在 Microsoft Sentinel 中使用工作簿可视化和监视数据
将数据源连接到 Microsoft Sentinel 后,使用 Microsoft Sentinel 中的工作簿可视化和监视数据。 借助 Microsoft Sentinel,可以跨数据创建自定义工作簿,或者使用打包解决方案中提供的现有工作簿模板,或将其用作来自内容中心的独立内容。 使用这些模板,可以在连接数据源后快速跨数据获取见解。
本文介绍了如何在 Microsoft Sentinel 中可视化数据。
- 使用工作簿模板
- 创建新工作簿
先决条件
对于 Microsoft Sentinel 工作区的资源组,你需要至少具有工作簿读者或工作簿参与者权限 。
在 Microsoft Sentinel 中查看的工作簿保存在 Microsoft Sentinel 工作区的资源组中,并由创建它们的工作区进行标记。
要使用工作簿模板,可安装包含工作簿的解决方案,或将工作簿作为内容中心中的独立项目进行安装。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 的现成内容。
使用工作簿模板
转到“工作簿”,然后选择“模板”来查看所安装工作簿模板的列表。
要查看与已连接的数据类型相关的内容,每个工作簿中“必需的数据类型”字段将在绿色复选标记旁边列出数据类型(如果已将相关数据流式传输到 Microsoft Sentinel)。
选择“查看模板”,查看用你的数据填充的模板。
若要编辑工作簿,请选择“保存”,然后选择要保存模板 JSON 文件的位置。
注意
这会基于相关模板创建 Azure 资源,并保存工作簿的 JSON 文件,而不是数据。
选择“查看已保存的工作簿”。
选择工作簿工具栏中的“编辑”按钮,根据需要自定义工作簿。 完成后,选择“保存”以保存更改。
有关详细信息,请参阅如何使用 Azure Monitor 工作簿创建交互式报表。
提示
若要克隆工作簿,请选择“编辑”,然后选择“另存为”,确保在同一订阅和资源组下将其另存为其他名称 。 克隆的工作簿显示在“我的工作簿”选项卡下。
创建新的工作簿
若要从头开始创建新工作簿,请选择“工作簿”,然后选择“添加工作簿”。
若要编辑工作簿,请选择“编辑”,然后根据需要添加文本、查询和参数。 有关如何自定义工作簿的详细信息,请参阅如何使用 Azure Monitor 工作簿创建交互式报表。
生成查询时,确保将“数据源”设置为“日志”,“资源类型”设置为“日志分析”,然后选择相关工作区。
创建工作簿后,保存工作簿以确保将其保存在 Microsoft Sentinel 工作区的订阅和资源组下。
如果要让组织中的其他人使用该工作簿,请在“保存到”下选择“共享报表”。 如果希望此工作簿仅供你使用,请选择“我的报表”。
若要在工作区中切换工作簿,可以在任何工作簿的工具栏中选择“打开”
。 屏幕将切换到可以切换到的其他工作簿的列表。选择要打开的工作簿:
刷新工作簿数据
刷新工作簿以显示更新的数据。 在工具栏中,选择下列选项之一:
刷新:手动刷新工作簿数据。
自动刷新:将工作簿设置为按配置的间隔自动刷新。支持的自动刷新间隔范围为“5 分钟”到“1 天” 。
在编辑工作簿时,自动刷新会暂停,且每次从编辑模式切换回视图模式时,将重启间隔。
如果手动刷新数据,自动刷新间隔也会重启。
提示
默认情况下,自动刷新处于关闭状态。 为了优化性能,自动刷新会在每次关闭工作簿时被关闭,并且不会在后台运行。 当你下次打开工作簿时,请根据需要重新启用自动刷新。
打印工作簿或另存为 PDF
若要打印工作簿或将其另存为 PDF,请使用工作簿标题右侧的选项菜单。
- 选择选项 >
“打印内容”。 - 在打印屏幕中,根据需要调整打印设置,或选择“另存为 PDF”将其保存在本地。
例如:
如何删除工作簿
若要删除一个已保存的工作簿(无论是保存的模板还是自定义的工作簿),请在“工作簿”页中,选择要删除的已保存工作簿,然后选择“删除”。 此操作将移除保存的工作簿。
注意
这会删除工作簿资源以及对模板所做的任何更改。 原始模板仍可用。
后续步骤
在本文中,你学会了如何使用 Microsoft Sentinel 中的工作簿来可视化数据。
若要了解如何自动完成对威胁的响应,请参阅在 Microsoft Sentinel 中设置自动威胁响应。
若要了解常用的内置工作簿,请参阅常用 Microsoft Sentinel 工作簿。