Konvertera instrumentpaneler till Azure arbetsböcker

Konvertera instrumentpaneler från din befintliga SIEM-lösning (säkerhetsinformation och händelsehantering) till en Azure arbetsbok för Microsoft Sentinel. Azure arbetsböcker ger mångsidighet för att skapa anpassade instrumentpaneler för Microsoft Sentinel. Den här artikeln beskriver hur du granskar, planerar och konverterar dina aktuella instrumentpaneler till Azure arbetsböcker.

Granska instrumentpaneler i din aktuella SIEM

Tänk på följande när du utformar migreringen.

• Analysera instrumentpaneler. Samla in information om dina instrumentpaneler, inklusive design, parametrar, datakällor och annan information. Identifiera syftet med eller användningen av varje instrumentpanel.
• Var selektiv. Migrera inte alla instrumentpaneler utan att tänka på det. Fokusera på instrumentpaneler som är kritiska och används regelbundet.
• Överväg behörigheter. Överväg vilka som är målanvändare för arbetsböcker. Azure-arbetsböcker använder Azure rollbaserad åtkomstkontroll (Azure RBAC). Mer information finns i Utvärdera kontroll i Azure-arbetsböcker. Om du vill skapa instrumentpaneler utanför Azure, till exempel för företagsledare utan Azure åtkomst, använder du ett rapporteringsverktyg som Power BI.

Förbereda för konvertering av instrumentpanelen

När du har granskat dina instrumentpaneler slutför du följande uppgifter för att förbereda migreringen av instrumentpanelen:

• Granska alla visualiseringar på varje instrumentpanel. Instrumentpanelerna i din aktuella SIEM kan innehålla flera diagram eller paneler. Det är viktigt att granska innehållet i dina kortlistade instrumentpaneler för att eliminera oönskade visualiseringar eller data.

• Avbilda instrumentpanelens design och interaktivitet.

• Identifiera eventuella designelement som är viktiga för användarna. Till exempel instrumentpanelens layout, diagrammens placering eller till och med teckenstorleken eller färgen på graferna.

• Samla in all interaktivitet som ökad detaljnivå, filtrering och andra som du behöver överföra till Azure arbetsböcker.

• Identifiera obligatoriska parametrar eller användarindata. I de flesta fall måste du definiera parametrar för användare för att utföra sökning, filtrering eller omfång för resultaten (till exempel datumintervall, kontonamn och andra). Därför är det viktigt att samla in information om parametrar. Här är några av de viktigaste parameterkraven som ska samlas in:

  • Typ av parameter för användare att utföra val eller indata. Till exempel datumintervall, text eller andra.
  • Hur parametrarna representeras, till exempel listruta, textruta eller andra.
  • Det förväntade värdeformatet, till exempel tid, sträng, heltal eller andra.
  • Andra egenskaper, till exempel standardvärdet, tillåter flerval, villkorsstyrd synlighet eller andra.

Konvertera instrumentpaneler

Om du vill konvertera instrumentpanelen utför du följande uppgifter i Azure arbetsböcker och Microsoft Sentinel.

1. Identifiera datakällor

Azure arbetsböcker är kompatibla med ett stort antal datakällor. Mer information finns i Azure datakällor för arbetsböcker. I de flesta fall använder du datakällan för Azure Monitor-loggar och KQL-frågor (Kusto-frågespråk) för att visualisera de underliggande loggarna på din Microsoft Sentinel arbetsyta.

2. Skapa eller granska KQL-frågor

I det här steget arbetar du främst med KQL för att visualisera dina data. Du kan konstruera och testa dina frågor i Microsoft Sentinel innan du konverterar dem till Azure-arbetsböcker. Om du vill testa frågorna från Microsoft Sentinel i Azure Portal går du till Loggar. Från Microsoft Sentinel i Defender-portalen går du till Undersökning & svar>Jakt>avancerad jakt.

Innan du slutför dina KQL-frågor bör du alltid granska och finjustera frågorna för att förbättra frågeprestandan. Optimerade frågor:

• Kör snabbare, minska den totala varaktigheten för frågekörningen.
• Ha en mindre chans att begränsas eller avvisas.

Mer information finns i följande resurser:

• Metodtips för KQL-fråga
• Optimera frågor i Azure Övervaka loggar
• Optimera KQL-prestanda (webbseminarium)

3. Skapa eller uppdatera arbetsboken

Skapa en arbetsbok, uppdatera arbetsboken eller klona en befintlig arbetsbok så att du inte behöver börja från början. Ange också hur data eller visualiseringar representeras, ordnas och grupperas. Det finns två vanliga mönster:

• Lodrät arbetsbok
• Arbetsbok med flikar

Mer information finns i följande artiklar:

• Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel
• Lägga till grupper i Azure arbetsböcker

4. Skapa eller uppdatera arbetsboksparametrar eller användarindata

När du kommer till det här steget har du identifierat de parametrar som krävs för din arbetsbok. Med parametrar kan du samla in indata från konsumenterna och referera till indata i andra delar av arbetsboken. Dessa indata används vanligtvis för att begränsa resultatuppsättningen, för att ange rätt visualisering och gör att du kan skapa interaktiva rapporter och upplevelser.

Med arbetsböcker kan du styra hur parameterkontrollerna visas för konsumenter. Du kan till exempel välja om kontrollerna ska visas som en textruta jämfört med listrutan eller enkel eller flera val. Du kan också välja vilka värden som ska användas, från text, JSON, KQL eller Azure Resource Graph med mera.

Granska de arbetsboksparametrar som stöds. Du kan referera till dessa parametervärden i andra delar av arbetsböcker antingen via bindningar eller värdeexpansioner.

5. Skapa eller uppdatera visualiseringar

Arbetsböcker ger en omfattande uppsättning funktioner för visualisering av dina data. Granska dessa detaljerade exempel på varje visualiseringstyp.

• Text
• Diagram
• Rutnät
• Plattor
• Träd
• Grafer
• Karta
• Honung kam
• Sammansatt stapel

6. Förhandsgranska och spara arbetsboken

När du har sparat arbetsboken anger du parametrarna och validerar resultatet. Du kan också prova den automatiska uppdateringen eller utskriftsfunktionen för att spara som PDF.

Nästa steg

I den här artikeln har du lärt dig hur du konverterar dina instrumentpaneler till Azure arbetsböcker.