Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Konvertieren Sie Dashboards aus Ihrer vorhandenen SIEM-Lösung (Security Information and Event Management) in eine Azure Arbeitsmappe für Microsoft Sentinel. Azure Arbeitsmappen bieten Vielseitigkeit, um benutzerdefinierte Dashboards für Microsoft Sentinel zu erstellen. In diesem Artikel wird beschrieben, wie Sie Ihre aktuellen Dashboards überprüfen, planen und in Azure Arbeitsmappen konvertieren.
Überprüfen von Dashboards in Ihrem aktuellen SIEM
Berücksichtigen Sie beim Entwerfen der Migration die folgenden Schritte.
- Analysieren von Dashboards. Sammeln Sie Informationen zu Ihren Dashboards, einschließlich Entwurf, Parametern, Datenquellen und anderen Details. Identifizieren Sie den Zweck oder die Verwendung der einzelnen Dashboard.
- Seien Sie selektiv. Migrieren Sie nicht alle Dashboards ohne Berücksichtigung. Konzentrieren Sie sich auf Dashboards, die kritisch sind und regelmäßig verwendet werden.
- Berücksichtigen Sie Berechtigungen. Berücksichtigen Sie, wer die Zielbenutzer für Arbeitsmappen sind. Azure Arbeitsmappen verwenden Azure rollenbasierte Zugriffssteuerung (Role-Based Access Control, Azure RBAC). Weitere Informationen finden Sie unter Bewerten des Steuerelements in Azure Arbeitsmappen. Verwenden Sie ein Berichterstellungstool wie Power BI, um Dashboards außerhalb Azure zu erstellen, z. B. für Führungskräfte ohne Azure Zugriff.
Vorbereiten der Dashboard Konvertierung
Nachdem Sie Ihre Dashboards überprüft haben, führen Sie die folgenden Aufgaben aus, um ihre Dashboard Migration vorzubereiten:
Überprüfen Sie alle Visualisierungen in den einzelnen Dashboard. Die Dashboards in Ihrem aktuellen SIEM können mehrere Diagramme oder Bereiche enthalten. Es ist wichtig, den Inhalt Ihrer kurz aufgeführten Dashboards zu überprüfen, um unerwünschte Visualisierungen oder Daten zu vermeiden.
Erfassen Sie den Dashboard Entwurf und die Interaktivität.
Identifizieren Sie alle Entwurfselemente, die für Ihre Benutzer wichtig sind. Beispielsweise das Layout der Dashboard, die Anordnung der Diagramme oder sogar der Schriftgrad oder die Farbe der Diagramme.
Erfassen Sie jegliche Interaktivität wie Drilldown, Filterung und andere, die Sie in Azure Arbeitsmappen übertragen müssen.
Identifizieren Sie erforderliche Parameter oder Benutzereingaben. In den meisten Fällen müssen Sie Parameter für Benutzer definieren, um die Ergebnisse zu durchsuchen, zu filtern oder einzugrenzen (z. B. Datumsbereich, Kontoname und andere). Daher ist es wichtig, die Details zu Parametern zu erfassen. Hier sind einige der wichtigsten Parameteranforderungen, die erfasst werden müssen:
- Der Typ des Parameters, der von Benutzern ausgewählt oder eingegeben werden soll. Beispiel: Datumsbereich, Text oder andere.
- Wie die Parameter dargestellt werden, z. B. Dropdownliste, Textfeld oder andere.
- Das erwartete Wertformat, z. B. Zeit, Zeichenfolge, ganze Zahl oder andere.
- Andere Eigenschaften, z. B. der Standardwert, lassen Mehrfachauswahl, bedingte Sichtbarkeit oder andere zu.
Konvertieren von Dashboards
Um Ihre Dashboard zu konvertieren, führen Sie die folgenden Aufgaben in Azure Arbeitsmappen und Microsoft Sentinel aus.
