Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Convertissez les tableaux de bord de votre solution SIEM (Security Information and Event Management) existante en classeur Azure pour Microsoft Sentinel. les classeurs Azure offrent une polyvalence pour créer des tableaux de bord personnalisés pour Microsoft Sentinel. Cet article explique comment examiner, planifier et convertir vos tableaux de bord actuels en classeurs Azure.
Passer en revue les tableaux de bord dans votre SIEM actuel
Tenez compte des étapes suivantes lorsque vous concevez votre migration.
- Analyser les tableaux de bord. Rassemblez des informations sur vos tableaux de bord, notamment la conception, les paramètres, les sources de données et d’autres détails. Identifiez l’objectif ou l’utilisation de chaque tableau de bord.
- Soyez sélectif. Ne migrez pas tous les tableaux de bord sans considération. Concentrez-vous sur les tableaux de bord critiques et utilisés régulièrement.
- Tenez compte des autorisations. Déterminez qui sont les utilisateurs cibles pour les classeurs. les classeurs Azure utilisent Azure contrôle d’accès en fonction du rôle (Azure RBAC). Pour plus d’informations, consultez Évaluer le contrôle dans les classeurs Azure. Pour créer des tableaux de bord en dehors de Azure, par exemple pour les cadres d’entreprise sans accès Azure, utilisez un outil de création de rapports tel que Power BI.
Préparer la conversion du tableau de bord
Après avoir examiné vos tableaux de bord, effectuez les tâches suivantes pour préparer la migration de votre tableau de bord :
Passez en revue toutes les visualisations dans chaque tableau de bord. Les tableaux de bord de votre SIEM actuel peuvent contenir plusieurs graphiques ou panneaux. Il est essentiel d’examiner le contenu de vos tableaux de bord présélectionés pour éliminer les visualisations ou données indésirables.
Capturez la conception et l’interactivité du tableau de bord.
Identifiez tous les éléments de conception qui sont importants pour vos utilisateurs. Par exemple, la disposition du tableau de bord, la disposition des graphiques ou même la taille ou la couleur de police des graphiques.
Capturez toute interactivité, telle que l’exploration, le filtrage et d’autres, que vous devez reporter dans Azure Classeurs.
Identifiez les paramètres requis ou les entrées utilisateur. Dans la plupart des cas, vous devez définir des paramètres permettant aux utilisateurs d’effectuer des recherches, de filtrer ou d’étendre les résultats (par exemple, plage de dates, nom de compte et autres). Par conséquent, il est essentiel de capturer les détails relatifs aux paramètres. Voici quelques-unes des exigences de paramètre clés à collecter :
- Type de paramètre permettant aux utilisateurs d’effectuer une sélection ou une entrée. Par exemple, plage de dates, texte ou autres.
- Comment les paramètres sont représentés, comme la liste déroulante, la zone de texte ou d’autres.
- Format de valeur attendu, par exemple, heure, chaîne, entier, etc.
- D’autres propriétés, telles que la valeur par défaut, autorisent la sélection multiple, la visibilité conditionnelle, etc.
Convertir des tableaux de bord
Pour convertir votre tableau de bord, effectuez les tâches suivantes dans Azure Classeurs et Microsoft Sentinel.
1. Identifier les sources de données
Azure classeurs sont compatibles avec un grand nombre de sources de données. Pour plus d’informations, consultez sources de données Azure classeurs. Dans la plupart des cas, utilisez les requêtes Azure Monitor logs source and Langage de requête Kusto (KQL) pour visualiser les journaux sous-jacents dans votre espace de travail Microsoft Sentinel.
2. Construire ou examiner des requêtes KQL
Dans cette étape, vous travaillez principalement avec KQL pour visualiser vos données. Vous pouvez construire et tester vos requêtes dans Microsoft Sentinel avant de les convertir en classeurs Azure. Pour tester les requêtes de Microsoft Sentinel dans le Portail Azure, accédez à Journaux. À partir de Microsoft Sentinel dans le portail Defender, accédez à Investigation & response>Hunting>Advanced hunting.
Avant de finaliser vos requêtes KQL, passez toujours en revue et réglez les requêtes pour améliorer les performances des requêtes. Requêtes optimisées :
- Exécutez plus rapidement, réduisez la durée globale de l’exécution de la requête.
- Avoir moins de chances d’être limité ou rejeté.
Pour plus d’informations, consultez les ressources suivantes :
- Bonnes pratiques relatives aux requêtes KQL
- Optimiser les requêtes dans les journaux Azure Monitor
- Optimisation des performances KQL (webinaire)
3. Créer ou mettre à jour le classeur
Créez un classeur, mettez à jour le classeur ou clonez un classeur existant afin de ne pas avoir à démarrer à partir de zéro. Spécifiez également la façon dont les données ou les visualisations sont représentées, organisées et regroupées. Il existe deux conceptions courantes :
- Classeur vertical
- Classeur à onglets
Si vous souhaitez en savoir plus, consultez les articles suivants :
- Visualiser et surveiller vos données à l’aide de classeurs dans Microsoft Sentinel
- Ajouter des groupes dans des classeurs Azure
4. Créer ou mettre à jour des paramètres de classeur ou des entrées utilisateur
Au moment où vous arrivez à ce stade, vous avez identifié les paramètres requis pour votre classeur. Avec les paramètres, vous pouvez collecter les entrées des consommateurs et référencer l’entrée dans d’autres parties du classeur. Cette entrée est généralement utilisée pour définir l’étendue du jeu de résultats, pour définir la visualisation correcte et vous permet de créer des rapports et des expériences interactifs.
Les classeurs vous permettent de contrôler la façon dont vos contrôles de paramètres sont présentés aux consommateurs. Par exemple, vous indiquez si les contrôles sont présentés sous la forme d’une zone de texte ou d’une liste déroulante, ou s’il s’agit d’une sélection unique ou d’une sélection multiple. Vous pouvez également sélectionner les valeurs à utiliser, à partir de texte, JSON, KQL ou Azure Resource Graph, etc.
Passez en revue les paramètres de classeur pris en charge. Vous pouvez référencer ces valeurs de paramètres dans d’autres parties de classeurs via des liaisons ou des extensions de valeur.
5. Créer ou mettre à jour des visualisations
Les classeurs fournissent un ensemble complet de fonctionnalités pour la visualisation de vos données. Passez en revue ces exemples détaillés de chaque type de visualisation.
6. Afficher un aperçu et enregistrer le classeur
Après avoir enregistré votre classeur, spécifiez les paramètres et validez les résultats. Vous pouvez également essayer l’actualisation automatique ou la fonctionnalité d’impression pour l’enregistrer au format PDF.
Étapes suivantes
Dans cet article, vous avez appris à convertir vos tableaux de bord en classeurs Azure.