Conversión de paneles en libros de Azure

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Convierta los paneles de la solución de administración de eventos e información de seguridad (SIEM) existente en un libro de Azure para Microsoft Sentinel. Azure workbooks proporcionan versatilidad para crear paneles personalizados para Microsoft Sentinel. En este artículo se describe cómo revisar, planear y convertir los paneles actuales en Azure libros.

Revisión de paneles en el SIEM actual

Tenga en cuenta los pasos siguientes al diseñar la migración.

  • Analizar paneles. Recopile información sobre los paneles, incluidos el diseño, los parámetros, los orígenes de datos y otros detalles. Identifique el propósito o uso de cada panel.
  • Sea selectivo. No migre todos los paneles sin tener en cuenta. Céntrese en los paneles que son críticos y se usan con regularidad.
  • Considere los permisos. Considere quiénes son los usuarios de destino de los libros. Azure libros usan Azure control de acceso basado en rol (Azure RBAC). Para obtener más información, vea Evaluación del control en Azure libros. Para crear paneles fuera de Azure, por ejemplo, para ejecutivos empresariales sin acceso Azure, use una herramienta de informes como Power BI.

Preparación para la conversión del panel

Después de revisar los paneles, complete las siguientes tareas para preparar la migración del panel:

  • Revise todas las visualizaciones de cada panel. Los paneles del SIEM actual pueden contener varios gráficos o paneles. Es fundamental revisar el contenido de los paneles de lista corta para eliminar cualquier visualización o datos no deseados.

  • Capture el diseño del panel y la interactividad.

  • Identifique los elementos de diseño que sean importantes para los usuarios. Por ejemplo, el diseño del panel, la disposición de los gráficos o incluso el tamaño de fuente o el color de los gráficos.

  • Capture cualquier interactividad, como la obtención de detalles, el filtrado y otras que necesite transferir a Azure libros.

  • Identifique los parámetros necesarios o las entradas de usuario. En la mayoría de los casos, debe definir parámetros para que los usuarios realicen búsquedas, filtrados o ámbitos de los resultados (por ejemplo, intervalo de fechas, nombre de cuenta y otros). Por lo tanto, es fundamental capturar los detalles en torno a los parámetros. Estos son algunos de los requisitos clave de los parámetros que se van a recopilar:

    • Tipo de parámetro para que los usuarios realicen la selección o la entrada. Por ejemplo, intervalo de fechas, texto u otros.
    • Cómo se representan los parámetros, como la lista desplegable, el cuadro de texto u otros.
    • El formato de valor esperado, por ejemplo, time, string, integer u otros.
    • Otras propiedades, como el valor predeterminado, permiten la selección múltiple, la visibilidad condicional u otras.

Conversión de paneles

Para convertir el panel, complete las siguientes tareas en Azure Libros y Microsoft Sentinel.

1. Identificar orígenes de datos

Azure libros son compatibles con un gran número de orígenes de datos. Para obtener más información, vea Azure orígenes de datos workbooks. En la mayoría de los casos, use el origen de datos y las consultas de Lenguaje de consulta Kusto (KQL) de Azure Monitor para visualizar los registros subyacentes en el área de trabajo de Microsoft Sentinel.

2. Construcción o revisión de consultas KQL

En este paso, trabajará principalmente con KQL para visualizar los datos. Puede construir y probar las consultas en Microsoft Sentinel antes de convertirlos en libros de Azure. Para probar las consultas de Microsoft Sentinel en el Azure Portal, vaya a Registros. En Microsoft Sentinel en el portal de Defender, vaya a Investigación & respuesta>Búsqueda>avanzada.

Antes de finalizar las consultas de KQL, revise y ajuste siempre las consultas para mejorar el rendimiento de las consultas. Consultas optimizadas:

  • Ejecute más rápido, reduzca la duración general de la ejecución de la consulta.
  • Tener una menor probabilidad de que se limite o rechace.

Para obtener más información, consulte los recursos siguientes:

3. Crear o actualizar el libro

Cree un libro, actualice el libro o clone un libro existente para que no tenga que empezar desde cero. Además, especifique cómo se representan, organizan y agrupan los datos o visualizaciones. Hay dos diseños comunes:

  • Libro vertical
  • Libro con pestañas

Para más información, consulte los siguientes artículos:

4. Crear o actualizar parámetros de libro o entradas de usuario

En el momento de llegar a esta fase, identificó los parámetros necesarios para el libro. Con los parámetros, puede recopilar entradas de los consumidores y hacer referencia a la entrada en otras partes del libro. Esta entrada se usa normalmente para limitar el conjunto de resultados, establecer la visualización correcta y permite crear informes interactivos y experiencias.

Los libros permiten controlar cómo se presentan los controles de parámetros a los consumidores. Por ejemplo, puede seleccionar si los controles se presentan como un cuadro de texto frente a una lista desplegable, o una selección única frente a varias. También puede seleccionar qué valores usar, desde texto, JSON, KQL o Azure Resource Graph, etc.

Revise los parámetros del libro admitidos. Puede hacer referencia a estos valores de parámetro en otras partes de los libros a través de enlaces o expansiones de valores.

5. Crear o actualizar visualizaciones

Los libros proporcionan un amplio conjunto de funcionalidades para visualizar los datos. Revise estos ejemplos detallados de cada tipo de visualización.

6. Vista previa y guardado del libro

Después de guardar el libro, especifique los parámetros y valide los resultados. También puede probar la actualización automática o la característica de impresión para guardar como PDF.

Pasos siguientes

En este artículo, ha aprendido a convertir los paneles en libros de Azure.

Actualización de procesos de SOC

  • Last updated on