在 Microsoft Sentinel 中使用活頁簿可視化及監視您的數據

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

將數據源聯機到 Microsoft Sentinel 之後,請使用 Microsoft Sentinel 中的活頁簿來可視化和監視數據。 Microsoft Sentinel 可讓您跨數據建立自定義活頁簿,或使用封裝解決方案可用的現有活頁簿範本,或作為內容中樞的獨立內容。 這些範本可讓您在連接數據源時快速取得數據見解。

本文說明如何使用活頁簿將 Microsoft Sentinel 中的數據可視化。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

  • 您必須至少有 Microsoft Sentinel 工作區資源群組的活頁簿讀取者活頁簿參與者 許可權。

    您在 Microsoft Sentinel 中看到的活頁簿會儲存在 Microsoft Sentinel 工作區的資源群組中,並由其建立所在的工作區標記。

  • 若要使用活頁簿範本,請安裝包含活頁簿的解決方案,或從 內容中樞將活頁簿安裝為獨立專案。 如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容

從範本建立活頁簿

使用從內容中樞安裝的範本來建立活頁簿。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下,選取 [活頁簿]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>活頁簿]。

  2. 移至 [活頁簿],然後選取 [範本] 以查看已安裝的活頁簿範本清單。

    若要查看哪些範本與您連接的數據類型相關,請檢閱 每個活頁簿中可用的 [必要數據類型 ] 字段。

  3. 從範本詳細資料窗格選取 [ 儲存 ],以及您要儲存範本 JSON 檔案的位置。 此動作會根據相關的範本建立 Azure 資源,並將活頁簿的 JSON 檔案儲存為非數據。

  4. 從範本詳細數據窗格中選取 [檢視儲存的活頁簿 ]。

  5. 選取活頁簿工具列中的 [ 編輯 ] 按鈕,根據您的需求自定義活頁簿。

    顯示已儲存活頁簿的螢幕快照。

    若要複製您的活頁簿,請選取 [編輯],然後選取 [另存新檔]。 以另一個名稱儲存複製品,並位在相同的訂用帳戶和資源群組下。 複製的活頁簿會顯示在 [ 我的活頁簿] 索引 卷標底下。

  6. 當您完成時,請選取 [儲存] 以儲存您的變更。

如需詳細資訊,請參閱如何使用 Azure 監視器活 頁簿建立互動式報表。

建立新的活頁簿

在 Microsoft Sentinel 中從頭開始建立活頁簿。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下,選取 [活頁簿]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>活頁簿]。

  2. 選取 [ 新增活頁簿]。

  3. 若要編輯活頁簿,請選取 [編輯],然後視需要新增文字、查詢和參數。 如需如何自定義活頁簿的詳細資訊,請參閱如何使用 Azure 監視器活頁簿建立互動式報表。

    顯示新活頁簿的螢幕快照。

  4. 建置查詢時,將 [數據源 ] 設定為 [記錄 ] 和 [資源類型 ] 設定為 Log Analytics,然後選擇一或多個工作區。

    我們建議您的查詢使用 進階安全性資訊模型 (ASIM) 剖析器 ,而不是內建數據表。 然後,查詢將支援任何目前或未來的相關數據源,而不是單一數據源。

  5. 建立活頁簿之後,請將活頁簿儲存在 Microsoft Sentinel 工作區的訂用帳戶和資源群組底下。

  6. 如果您想要讓組織中的其他人使用活頁簿,請在 [儲存] 底下選取 [共享報表]。 如果您希望此活頁簿僅供您使用,請選取 [我的報表]。

  7. 若要在工作區中的活頁簿之間切換,請在任何活頁簿的工具欄中選取 [ 開啟開啟活頁簿的圖示。 ]。 畫面會切換至您可以切換的其他活頁簿清單。

    選取您要開啟的活頁簿:

    切換活頁簿。

重新整理活頁簿數據

重新整理活頁簿以顯示更新的數據。 在工具列中,選取下列其中一個選項:

  • 重新整理,以手動重新整理活頁簿數據。

  • 自動重新整理,將您的活頁簿設定為在設定的間隔自動重新整理。

    • 支援的自動重新整理間隔範圍從 5 分鐘1 天

    • 當您編輯活頁簿時,會自動重新整理暫停,而且每次從編輯模式切換回檢視模式時,都會重新啟動間隔。

    • 如果您手動重新整理數據,也會重新啟動自動重新整理間隔。

    根據預設,會自動重新整理關閉。 為了將效能優化,每次關閉活頁簿時,都會關閉自動重新整理。 它不會在背景中執行。 下次開啟活頁簿時,請視需要重新整理自動重新整理。

若要列印活頁簿,或將其儲存為 PDF,請使用活頁簿標題右邊的選項功能表。

  1. 選取 [列印內容] 選項>

  2. 在列印畫面中,視需要調整您的列印設定,或選取 [ 另存新檔 PDF ] 將其儲存在本機。

    例如:顯示如何列印活頁簿或另存為 PDF 的螢幕快照。

如何刪除活頁簿

若要刪除已儲存的活頁簿,請選取要刪除的已儲存活頁簿,然後選取 [ 刪除]。 此動作會移除儲存的活頁簿。 它也會移除活頁簿資源,以及您對範本所做的任何變更。 原始範本仍可供使用。

若要瞭解熱門的內建活頁簿,請參閱 常用的 Microsoft Sentinel 活頁簿