將儀表板轉換為 Azure 活頁簿

您現有 SIEM 中的儀表板會轉換成 Azure 監視器活頁簿，即 Microsoft Sentinel 採用 Azure 監視器活頁簿，可提供建立自訂儀表板的多樣性。

本文說明如何檢閱、規劃以及將目前的活頁簿轉換為 Azure 監視器活頁簿。

檢閱您目前 SIEM 中的儀表板

在設計移轉時，請檢閱這些考量。

探索儀表板。收集儀表板的相關資訊，包括設計、參數、資料來源和其他詳細資料。識別每個儀表板的用途或使用方式。
選取。請勿輕率地移轉所有儀表板。應該針對重要且定期使用的儀表板。
請考慮權限。請考慮誰是活頁簿的目標使用者。 Microsoft Sentinel 會使用 Azure 活頁簿，並使用 Azure 角色型存取控制 (RBAC) 來控制存取權。若要在 Azure 外部建立儀表板，例如針對沒有 Azure 存取權的企業主管，請使用 Power BI 之類的報告工具。

檢閱儀表板之後，請執行下列動作以準備儀表板移轉：

檢閱每個儀表板中的所有視覺效果。您目前 SIEM 中的儀表板可能包含數個圖表或面板。請務必檢閱簡短列出的儀表板內容，以消除任何不必要的視覺效果或資料。
擷取儀表板設計和互動功能。
識別對您使用者而言很重要的任何設計元素。例如，儀表板的配置、圖表的排列方式，或甚至是圖形的字型大小或色彩。
擷取任何互動功能，例如向下切入、篩選，以及您需要移至 Azure 監視器活頁簿的其他互動功能。
識別必要的參數或使用者輸入。在大部分情況下，您必須定義參數，讓使用者執行搜尋、篩選或界定結果的範圍 (例如日期範圍、帳戶名稱和其他)。因此，擷取參數的詳細資料非常重要。以下是一些可協助您收集參數需求的重點：
- 使用者執行選取或輸入時的參數類型。例如日期範圍、文字或其他。
- 參數的表示方式，例如下拉式清單、文字方塊或其他。
- 預期的值格式，例如時間、字串、整數或其他格式。
- 其他屬性，例如預設值，允許複選、條件式可見度或其他屬性。

在 Azure 活頁簿和 Microsoft Sentinel 中執行下列工作，以轉換儀表板。

Azure 監視器活頁簿與大量的資料來源相容。在大部分情況下，請使用 Azure 監視器記錄資料來源，並使用 Kusto 查詢語言 (KQL) 查詢，將 Microsoft Sentinel 工作區中的基礎記錄視覺化。

在此步驟中，您主要會使用 KQL 將資料視覺化。您可以在 Microsoft Sentinel 記錄頁面中建構及測試查詢，再將其轉換成 Azure 監視器活頁簿。在完成 KQL 查詢之前，請一律檢閱並微調查詢，以改善查詢效能。最佳化查詢：

瞭解如何將 KQL 查詢最佳化：

建立活頁簿、更新活頁簿或複製現有的活頁簿，讓您不必從頭開始。此外，請指定資料或視覺效果的呈現方式、排列和分組方式。有下列兩種常見的設計：

當您到達這個階段時，應該已識別必要的參數。您可以使用參數以從取用者處收集輸入，並在活頁簿的其他部分參考輸入。此輸入通常用來界定結果集的範圍、設定正確的視覺效果，並可讓您建置互動式報告和體驗。

活頁簿可讓您控制參數控制項呈現給取用者的方式。例如，您可以選取控制項是否顯示為文字方塊與下拉式清單，或單選與複選。您也可以從文字、JSON、KQL 或 Azure Resource Graph 等選取要使用的值。

檢閱支援的活頁簿參數。您可以透過繫結或值擴充來參考活頁簿其他部分中的這些參數值。

活頁簿提供一組豐富的功能，來視覺化您的資料。檢閱每個視覺效果類型的這些詳細範例。

儲存活頁簿之後，請指定參數，如果已存在任何參數，請驗證結果。您也可以嘗試自動重新整理或列印功能，以儲存為 PDF。

在本文中，您已瞭解如何將儀表板轉換成 Azure 活頁簿。