Panoları Azure Çalışma Kitaplarına dönüştürme

Makale
06/14/2024
Şunlara uygulanır:

Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Mevcut güvenlik bilgileri ve olay yönetimi (SIEM) çözümünüzden panoları Microsoft Sentinel için Azure çalışma kitabına dönüştürün. Azure Çalışma Kitapları, Microsoft Sentinel için özel panolar oluşturmak için çok yönlülük sağlar. Bu makalede, geçerli panolarınızı gözden geçirme, planlama ve Azure Çalışma Kitapları'na dönüştürme işlemleri açıklanmaktadır.

Geçerli SIEM'inizdeki panoları gözden geçirme

Geçişinizi tasarlarken aşağıdaki adımları göz önünde bulundurun.

Panoları analiz etme. Tasarım, parametreler, veri kaynakları ve diğer ayrıntılar dahil olmak üzere panolarınız hakkında bilgi toplayın. Her panonun amacını veya kullanımını belirleme.
Seçici olun. Dikkate almadan tüm panoları geçirmeyin. Kritik öneme sahip ve düzenli olarak kullanılan panolara odaklanın.
İzinleri göz önünde bulundurun. Çalışma kitapları için hedef kullanıcıların kim olduğunu göz önünde bulundurun. Azure Çalışma Kitapları, Azure rol tabanlı erişim denetimini (Azure RBAC) kullanır. Daha fazla bilgi için bkz . Azure Çalışma Kitapları'nda denetimi değerlendirme. Azure dışında panolar oluşturmak için (örneğin Azure erişimi olmayan iş yöneticileri için) Power BI gibi bir raporlama aracı kullanın.

Pano dönüştürmeye hazırlanma

Panolarınızı gözden geçirdikten sonra, pano geçişinize hazırlanmak için aşağıdaki görevleri tamamlayın:

Her panodaki tüm görselleştirmeleri gözden geçirin. Geçerli SIEM'inizdeki panolar birkaç grafik veya panel içerebilir. İstenmeyen görselleştirmeleri veya verileri ortadan kaldırmak için kısa listelenmiş panolarınızın içeriğini gözden geçirmek çok önemlidir.
Pano tasarımını ve etkileşimini yakalayın.
Kullanıcılarınız için önemli olan tüm tasarım öğelerini belirleyin. Örneğin, panonun düzeni, grafiklerin düzeni, hatta grafiklerin yazı tipi boyutu veya rengi.
Azure Çalışma Kitapları'na taşımanız gereken detaya gitme, filtreleme ve diğer etkileşimleri yakalayın.
Gerekli parametreleri veya kullanıcı girişlerini tanımlayın. Çoğu durumda, kullanıcıların sonuçları (örneğin, tarih aralığı, hesap adı ve diğerleri) arama, filtreleme veya kapsam belirlemesi için parametreler tanımlamanız gerekir. Bu nedenle, parametrelerle ilgili ayrıntıları yakalamak çok önemlidir. Toplanması gereken temel parametre gereksinimlerinden bazıları şunlardır:
- Kullanıcıların seçim veya giriş gerçekleştirmesi için parametre türü. Örneğin, tarih aralığı, metin veya diğerleri.
- Parametrelerin nasıl temsil edilir, örneğin açılan menü, metin kutusu veya diğerleri.
- Saat, dize, tamsayı veya diğerleri gibi beklenen değer biçimi.
- Varsayılan değer gibi diğer özellikler çoklu seçime, koşullu görünürlüğe veya diğer özelliklere izin verir.

Panoları dönüştürme

Panonuzu dönüştürmek için Azure Çalışma Kitapları ve Microsoft Sentinel'de aşağıdaki görevleri tamamlayın.

1. Veri kaynaklarını tanımlama

Azure Çalışma Kitapları çok sayıda veri kaynağıyla uyumludur. Daha fazla bilgi için bkz . Azure Çalışma Kitapları veri kaynakları. Çoğu durumda, Microsoft Sentinel çalışma alanınızdaki temel günlükleri görselleştirmek için Azure İzleyici günlükleri veri kaynağını ve Kusto Sorgu Dili (KQL) sorgularını kullanın.

2. KQL sorguları oluşturma veya gözden geçirme

Bu adımda, verilerinizi görselleştirmek için temel olarak KQL ile çalışırsınız. Sorgularınızı Azure Çalışma Kitaplarına dönüştürmeden önce Microsoft Sentinel'de oluşturabilir ve test edebilirsiniz. Azure portalında Microsoft Sentinel'den gelen sorguları test etmek için Günlükler'e gidin. Defender portalında Microsoft Sentinel'den Araştırma ve yanıt>Avcılığı Gelişmiş avcılığı> bölümüne gidin.

KQL sorgularınızı sonlandırmadan önce sorgu performansını artırmak için sorguları her zaman gözden geçirin ve ayarlayın. İyileştirilmiş sorgular:

Daha hızlı çalıştırın, sorgu yürütmenin genel süresini azaltın.
Azaltılma veya reddedilma ihtimali daha düşük olur.

Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

3. Çalışma kitabını oluşturma veya güncelleştirme

Sıfırdan başlamanız gerekmeyecek şekilde bir çalışma kitabı oluşturun, çalışma kitabını güncelleştirin veya var olan bir çalışma kitabını kopyalayabilirsiniz. Ayrıca, verilerin veya görselleştirmelerin nasıl gösterileceğini, düzenleneceğini ve gruplandırılacağını belirtin. İki yaygın tasarım vardır:

Dikey çalışma kitabı
Sekmeli çalışma kitabı

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

4. Çalışma kitabı parametrelerini veya kullanıcı girişlerini oluşturma veya güncelleştirme

Bu aşamaya geldiğinizde, çalışma kitabınız için gerekli parametreleri tanımlamış olursunuz. Parametrelerle, tüketicilerden giriş toplayabilir ve çalışma kitabının diğer bölümlerindeki girişe başvurabilirsiniz. Bu giriş genellikle sonuç kümesinin kapsamını belirlemek, doğru görselleştirmeyi ayarlamak için kullanılır ve etkileşimli raporlar ve deneyimler oluşturmanıza olanak tanır.

Çalışma kitapları, parametre denetimlerinizin tüketicilere nasıl sunulduğunu denetlemenize olanak sağlar. Örneğin, denetimlerin metin kutusu olarak mı yoksa açılan menüyle mi yoksa çoklu seçimle mi sunulup sunulmayacağını seçersiniz. Metin, JSON, KQL veya Azure Kaynak Grafı ve daha fazlası için hangi değerlerin kullanılacağını da seçebilirsiniz.

Desteklenen çalışma kitabı parametrelerini gözden geçirin. Bağlamalar veya değer genişletmeleri aracılığıyla çalışma kitaplarının diğer bölümlerindeki bu parametre değerlerine başvurabilirsiniz.

5. Görselleştirme oluşturma veya güncelleştirme

Çalışma kitapları, verilerinizi görselleştirmek için zengin bir özellik kümesi sağlar. Her görselleştirme türünün bu ayrıntılı örneklerini gözden geçirin.

6. Çalışma kitabını önizleme ve kaydetme

Çalışma kitabınızı kaydettikten sonra parametreleri belirtin ve sonuçları doğrulayın. Pdf olarak kaydetmek için otomatik yenilemeyi veya yazdırma özelliğini de deneyebilirsiniz.

Sonraki adımlar

Bu makalede panolarınızı Azure çalışma kitaplarına dönüştürmeyi öğrendiniz.

SOC işlemlerini güncelleştirme

Aracılığıyla paylaş