將您現有的安全資訊與事件管理 (SIEM) 解決方案中的儀表板轉換為Azure工作簿,方便Microsoft Sentinel。 Azure Workbooks 提供靈活度,可以為 Microsoft Sentinel 建立自訂儀表板。 本文說明如何檢視、規劃並將您目前的儀表板轉換為 Azure 工作簿。
檢視你目前 SIEM 中的儀表板
在設計遷移時,請考慮以下步驟。
- 分析儀表板。 收集有關儀表板的資訊,包括設計、參數、資料來源及其他細節。 明確每個儀表板的用途或用途。
- 要有選擇性。 不要在不考慮的情況下遷移所有儀表板。 專注於關鍵且經常使用的儀表板。
- 考慮權限。 想想誰是工作簿的目標使用者。 Azure 工作簿使用Azure基於角色的存取控制 (Azure RBAC) 。 欲了解更多資訊,請參閱 Azure 工作簿中的控制評估。 若要在 Azure 外建立儀表板,例如為沒有 Azure 權限的企業主管,請使用像 Power BI 這樣的報告工具。
準備儀表板轉換
檢視儀表板後,請完成以下任務以準備後台遷移:
檢視每個儀表板中的所有視覺化。 你目前 SIEM 的儀表板可能包含多個圖表或面板。 檢視你篩選出的儀表板內容,以排除任何不必要的視覺化或資料,這點至關重要。
捕捉儀表板設計與互動性。
找出對使用者重要的設計元素。 例如儀表板的版面配置、圖表的排列方式,甚至圖表的字體大小或顏色。
擷取任何互動性,例如向下鑽取、篩選等,並需帶入 Azure 工作簿。
識別必要的參數或使用者輸入。 在大多數情況下,你需要為使用者定義參數來進行搜尋、篩選或範圍範圍,例如日期範圍、帳號名稱等 (等) 。 因此,捕捉參數細節至關重要。 以下是一些需要收集的關鍵參數要求:
- 使用者用來執行選擇或輸入的參數類型。 例如,日期範圍、簡訊或其他。
- 參數的表示方式,例如下拉選單、文字框或其他方式。
- 期望值格式,例如時間、字串、整數或其他格式。
- 其他屬性,如預設值,則允許多重選擇、條件可見性等。
轉換儀表板
要轉換儀表板,請在 Azure Workbooks 和 Microsoft Sentinel 中完成以下任務。
1. 識別資料來源
Azure 工作簿相容於大量資料來源。 欲了解更多資訊,請參閱 Azure 工作簿資料來源。 大多數情況下,使用 Azure Monitor 日誌資料來源,並Kusto 查詢語言 (KQL) 查詢,來視覺化你Microsoft Sentinel工作空間中的底層日誌。
2. 構造或審查 KQL 查詢
在這個步驟中,你主要使用 KQL 來視覺化你的資料。 你可以在 Microsoft Sentinel 中建構並測試查詢,再轉換成 Azure 工作簿。 要在 Azure 入口網站測試 Microsoft Sentinel 的查詢,請前往 Logs。 從 Defender 入口網站的 Microsoft Sentinel,前往調查 & 回應>狩獵>進階狩獵。
在完成 KQL 查詢前,務必檢視並調整查詢以提升查詢效能。 優化查詢:
- 加快執行速度,縮短查詢執行的整體時間。
- 被限速或拒絕的機率也比較小。
如需詳細資訊,請參閱下列資源:
3. 建立或更新工作簿
建立工作簿、更新工作簿,或複製現有工作簿,這樣你就不用從頭開始。 同時,請明確說明資料或視覺化如何表示、排列與分組。 常見設計有兩種:
- 垂直工作簿
- 標籤工作簿
如需詳細資訊,請參閱下列文章:
4. 建立或更新工作簿參數或使用者輸入
當你到達這個階段時,你已經確定了工作簿所需的參數。 透過參數,你可以從消費者那裡收集輸入,並在工作簿的其他部分引用這些輸入。 這些輸入通常用來範圍結果、設定正確的視覺化,並讓你能建立互動式報告和體驗。
工作簿讓你能控制參數控制如何呈現給消費者。 例如,你可以選擇控制鍵是以文字框還是下拉選單,或單選或多選。 你也可以選擇要使用的數值,無論是文字、JSON、KQL 或 Azure Resource Graph 等。
檢視 支援的練習簿參數。 你可以在工作簿的其他部分透過綁定或值擴展來參考這些參數值。
5. 建立或更新視覺化
工作簿提供了豐富的功能來視覺化你的資料。 複習這些每種視覺化類型的詳細範例。
6. 預覽並儲存工作簿
儲存作業簿後,指定參數並驗證結果。 你也可以試試自動 刷新 或列印功能,把它 存成 PDF。
後續步驟
在這篇文章中,你學會了如何將儀表板轉換成 Azure 工作簿。