作簿”
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“工作簿”

  2. 选择“添加工作簿”

  3. 若要编辑工作簿,请选择“编辑”,然后根据需要添加文本、查询和参数。 有关如何自定义工作簿的详细信息,请参阅如何使用 Azure Monitor 工作簿创建交互式报表

    显示新工作簿的屏幕截图。

  4. 生成查询时,请将“数据源”设置为“日志”,将“资源类型”设置为“Log Analytics”,然后选择一个或多个工作区

    建议查询使用高级安全信息模型 (ASIM) 分析程序,而不是内置表。 然后,查询将支持任何当前或未来的相关数据源,而不是单个数据源。

  5. 创建工作簿后,将该工作簿保存在 Microsoft Sentinel 工作区的订阅和资源组下。

  6. 如果要让组织中的其他人使用该工作簿,请在“保存到”下选择“共享报表”。 如果希望此工作簿仅供你使用,请选择“我的报表”

  7. 若要在工作区中切换工作簿,可以在任何工作簿的工具栏中选择“打开”。 屏幕将切换到可以切换到的其他工作簿的列表。

    选择要打开的工作簿:

    切换工作簿。

刷新工作簿数据

刷新工作簿以显示更新的数据。 在工具栏中,选择下列选项之一:

  • 刷新:手动刷新工作簿数据。

  • 自动刷新:将工作簿设置为按配置的间隔自动刷新。

    • 支持的自动刷新间隔范围为“5 分钟”到“1 天” 。

    • 在编辑工作簿时,自动刷新会暂停,且每次从编辑模式切换回视图模式时,将重启间隔。

    • 如果手动刷新数据,自动刷新间隔也会重启。

    默认情况下,自动刷新处于关闭状态。 为了优化性能,每次关闭工作簿时都会关闭自动刷新。 它不会在后台运行。 当你下次打开工作簿时,请根据需要重新启用自动刷新。

若要打印工作簿或将其另存为 PDF,请使用工作簿标题右侧的选项菜单。

  1. 选择选项 >“打印内容”。

  2. 在打印屏幕中,根据需要调整打印设置,或选择“另存为 PDF”将其保存在本地。

    例如:显示如何打印工作簿或另存为 PDF 的屏幕截图。

如何删除工作簿

若要删除一个已保存的工作簿(无论是保存的模板还是自定义的工作簿),请选择要删除的已保存工作簿,然后选择“删除”。 此操作将移除保存的工作簿。 这还会删除工作簿资源以及对模板所做的任何更改。 原始模板仍可用。

若要了解常用的内置工作簿,请参阅常用 Microsoft Sentinel 工作簿