1. Identifizieren von Datenquellen
Azure Arbeitsmappen sind mit einer großen Anzahl von Datenquellen kompatibel. Weitere Informationen finden Sie unter Azure Workbooks-Datenquellen. Verwenden Sie in den meisten Fällen die Azure Datenquellen- und Kusto-Abfragesprache abfragen (KQL) überwachen, um die zugrunde liegenden Protokolle in Ihrem Microsoft Sentinel Arbeitsbereich zu visualisieren.
2. Erstellen oder Überprüfen von KQL-Abfragen
In diesem Schritt arbeiten Sie hauptsächlich mit KQL, um Ihre Daten zu visualisieren. Sie können Ihre Abfragen in Microsoft Sentinel erstellen und testen, bevor Sie sie in Azure Arbeitsmappen konvertieren. Um die Abfragen von Microsoft Sentinel im Azure-Portal zu testen, wechseln Sie zu Protokolle. Wechseln Sie Microsoft Sentinel im Defender-Portal zu Untersuchung & Antwort>Hunting>Erweiterte Suche.
Bevor Sie Ihre KQL-Abfragen abschließen, sollten Sie die Abfragen immer überprüfen und optimieren, um die Abfrageleistung zu verbessern. Optimierte Abfragen:
- Schnellere Ausführung, verringern Sie die Gesamtdauer der Abfrageausführung.
- Haben Sie eine geringere Wahrscheinlichkeit, gedrosselt oder abgelehnt zu werden.
Weitere Informationen finden Sie in den folgenden Ressourcen:
- Bewährte Methoden für KQL-Abfragen
- Optimieren von Abfragen in Azure-Überwachungsprotokollen
- Optimieren der KQL-Leistung (Webinar)
3. Erstellen oder Aktualisieren der Arbeitsmappe
Erstellen Sie eine Arbeitsmappe, aktualisieren Sie die Arbeitsmappe, oder klonen Sie eine vorhandene Arbeitsmappe, damit Sie nicht von Grund auf neu beginnen müssen. Geben Sie außerdem an, wie die Daten oder Visualisierungen dargestellt, angeordnet und gruppiert werden. Es gibt zwei gängige Designs:
- Vertikale Arbeitsmappe
- Arbeitsmappe im Registerkartenformat
Weitere Informationen finden Sie in den folgenden Artikeln:
- Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel
- Hinzufügen von Gruppen in Azure Arbeitsmappen
4. Erstellen oder Aktualisieren von Arbeitsmappenparametern oder Benutzereingaben
Zu diesem Zeitpunkt haben Sie die erforderlichen Parameter für Ihre Arbeitsmappe identifiziert. Mit Parametern können Sie Eingaben von den Consumern sammeln und auf die Eingabe in anderen Teilen der Arbeitsmappe verweisen. Diese Eingabe wird in der Regel verwendet, um den Bereich des Resultsets festzulegen, um die richtige Visualisierung festzulegen, und ermöglicht Ihnen das Erstellen interaktiver Berichte und Erfahrungen.
Mit Arbeitsmappen können Sie steuern, wie Ihre Parametersteuerelemente für Consumer dargestellt werden. Beispielsweise wählen Sie aus, ob die Steuerelemente als Textfeld oder als Dropdown oder als Einzel- oder Mehrfachauswahl angezeigt werden. Sie können auch auswählen, welche Werte verwendet werden sollen, aus Text, JSON, KQL oder Azure Resource Graph und mehr.
Überprüfen Sie die unterstützten Arbeitsmappenparameter. Sie können auf diese Parameterwerte in anderen Teilen von Arbeitsmappen entweder über Bindungen oder Werterweiterungen verweisen.
5. Erstellen oder Aktualisieren von Visualisierungen
Arbeitsmappen bieten eine Vielzahl von Funktionen zum Visualisieren Ihrer Daten. Sehen Sie sich diese detaillierten Beispiele für jeden Visualisierungstyp an.
6. Vorschau und Speichern der Arbeitsmappe
Nachdem Sie Die Arbeitsmappe gespeichert haben, geben Sie die Parameter an, und überprüfen Sie die Ergebnisse. Sie können auch die automatische Aktualisierung oder die Druckfunktion ausprobieren, um als PDF zu speichern.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Ihre Dashboards in Azure Arbeitsmappen konvertieren.