将仪表板转换为 Azure 工作簿

将现有安全信息和事件管理 (SIEM) 解决方案中的仪表板转换为 Microsoft Sentinel 的 Azure 工作簿。 Azure 工作簿提供了为 Microsoft Sentinel 创建自定义仪表板的多功能性。本文介绍如何查看、计划当前仪表板并将其转换为 Azure 工作簿。

查看当前 SIEM 中的仪表板

请在设计迁移时考虑以下步骤。

分析仪表板。收集有关仪表板的信息，包括设计、参数、数据源和其他详细信息。确定每个仪表板的用途或用法。
要有选择性。请勿不加考虑地迁移所有仪表板。专注于关键且经常使用的仪表板。
考虑权限。考虑谁是工作簿的目标用户。 Azure 工作簿使用 Azure 基于角色的访问控制 (Azure RBAC)。有关详细信息，请参阅 Azure 工作簿中的访问控制。若要在 Azure 外部创建仪表板，例如，为没有 Azure 访问权限的企业高管这样做，请使用报表工具（例如 Power BI）。

查看仪表板后，请完成以下任务来准备仪表板迁移：

查看每个仪表板中的所有可视化效果。当前 SIEM 中的仪表板可能包含多个图表或面板。查看列出的仪表板的内容以消除任何不需要的可视化效果或数据至关重要。
捕获仪表板设计和交互性。
确定对用户至关重要的任何设计元素。例如，仪表板的布局、图表的排列甚至图形的字号或颜色。
捕获任何交互性，例如向下钻取、筛选和其他需要传递给 Azure 工作簿的其他交互。
标识所需的参数或用户输入。在大多数情况下，需要为用户定义参数，以执行搜索、筛选或确定结果范围（例如日期范围、帐户名和其他）。因此，捕获有关参数的详细信息至关重要。下面是需要收集的一些关键参数要求：
- 用户执行选择或输入的参数类型。例如，日期范围、文本或其他。
- 如何表示参数，例如下拉列表、文本框或其他参数。
- 预期值格式，例如时间、字符串、整数或其他格式。
- 其他属性（例如默认值）允许多选、条件可见性或其他属性。

若要转换仪表板，请在 Azure 工作簿和 Microsoft Sentinel 中完成以下任务。

Azure 工作簿与大量的数据源兼容。有关详细信息，请参阅 Azure 工作簿数据源。在大多数情况下，请使用 Azure Monitor 日志数据源和 Kusto 查询语言 (KQL) 查询来可视化 Microsoft Sentinel 工作区中的基础日志。

在此步骤中，主要使用 KQL 来可视化数据。在将查询转换为 Azure 工作簿之前，可以在 Microsoft Sentinel 中构造和测试查询。若要在 Azure 门户中测试来自 Microsoft Sentinel 的查询，请转到“日志”。

在完成 KQL 查询之前，请始终查看和优化查询以提高查询性能。优化的查询具有以下特点：

有关更多信息，请参见以下资源：

创建工作簿、更新工作簿或克隆现有工作簿，这样就无需从头开始。另请指定如何表示、排列和分组数据或可视化效果。两个常见的设计是：

有关详细信息，请参阅以下文章：

到达此阶段时，你已经确定了工作簿所需的参数。使用参数，可以从使用者收集输入，并在工作簿的其他部分引用输入。此输入通常用于限定结果集的范围，以设置正确的可视化效果，并允许生成交互式报表和体验。

工作簿允许你控制参数控件呈现给使用者的方式。例如，选择控件是显示为文本框还是下拉列表，还是单选还是多选。还可以从文本、JSON、KQL 或 Azure Resource Graph 等选择要使用的值。

查看支持的工作簿参数。可以通过绑定或值扩展在工作簿的其他部分引用这些参数值。

工作簿提供了一组丰富的功能以用于将数据可视化。查看每个可视化类型的这些详细示例。

保存工作簿后，请指定参数，并验证结果。还可以尝试自动刷新或打印功能以另存为 PDF。

本文介绍了如何将仪表板转换为 Azure 工作簿。