在 Microsoft Sentinel 中使用工作簿可视化和监视数据

2025-09-12

重要

注意： 2026 年 8 月 18 日，根据世纪互联发布的公告，所有Microsoft Sentinel 功能将在中国 Azure 正式停用。

将数据源连接到 Microsoft Sentinel 后，使用 Microsoft Sentinel 中的工作簿可视化和监视数据。 Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿，并向 Azure 中已提供的工具添加具有日志和查询分析的表格和图表。

借助 Microsoft Sentinel，可以跨数据创建自定义工作簿，或使用打包解决方案提供的现有工作簿模板，或将其用作来自内容中心的独立内容。与其他任何元素一样，每个工作簿都是一个 Azure 资源，并且可以通过 Azure 基于角色的访问控制 (RBAC) 为其分配角色，以定义和限制哪些用户可以访问它。

本文介绍了如何使用工作簿在 Microsoft Sentinel 中可视化数据。

先决条件

对于 Microsoft Sentinel 工作区的资源组，你需要至少具有工作簿读者或工作簿参与者权限。

在 Microsoft Sentinel 中查看的工作簿保存在 Microsoft Sentinel 工作区的资源组中，并由创建它们的工作区进行标记。
要使用工作簿模板，可安装包含工作簿的解决方案，或将工作簿作为内容中心中的独立项目进行安装。有关详细信息，请参阅发现和管理 Microsoft Sentinel 的现成内容。

从模板创建工作簿

使用从内容中心安装的模板创建工作簿。

在 Microsoft Sentinel 中，选择 “威胁管理 > 工作簿”。
在 “工作簿 ”页上，选择“ 模板 ”选项卡以查看已安装的工作簿模板列表。选择模板以查看其详细信息。

某些工作簿需要特定的数据连接才能正常运行。保存工作簿之前，请检查 “必需”数据类型 字段，确保已引入该类型的数据。

例如：
在详细信息窗格中，选择“ 保存”，然后选择要保存工作簿的位置。此作基于相关模板在所选位置创建 Azure 资源。仅工作簿的 JSON 文件保存在此位置，且不保存任何数据。
在详细信息窗格中，选择“ 查看保存的工作簿 ”以将其打开以供编辑。
打开工作簿后，选择 “编辑” 以根据需要自定义工作簿。

例如，选择“TimeRange”筛选器可查看与当前选择不同的时间范围的数据。要编辑特定工作簿区域，请选择“编辑”或选择省略号（“...”）以添加元素，或移动、克隆或移除该区域。

要克隆工作簿，请选择“另存为”。在同一订阅和资源组下使用其他名称保存克隆。克隆的工作簿也会显示在”页的“>”选项卡下。
完成后，选择“ 完成编辑 ”以保存更改。

有关详细信息，请参阅：

创建新的工作簿

在 Microsoft Sentinel 中从头开始创建工作簿。

在 Microsoft Sentinel 中，选择 “威胁管理 > 工作簿”，然后选择“ 添加工作簿”。
若要编辑工作簿，请选择“编辑”，然后根据需要添加文本、查询和参数。

有关如何自定义工作簿的详细信息，请参阅如何使用 Azure Monitor 工作簿创建交互式报表。
生成查询时，请将“数据源”设置为“日志”，将“资源类型”设置为“Log Analytics”，然后选择一个或多个工作区。

建议查询使用高级安全信息模型 (ASIM) 分析程序，而不是内置表。然后，查询将支持任何当前或未来的相关数据源，而不是单个数据源。
完成编辑后，选择“ 完成编辑 ”，然后选择 “保存”。在侧窗格中，为工作簿输入有意义的名称，然后选择工作区的订阅和资源组。
若要在工作区中的工作簿之间切换，请选择 “打开 在任何工作簿的工具栏中。屏幕将切换到可以切换到的其他工作簿的列表。

选择要打开的工作簿：

为工作簿创建新磁贴

要将自定义磁贴添加到 Microsoft Sentinel 工作簿，请先在 Log Analytics 中创建磁贴。有关详细信息，请参阅 Log Analytics 中的视觉数据。

