Converter painéis em Pastas de Trabalho do Azure

Converta os painéis da sua solução existente de gerenciamento de eventos e informações de segurança (SIEM) em uma pasta de trabalho do Azure para o Microsoft Sentinel. As pastas de trabalho do Azure oferecem versatilidade para criar painéis personalizados para o Microsoft Sentinel. Este artigo descreve como revisar, planejar e converter seus painéis atuais em pastas de trabalho do Azure.

Revisar painéis em seu SIEM atual

Considere as seguintes etapas ao projetar sua migração.

• Analisar os painéis. Colete informações sobre seus painéis, incluindo design, parâmetros, fontes de dados e outros detalhes. Identifique a finalidade ou o uso de cada painel.
• Seja seletivo. Não migre todos os painéis sem consideração. Concentre-se nos painéis críticos e usados regularmente.
• Considerar permissões. Considere quem são os usuários de destino para pastas de trabalho. As pastas de trabalho do Azure usam o controle de acesso baseado em função do Azure (RBAC do Azure). Para obter mais informações, consulte Avaliar o controle nas pastas de trabalho do Azure. Para criar painéis fora do Azure, por exemplo, para executivos de negócios sem acesso ao Azure, use uma ferramenta de geração de relatórios como o Power BI.

Preparar-se para a conversão do painel

Depois de revisar seus painéis, conclua as seguintes tarefas para se preparar para a migração do painel:

• Revise todas as visualizações em cada painel. Os painéis no SIEM atual podem conter vários gráficos ou painéis. É crucial revisar o conteúdo de seus painéis de lista curta para eliminar todas as visualizações ou dados indesejados.

• Capturar o design e a interatividade do painel.

• Identifique todos os elementos de design importantes para seus usuários. Por exemplo, o layout do painel, a disposição dos gráficos ou até mesmo o tamanho da fonte ou cor dos grafos.

• Capture qualquer interatividade, como drill down, filtragem e outras, que você precise transferir para as pastas de trabalho do Azure.

• Identificar os parâmetros necessários ou as entradas de usuário. Na maioria dos casos, você precisa definir parâmetros para que os usuários executem pesquisa, filtragem ou escopo dos resultados (por exemplo, intervalo de datas, nome da conta e outros). Portanto, é crucial capturar os detalhes em torno de parâmetros. Aqui estão alguns dos principais requisitos de parâmetros a serem coletados:

  • O tipo de parâmetro para os usuários executarem seleção ou entrada. Por exemplo, intervalo de datas, texto ou outros.
  • Como os parâmetros são representados, como lista suspensa, caixa de texto ou outros.
  • O formato de valor esperado, por exemplo, tempo, cadeia de caracteres, inteiro ou outros.
  • Outras propriedades, como o valor padrão, permitir várias seleções, visibilidade condicional ou outras.

Converter painéis

Para converter seu painel, conclua as seguintes tarefas nas Pastas de Trabalho do Azure e no Microsoft Sentinel.

1. Identificar as fontes de dados

As pastas de trabalho do Azure são compatíveis com um grande número de fontes de dados. Para obter mais informações, consulte Fontes de dados das Pastas de Trabalho do Azure. Na maioria dos casos, use a fonte de dados de logs do Azure Monitor e as consultas KQL (Linguagem de Consulta Kusto) para visualizar os logs subjacentes em seu Workspace do Microsoft Sentinel.

2. Construir ou revisar consultas da KQL

Nesta etapa, você trabalha principalmente com a KQL para visualizar seus dados. Você pode construir e testar suas consultas no Microsoft Sentinel antes de convertê-las em pastas de trabalho do Azure. Para testar as consultas do Microsoft Sentinel no portal do Microsoft Azure, vá para Logs. No Microsoft Sentinel, no portal do Defender, vá para Investigação e resposta>Busca>Busca avançada.

Antes de finalizar suas consultas da KQL, sempre revise e ajuste as consultas para melhorar o desempenho da consulta. Consultas otimizadas:

• São executadas com mais rapidez reduzem a duração geral da execução da consulta.
• Tem menor possibilidade de serem rejeitadas ou limitadas.

Para saber mais, consulte os recursos a seguir:

• Melhores práticas de consulta da KQL
• Otimizar consultas em logs do Azure Monitor
• Otimizando o desempenho da KQL (webinar)

3. Criar ou atualizar a pasta de trabalho

Crie, atualize ou clone uma pasta de trabalho existente para que você não precise começar do zero. Além disso, especifique como os dados ou as visualizações são representados, organizados e agrupados. Existem dois designs comuns:

• Pasta de trabalho vertical
• Pasta de trabalho com guias

Para obter mais informações, consulte os seguintes artigos:

• Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel
• Adicionar grupos nas pastas de trabalho do Azure

4. Criar ou atualizar parâmetros da pasta de trabalho ou entradas do usuário

Ao chegar a esta etapa, você já identificou os parâmetros necessários para sua pasta de trabalho. Com parâmetros, você pode coletar entradas dos consumidores e fazer referência à entrada em outras partes da pasta de trabalho. Essa entrada normalmente é usada para definir o escopo do conjunto de resultados, para definir a visualização correta e permite que você crie relatórios interativos e experiências.

O Workbooks permite que você controle como os controles de parâmetro são apresentados aos consumidores. Por exemplo, selecione se os controles são apresentados como uma caixa de texto ou menu suspenso, ou uma seleção única ou várias seleções. Você também pode selecionar quais valores usar, de texto, JSON, KQL ou do Azure Resource Graph e muito mais.

Revise os parâmetros de pasta de trabalho com suporte. Você pode fazer referência a esses valores de parâmetro em outras partes de pastas de trabalho por meio de associações ou expansões de valor.

5. Criar ou atualizar visualizações

As pastas de trabalho fornecem um conjunto avançado de funcionalidades para visualizar seus dados. Revise estes exemplos detalhados de cada tipo de visualização.

• Text
• Gráficos
• Grades
• Blocos
• Árvores
• Gráficos
• Map
• Colmeia
• Barra de composição

6. Visualizar e salvar a pasta de trabalho

Depois de salvar a pasta de trabalho, especifique os parâmetros e valide os resultados. Você também pode experimentar a atualização automática ou o recurso de impressão para salvar como um PDF.

Próximas etapas

Neste artigo, você aprendeu a converter seus painéis em pastas de trabalho do Azure.