Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Converta dashboards da sua solução de gestão de informações e eventos de segurança (SIEM) existente num livro de Azure para Microsoft Sentinel. Azure Livros fornecem versatilidade para criar dashboards personalizados para Microsoft Sentinel. Este artigo descreve como rever, planear e converter os dashboards atuais para Azure Livros.
Rever dashboards no seu SIEM atual
Considere os seguintes passos ao estruturar a migração.
- Analisar dashboards. Recolha informações sobre os dashboards, incluindo design, parâmetros, origens de dados e outros detalhes. Identifique a finalidade ou utilização de cada dashboard.
- Seja seletivo. Não migre todos os dashboards sem consideração. Concentre-se nos dashboards críticos e utilizados regularmente.
- Considere as permissões. Considere quem são os utilizadores de destino para livros. Azure Livros utilizam Azure controlo de acesso baseado em funções (Azure RBAC). Para obter mais informações, veja Avaliar o controlo no Azure Livros. Para criar dashboards fora Azure, por exemplo, para executivos empresariais sem acesso Azure, utilize uma ferramenta de relatórios como o Power BI.
Preparar a conversão do dashboard
Depois de rever os dashboards, conclua as seguintes tarefas para preparar a migração do dashboard:
Reveja todas as visualizações em cada dashboard. Os dashboards no seu SIEM atual podem conter vários gráficos ou painéis. É fundamental rever o conteúdo dos dashboards listados a curto prazo para eliminar quaisquer visualizações ou dados indesejados.
Capture o design e a interatividade do dashboard.
Identifique quaisquer elementos de estrutura que sejam importantes para os seus utilizadores. Por exemplo, o esquema do dashboard, a disposição dos gráficos ou até mesmo o tamanho ou cor do tipo de letra dos gráficos.
Capture qualquer interatividade, como a desagregação, a filtragem e outras pessoas que precisa de transferir para Azure Livros.
Identifique os parâmetros necessários ou as entradas de utilizador. Na maioria dos casos, tem de definir parâmetros para os utilizadores efetuar a pesquisa, filtragem ou âmbito dos resultados (por exemplo, intervalo de datas, nome da conta e outros). Por conseguinte, é crucial capturar os detalhes em torno dos parâmetros. Seguem-se alguns dos principais requisitos de parâmetros a recolher:
- O tipo de parâmetro para os utilizadores efetuarem a seleção ou entrada. Por exemplo, intervalo de datas, texto ou outros.
- Como os parâmetros são representados, como o menu pendente, a caixa de texto ou outros.
- O formato de valor esperado, por exemplo, hora, cadeia, número inteiro ou outros.
- Outras propriedades, como o valor predefinido, permitem seleção múltipla, visibilidade condicional ou outras.
Converter dashboards
Para converter o dashboard, conclua as seguintes tarefas no Azure Livros e Microsoft Sentinel.
1. Identificar origens de dados
Azure Livros são compatíveis com um grande número de origens de dados. Para obter mais informações, veja Azure Origens de dados de Livros. Na maioria dos casos, utilize a origem de dados e as consultas Linguagem de Pesquisa Kusto (KQL) dos registos do Azure Monitor para visualizar os registos subjacentes na área de trabalho do Microsoft Sentinel.
2. Construir ou rever consultas KQL
Neste passo, trabalha principalmente com a KQL para visualizar os seus dados. Pode construir e testar as suas consultas no Microsoft Sentinel antes de convertê-las em Livros Azure. Para testar as consultas de Microsoft Sentinel no portal do Azure, aceda a Registos. A partir de Microsoft Sentinel no portal do Defender, aceda a Investigação & resposta>investigação>Investigação Avançada de investigação.
Antes de finalizar as consultas KQL, reveja e ajuste sempre as consultas para melhorar o desempenho das consultas. Consultas otimizadas:
- Execute mais rapidamente e reduza a duração geral da execução da consulta.
- Tenha uma menor probabilidade de ser limitado ou rejeitado.
Para mais informações, consulte os seguintes recursos:
- Melhores práticas de consulta KQL
- Otimizar consultas nos Registos do Azure Monitor
- Otimizar o desempenho do KQL (webinar)
3. Criar ou atualizar o livro
Crie um livro, atualize o livro ou clone um livro existente para que não tenha de começar do zero. Além disso, especifique a forma como os dados ou visualizações são representados, organizados e agrupados. Existem dois designs comuns:
- Livro vertical
- Livro com separadores
Para mais informações, consulte os seguintes artigos:
- Visualizar e monitorizar os seus dados com livros no Microsoft Sentinel
- Adicionar grupos no Azure Livros
4. Criar ou atualizar parâmetros do livro ou entradas de utilizador
Quando chegar a esta fase, identificou os parâmetros necessários para o seu livro. Com os parâmetros, pode recolher entradas dos consumidores e referenciar a entrada noutras partes do livro. Normalmente, esta entrada é utilizada para definir o âmbito do conjunto de resultados, para definir a visualização correta e permite-lhe criar relatórios e experiências interativos.
Os livros permitem-lhe controlar a forma como os controlos de parâmetros são apresentados aos consumidores. Por exemplo, selecione se os controlos são apresentados como uma caixa de texto vs. lista pendente ou uma- vs. seleção múltipla. Também pode selecionar os valores a utilizar, a partir de texto, JSON, KQL ou Azure Resource Graph e muito mais.
Reveja os parâmetros do livro suportados. Pode referenciar estes valores de parâmetros noutras partes dos livros através de enlaces ou expansões de valores.
5. Criar ou atualizar visualizações
Os livros fornecem um conjunto avançado de capacidades para visualizar os seus dados. Veja estes exemplos detalhados de cada tipo de visualização.
6. Pré-visualizar e guardar o livro
Depois de guardar o livro, especifique os parâmetros e valide os resultados. Também pode experimentar a atualização automática ou a funcionalidade de impressão para guardar como um PDF.
Passos seguintes
Neste artigo, aprendeu a converter os dashboards em Azure livros.