Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Converteer dashboards van uw bestaande SIEM-oplossing (Security Information and Event Management) naar een Azure werkmap voor Microsoft Sentinel. Azure-werkmappen bieden veelzijdigheid om aangepaste dashboards voor Microsoft Sentinel te maken. In dit artikel wordt beschreven hoe u uw huidige dashboards kunt controleren, plannen en converteren naar Azure Werkmappen.
Dashboards in uw huidige SIEM controleren
Overweeg de volgende stappen bij het ontwerpen van uw migratie.
- Dashboards analyseren. Verzamel informatie over uw dashboards, waaronder ontwerp, parameters, gegevensbronnen en andere details. Identificeer het doel of gebruik van elk dashboard.
- Wees selectief. Migreer niet alle dashboards zonder overweging. Focus op dashboards die kritiek zijn en regelmatig worden gebruikt.
- Overweeg machtigingen. Bedenk wie de doelgebruikers zijn voor werkmappen. Azure Workbooks gebruiken Azure op rollen gebaseerd toegangsbeheer (Azure RBAC). Zie Besturingselement evalueren in Azure Workbooks voor meer informatie. Als u dashboards buiten Azure wilt maken, bijvoorbeeld voor leidinggevenden zonder Azure toegang, gebruikt u een rapportageprogramma zoals Power BI.
Voorbereiden op de dashboardconversie
Nadat u uw dashboards hebt bekeken, voert u de volgende taken uit om de migratie van uw dashboard voor te bereiden:
Bekijk alle visualisaties in elk dashboard. De dashboards in uw huidige SIEM kunnen verschillende grafieken of deelvensters bevatten. Het is van cruciaal belang om de inhoud van uw korte dashboards te controleren om ongewenste visualisaties of gegevens te elimineren.
Leg het dashboardontwerp en de interactiviteit vast.
Identificeer ontwerpelementen die belangrijk zijn voor uw gebruikers. Bijvoorbeeld de indeling van het dashboard, de rangschikking van de grafieken of zelfs de tekengrootte of kleur van de grafieken.
Leg alle interactiviteit vast, zoals inzoomen, filteren en andere activiteiten die u moet overdragen naar Azure Werkmappen.
Vereiste parameters of gebruikersinvoer identificeren. In de meeste gevallen moet u parameters definiëren voor gebruikers om te zoeken, filteren of het bereik van de resultaten te bepalen (bijvoorbeeld datumbereik, accountnaam en andere). Daarom is het van cruciaal belang om de details rond parameters vast te leggen. Hier volgen enkele van de belangrijkste parametervereisten die moeten worden verzameld:
- Het type parameter voor gebruikers om selectie of invoer uit te voeren. Bijvoorbeeld datumbereik, tekst of andere.
- Hoe de parameters worden weergegeven, zoals vervolgkeuzelijst, tekstvak of andere.
- De verwachte waardeindeling, bijvoorbeeld tijd, tekenreeks, geheel getal of andere.
- Andere eigenschappen, zoals de standaardwaarde, staan meervoudige selectie, voorwaardelijke zichtbaarheid of andere toe.
Dashboards converteren
Als u uw dashboard wilt converteren, voert u de volgende taken uit in Azure Werkmappen en Microsoft Sentinel.
1. Gegevensbronnen identificeren
Azure Werkmappen zijn compatibel met een groot aantal gegevensbronnen. Zie gegevensbronnen Azure Werkmappen voor meer informatie. In de meeste gevallen gebruikt u de KQL-query's (Azure Logboeken en Kusto-querytaal) om de onderliggende logboeken in uw Microsoft Sentinel werkruimte te visualiseren.
2. KQL-query's maken of controleren
In deze stap werkt u voornamelijk met KQL om uw gegevens te visualiseren. U kunt uw query's in Microsoft Sentinel maken en testen voordat u ze converteert naar Azure Werkmappen. Als u de query's van Microsoft Sentinel in de Azure Portal wilt testen, gaat u naar Logboeken. Ga vanuit Microsoft Sentinel in de Defender-portal naar Onderzoek & antwoord>Opsporing>geavanceerde opsporing.
Voordat u uw KQL-query's voltooit, moet u de query's altijd controleren en afstemmen om de queryprestaties te verbeteren. Geoptimaliseerde query's:
- Voer sneller uit, verminder de totale duur van de queryuitvoering.
- Een kleinere kans hebben om te worden beperkt of afgekeurd.
Zie de volgende hulpmiddelen voor meer informatie:
- Best practices voor KQL-query's
- Query's in Azure monitorlogboeken optimaliseren
- KQL-prestaties optimaliseren (webinar)
3. De werkmap maken of bijwerken
Maak een werkmap, werk de werkmap bij of kloon een bestaande werkmap, zodat u niet helemaal opnieuw hoeft te beginnen. Geef ook op hoe de gegevens of visualisaties worden weergegeven, gerangschikt en gegroepeerd. Er zijn twee algemene ontwerpen:
- Verticale werkmap
- Werkmap met tabbladen
Zie de volgende artikelen voor meer informatie:
- Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel
- Groepen toevoegen in Azure werkmappen
4. Werkmapparameters of gebruikersinvoer maken of bijwerken
Op het moment dat u in deze fase aankomt, hebt u de vereiste parameters voor uw werkmap geïdentificeerd. Met parameters kunt u invoer van de consumenten verzamelen en verwijzen naar de invoer in andere delen van de werkmap. Deze invoer wordt doorgaans gebruikt om het bereik van de resultatenset in te stellen, om de juiste visualisatie in te stellen en stelt u in staat om interactieve rapporten en ervaringen te maken.
Met werkmappen kunt u bepalen hoe uw parameterbesturingselementen worden gepresenteerd aan consumenten. U selecteert bijvoorbeeld of de besturingselementen worden weergegeven als een tekstvak versus vervolgkeuzelijst, of één versus meerdere opties. U kunt ook selecteren welke waarden u wilt gebruiken, van tekst, JSON, KQL of Azure Resource Graph, en meer.
Controleer de ondersteunde werkmapparameters. U kunt verwijzen naar deze parameterwaarden in andere delen van werkmappen via bindingen of waarde-uitbreidingen.
5. Visualisaties maken of bijwerken
Werkmappen bieden een uitgebreide set mogelijkheden voor het visualiseren van uw gegevens. Bekijk deze gedetailleerde voorbeelden van elk visualisatietype.
6. De werkmap bekijken en opslaan
Nadat u de werkmap hebt opgeslagen, geeft u de parameters op en valideert u de resultaten. U kunt ook de functie voor automatisch vernieuwen of de afdrukfunctie proberen om op te slaan als pdf-bestand.
Volgende stappen
In dit artikel hebt u geleerd hoe u uw dashboards kunt converteren naar Azure werkmappen.