اقرأ باللغة الإنجليزية

مشاركة عبر

إنشاء تقارير Microsoft Defender XDR مخصصة باستخدام واجهة برمجة تطبيقات أمان Microsoft Graph وPower BI

  • مقالة
  • ينطبق على:
    Microsoft Defender XDR

تمكين محترفي الأمان من تصور بياناتهم يمكنهم من التعرف بسرعة على الأنماط المعقدة والشذوذ والاتجاهات التي قد تكون كامنة تحت الضوضاء. باستخدام المرئيات، يمكن لفرق SOC تحديد التهديدات بسرعة، واتخاذ قرارات مستنيرة، وإبلاغ الرؤى بفعالية عبر المؤسسة.

هناك طرق متعددة لتصور بيانات الأمان Microsoft Defender:

  • التنقل في التقارير المضمنة في مدخل Microsoft Defender.
  • استخدام مصنفات Microsoft Sentinel مع قوالب تم إنشاؤها مسبقا لكل منتج Defender (يتطلب التكامل مع Microsoft Sentinel).
  • تطبيق دالة العرض في التتبع المتقدم.
  • استخدام Power BI لتوسيع قدرات إعداد التقارير الحالية.

في هذه المقالة، نقوم بإنشاء نموذج لوحة معلومات كفاءة مركز عمليات الأمان (SOC) في Power BI باستخدام واجهة برمجة تطبيقات أمان Microsoft Graph. نحن نوصول إليه في سياق المستخدم، لذلك يجب أن يكون لدى المستخدم أذونات مقابلة لتتمكن من عرض التنبيهات وبيانات الحوادث.

ملاحظة

يستند المثال أدناه إلى واجهة برمجة تطبيقات أمان MS Graph الجديدة. تعرف على المزيد في: استخدم واجهة برمجة تطبيقات أمان Microsoft Graph.

استيراد البيانات إلى Power BI

في هذا القسم، نستعرض الخطوات المطلوبة للحصول على بيانات Microsoft Defender XDR في Power BI، باستخدام بيانات التنبيهات كمثال.

  1. افتح Microsoft Power BI Desktop.

  2. حدد الحصول على استعلام فارغ للبيانات>.

  3. حدد Advanced المحرر.

    لقطة شاشة توضح كيفية إنشاء استعلام بيانات جديد في Power BI Desktop.

  4. لصق في الاستعلام:

    let
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"])
in
    Source

  5. حدد تم.

  6. عند مطالبتك ببيانات الاعتماد، حدد تحرير بيانات الاعتماد:

    لقطة شاشة لكيفية تحرير بيانات الاعتماد لاتصال واجهة برمجة التطبيقات.

  7. حدد حساب > المؤسسة تسجيل الدخول.

    لقطة شاشة لنافذة مصادقة الحساب التنظيمي.

  8. أدخل بيانات اعتماد للحساب مع الوصول إلى بيانات حوادث Microsoft Defender XDR.

  9. حدد اتصال.

الآن تظهر نتائج الاستعلام كجدول، ويمكنك البدء في إنشاء مرئيات فوقه.

تلميح

إذا كنت تبحث عن تصور أشكال أخرى من بيانات أمان Microsoft Graph مثل الحوادث والتتبع المتقدم ودرجة الأمان وما إلى ذلك، فشاهد نظرة عامة على واجهة برمجة تطبيقات أمان Microsoft Graph.

تصفية البيانات

تدعم واجهة برمجة تطبيقات Microsoft Graph بروتوكول OData بحيث لا داعي للقلق بشأن ترقيم الصفحات - أو طلب المجموعة التالية من البيانات. ومع ذلك، تعد تصفية البيانات ضرورية لتحسين أوقات التحميل في بيئة مشغولة.

تدعم واجهة برمجة تطبيقات Microsoft Graph معلمات الاستعلام. فيما يلي بعض الأمثلة على عوامل التصفية المستخدمة في التقرير:

  • يقوم الاستعلام التالي بإرجاع قائمة التنبيهات التي تم إنشاؤها على مدار الأيام الثلاثة الماضية. قد يؤدي استخدام هذا الاستعلام في بيئات ذات كميات كبيرة من البيانات إلى مئات ميغابايت من البيانات التي قد تستغرق لحظة لتحميلها. باستخدام هذا النهج المضمن، يمكنك رؤية التنبيهات الأخيرة بسرعة على مدار الأيام الثلاثة الماضية بمجرد فتح التقرير.

    let
    AlertDays = "3",
    TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "",
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"])
in
    Source

  • بدلا من جمع البيانات عبر نطاق تاريخ، يمكننا جمع التنبيهات عبر تواريخ أكثر دقة عن طريق إدخال تاريخ باستخدام تنسيق YYYY-MM-DD.

    let
    StartDate = "YYYY-MM-DD",
    EndDate = "YYYY-MM-DD",
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
in
    Source

  • عندما تكون البيانات التاريخية مطلوبة (على سبيل المثال، مقارنة عدد الحوادث شهريا)، فإن التصفية حسب التاريخ ليست خيارا (لأننا نريد العودة إلى أبعد حد ممكن). في هذه الحالة، نحتاج إلى سحب عدد قليل من الحقول المحددة كما هو موضح في المثال التالي:

    let
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate &
"&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"])
in
    Source

تقديم المعلمات

بدلا من الاستعلام باستمرار عن التعليمات البرمجية لضبط الإطار الزمني، استخدم المعلمات لتعيين تاريخ البدء والانتهاء في كل مرة تفتح فيها التقرير.

  1. انتقل إلى محرر Power Query.

  2. حدد إدارة المعلمات معلمة>جديدة.

  3. تعيين المعلمات المطلوبة.

    في المثال التالي، نستخدم إطارين زمنيين مختلفين، تاريخي البدء والانتهاء.

    لقطة شاشة لكيفية إدارة المعلمات في Power BI.

  4. قم بإزالة القيم المضمنة من الاستعلامات وتأكد من أن أسماء متغيرات StartDate وEndDate تتوافق مع أسماء المعلمات:

    let
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
in
    Source

مراجعة التقرير

بمجرد الاستعلام عن البيانات وتعيين المعلمات، يمكننا الآن مراجعة التقرير. أثناء التشغيل الأول لملف تقرير PBIT، تتم مطالبتك بتوفير المعلمات التي حددناها سابقا:

لقطة شاشة لنافذة موجه معلمة قالب Power BI.

توفر لوحة المعلومات ثلاث علامات تبويب تهدف إلى توفير نتائج تحليلات SOC. توفر علامة التبويب الأولى ملخصا لجميع التنبيهات الأخيرة (اعتمادا على الإطار الزمني المحدد). تساعد علامة التبويب هذه المحللين على فهم حالة الأمان بوضوح عبر بيئتهم باستخدام تفاصيل التنبيه المقسمة حسب مصدر الكشف والخطورة وإجمالي عدد التنبيهات و متوسط الوقت إلى الدقة.

لقطة شاشة لعلامة تبويب التنبيهات لتقرير Power BI الناتج.

توفر علامة التبويب الثانية مزيدا من التفاصيل حول بيانات الهجوم التي تم جمعها عبر الحوادث والتنبيهات. يمكن أن توفر طريقة العرض هذه للمحللين منظورا أكبر في أنواع الهجمات المنفذة وكيفية تعيينها إلى إطار عمل MITRE ATT&CK.

لقطة شاشة لعلامة تبويب نتائج التحليلات لتقرير Power BI الناتج.

نماذج لوحة معلومات Power BI

لمزيد من المعلومات، راجع ملف نموذج قوالب تقرير Power BI.