创建磁贴后，选择“固定”，然后选择要在其中显示磁贴的工作簿。

刷新工作簿数据

刷新工作簿以显示更新的数据。在工具栏中，选择下列选项之一：

刷新：手动刷新工作簿数据。
自动刷新：将工作簿设置为按配置的间隔自动刷新。
- 支持的自动刷新间隔范围为“5 分钟”到“1 天” 。
- 在编辑工作簿时，自动刷新会暂停，且每次从编辑模式切换回视图模式时，将重启间隔。
- 如果手动刷新数据，自动刷新间隔也会重启。
默认情况下，自动刷新处于关闭状态。如果你已开启自动刷新功能，每次关闭笔记本时都会自动关闭这一功能，以优化性能并防止其在后台运行。当你下次打开工作簿时，请根据需要重新启用自动刷新。

打印工作簿或另存为 PDF

若要打印工作簿或将其另存为 PDF，请使用工作簿标题右侧的选项菜单。

选择选项 >“打印内容”。
在打印屏幕中，根据需要调整打印设置，或选择“另存为 PDF”将其保存在本地。

例如：

删除一个或多个工作簿

可以从 “我的工作簿 ”选项卡中删除保存的模板和自定义工作簿。无法删除模板本身。

若要删除工作簿，请在“我的工作簿”选项卡中选择 该工作簿 ，然后选择“ 删除”。此作将删除工作簿资源以及对模板所做的任何更改。原始模板仍可用。

工作簿建议

本部分介绍有关将工作簿与 Microsoft Sentinel 配合使用的基本建议。

添加 Microsoft Entra ID 工作簿

如果将 Microsoft Entra ID 与 Microsoft Sentinel 一起使用，建议安装适用于 Microsoft Sentinel 的 Microsoft Entra 解决方案并使用以下工作簿：

“Microsoft Entra 登录”可分析不同时间的登录活动，以确定是否存在异常。此工作簿按应用程序、设备和位置提供失败的登录，以便在发生异常情况时一目了然地注意到。请注意是否出现了多个失败的登录活动。
“Microsoft Entra 审核日志”可分析管理活动，例如用户更改（添加、删除等）、组创建和修改。

添加防火墙工作簿

建议从内容中心安装相应的解决方案，以添加防火墙工作簿。

例如，安装适用于 Microsoft Sentinel 的 Palo Alto 防火墙解决方案以添加 Palo Alto 工作簿。该工作簿可分析防火墙流量，在防火墙数据与威胁事件之间提供关联，并突出显示各个实体的可疑事件。

Palo Alto 工作簿的屏幕截图。

创建适用于不同用途的不同工作簿

建议根据角色及其查找内容，针对使用工作簿的每种角色类型创建不同的可视化效果。例如，可以为网络管理员创建包含防火墙数据的工作簿。

或者，根据以下条件创建工作簿，例如希望查看工作簿的频率、是否存在需要每天查看的内容，以及是否存在需要每小时检查一次的其他项目。例如，你可能需要每小时查看一次 Microsoft Entra 登录以搜索异常。

用于比较各周流量趋势的示例查询

使用以下查询创建可视化效果，以比较各周的流量趋势。根据环境切换运行查询的设备供应商和数据源。

以下示例查询使用了 Windows 中的 SecurityEvent 表。你可能想要将其切换为在其他防火墙上的 AzureActivity 或 CommonSecurityLog 表上运行。

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

包含来自多个源的数据的示例查询

可以创建一个查询用于合并多个源中的数据。例如，创建一个查询，以在 Microsoft Entra 审核日志中查找刚刚创建的新用户，然后检查 Azure 日志，以确定该用户是否已在创建后的 24 小时内开始进行角色分配更改。该可疑活动会显示在包含以下查询的可视化效果中：

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

有关上述示例中使用的以下项目的详细信息，请参阅 Kusto 文档：

有关 KQL 的更多信息，请参阅 Kusto 查询语言 (KQL) 概述。

其他资源：