將儀表板轉換為 Azure 活頁簿
將儀表板從您現有的安全性資訊與事件管理 (SIEM) 解決方案轉換成使用於 Microsoft Sentinel 的 Azure 活頁簿。 Azure 活頁簿提供多功能性來建立 Microsoft Sentinel 的自訂儀表板。 本文說明如何檢閱、規劃以及將目前的儀表板轉換為 Azure 監視器活頁簿。
檢閱您目前 SIEM 中的儀表板
設計移轉時,請考慮下列步驟。
- 分析儀表板。 收集儀表板的相關資訊,包括設計、參數、資料來源和其他詳細資料。 識別每個儀表板的用途或使用方式。
- 選擇性。 請勿輕率地移轉所有儀表板。 應該針對重要且定期使用的儀表板。
- 請考慮權限。 請考慮誰是活頁簿的目標使用者。 使用 Azure 角色型存取控制 (Azure RBAC)。 如需詳細資訊,請參閱在 Azure 活頁簿中評估控制項。 若要在 Azure 外部建立儀表板,例如針對沒有 Azure 存取權的企業主管,請使用 Power BI 之類的報告工具。
準備儀表板轉換
檢閱儀表板之後,請完成下列工作以準備儀表板移轉:
檢閱每個儀表板中的所有視覺效果。 您目前 SIEM 中的儀表板可能包含數個圖表或面板。 請務必檢閱簡短列出的儀表板內容,以消除任何不必要的視覺效果或資料。
擷取儀表板設計和互動功能。
識別對您使用者而言很重要的任何設計元素。 例如,儀表板的配置、圖表的排列方式,或甚至是圖形的字型大小或色彩。
擷取任何互動功能,例如向下切入、篩選,以及您需要移至 Azure 活頁簿的其他互動功能。
識別必要的參數或使用者輸入。 在大部分情況下,您必須定義參數,讓使用者執行搜尋、篩選或界定結果的範圍 (例如日期範圍、帳戶名稱和其他)。 因此,擷取參數的詳細資料非常重要。 以下是要收集的一些主要參數需求:
- 使用者執行選取或輸入時的參數類型。 例如日期範圍、文字或其他。
- 參數的表示方式,例如下拉式清單、文字方塊或其他。
- 預期的值格式,例如時間、字串、整數或其他格式。
- 其他屬性,例如預設值,允許複選、條件式可見度或其他屬性。
轉換儀表板
若要轉換儀表板,請在 Azure 活頁簿和 Microsoft Sentinel 中執行下列工作。
1.識別資料來源
Azure 活頁簿與大量資料來源相容。 如需詳細資訊,請參閱 Azure 活頁簿資料來源。 在大部分情況下,請使用 Azure 監視器記錄資料來源和 Kusto 查詢語言 (KQL) 查詢,將 Microsoft Sentinel 工作區中的基礎記錄視覺化。
2.建構或檢閱 KQL 查詢
在此步驟中,您主要會使用 KQL 將資料視覺化。 您可以在 Microsoft Sentinel 中建構及測試查詢,再將其轉換成 Azure 活頁簿。 若要在 Azure 入口網站中測試來自 Microsoft Sentinel 的查詢,請移至 [記錄]。 從 Defender 入口網站中的 Microsoft Sentinel,移至 [調查與回應]>[搜捕]>[進階搜捕]。
在完成 KQL 查詢之前,請一律檢閱並微調查詢,以改善查詢效能。 最佳化查詢:
- 更快速地執行,減少查詢執行的整體持續時間。
- 有少許的機會可以進行節流或拒絕。
如需詳細資訊,請參閱以下資源:
3.建立或更新活頁簿
建立活頁簿、更新活頁簿或複製現有的活頁簿,讓您不必從頭開始。 此外,指定資料或視覺效果的呈現方式、排列和分組方式。 有下列兩種常見的設計:
- 垂直活頁簿
- 索引標籤式活頁簿
如需詳細資訊,請參閱下列文章:
4.建立或更新活頁簿參數或使用者輸入
當您到達這個階段時,您已識別活頁簿的必要參數。 您可以使用參數以從取用者處收集輸入,並在活頁簿的其他部分參考輸入。 此輸入通常用來界定結果集的範圍、設定正確的視覺效果,並可讓您建置互動式報告和體驗。
活頁簿可讓您控制參數控制項呈現給取用者的方式。 例如,您可以選取控制項是否顯示為文字方塊與下拉式清單,或單選與複選。 您也可以從文字、JSON、KQL 或 Azure Resource Graph 等選取要使用的值。
檢閱支援的活頁簿參數。 您可以透過繫結或值擴充來參考活頁簿其他部分中的這些參數值。
5.建立或更新視覺效果
活頁簿提供一組豐富的功能,來視覺化您的資料。 檢閱每個視覺效果類型的這些詳細範例。
6.預覽並儲存活頁簿
儲存活頁簿之後,請指定參數,並驗證結果。 您也可以嘗試自動重新整理或列印功能,以儲存為 PDF。
下一步
在本文中,您已瞭解如何將儀表板轉換成 Azure 活頁簿。