Create vlastních sestav Microsoft Defender XDR pomocí rozhraní Microsoft Graph Security API a Power BI

Platí pro:

Umožnění odborníkům na zabezpečení vizualizovat data jim umožní rychle rozpoznat složité vzory, anomálie a trendy, které by jinak mohly svítat pod šumem. Díky vizualizaci můžou týmy SOC rychle identifikovat hrozby, činit informovaná rozhodnutí a efektivně předávat přehledy v celé organizaci.

Existuje několik způsobů, jak vizualizovat Microsoft Defender data zabezpečení:

  • Procházení předdefinovaných sestav na portálu Microsoft Defender
  • Použití sešitů služby Microsoft Sentinel s předem připravenými šablonami pro každý produkt Defender (vyžaduje integraci se službou Microsoft Sentinel).
  • Použití funkce vykreslování v rozšířeném proaktivním vyhledávání
  • Rozšíření stávajících možností vytváření sestav pomocí Power BI

V tomto článku vytvoříme ukázkový řídicí panel efektivity centra SOC (Security Operations Center) v Power BI pomocí rozhraní Microsoft Graph SECURITY API. Přistupujeme k němu v kontextu uživatele, proto musí mít uživatel odpovídající oprávnění , aby mohl zobrazovat výstrahy a data incidentů.

Poznámka

Následující příklad je založený na našem novém rozhraní MS Graph Security API. Další informace najdete v tématu Použití rozhraní Microsoft Graph Security API.

Import dat do Power BI

V této části si projdeme kroky potřebné k získání Microsoft Defender XDR dat do Power BI. Jako příklad použijeme data upozornění.

  1. Otevřete Microsoft Power BI Desktop.

  2. Vyberte Získat data > prázdný dotaz.

  3. Vyberte Rozšířený editor.

    Snímek obrazovky, který ukazuje, jak vytvořit nový dotaz na data v Power BI Desktop

  4. Vložit do dotazu:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"])
    in
        Source
    
  5. Vyberte Hotovo.

  6. Po zobrazení výzvy k zadání přihlašovacích údajů vyberte Upravit přihlašovací údaje:

    Snímek obrazovky znázorňuje, jak upravit přihlašovací údaje pro připojení rozhraní API

  7. Vyberte Účet > organizace Přihlásit se.

    Snímek obrazovky s oknem ověřování účtu organizace

  8. Zadejte přihlašovací údaje pro účet s přístupem k datům incidentů Microsoft Defender XDR.

  9. Vyberte Připojit.

Výsledky dotazu se teď zobrazí jako tabulka a můžete na ní začít vytvářet vizualizace.

Tip

Pokud chcete vizualizovat jiné formy dat zabezpečení Microsoft Graphu, jako jsou incidenty, rozšířené proaktivní vyhledávání, skóre zabezpečení atd., přečtěte si článek Přehled rozhraní Microsoft Graph Security API.

Filtrování dat

Microsoft Graph API podporuje protokol OData, aby se uživatelé nemuseli starat o stránkování nebo vyžádání další sady dat. Filtrování dat je ale nezbytné pro zlepšení doby načítání v rušném prostředí.

Microsoft Graph API podporuje parametry dotazu. Tady je několik příkladů filtrů použitých v sestavě:

  • Následující dotaz vrátí seznam výstrah vygenerovaných za poslední tři dny. Použití tohoto dotazu v prostředích s velkými objemy dat může způsobit, že se načtou stovky megabajtů dat. Pomocí tohoto pevně zakódovaného přístupu můžete rychle zobrazit nejnovější upozornění za poslední tři dny hned po otevření sestavy.

    let
        AlertDays = "3",
        TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"])
    in
        Source
    
  • Místo shromažďování dat napříč rozsahem dat můžeme shromažďovat výstrahy pro přesnější data zadáním data ve formátu RRRR-MM-DD.

    let
        StartDate = "YYYY-MM-DD",
        EndDate = "YYYY-MM-DD",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    
  • Pokud se vyžadují historická data (například porovnání počtu incidentů za měsíc), filtrování podle data není možné (protože chceme jít co nejdál). V tomto případě potřebujeme vyžádat několik vybraných polí, jak je znázorněno v následujícím příkladu:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate &
    "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"])
    in
        Source
    

Úvod k parametrům

Místo neustálého dotazování kódu pro úpravu časového rámce použijte parametry k nastavení počátečního a koncového data při každém otevření sestavy.

  1. Přejděte na Editor Power Query.

  2. Vyberte Spravovat parametry>Nový parametr.

  3. Nastavte požadované parametry.

    V následujícím příkladu používáme dva různé časové rámce, počáteční a koncové datum.

    Snímek obrazovky se správou parametrů v Power BI

  4. Odeberte z dotazů pevně zakódované hodnoty a ujistěte se, že názvy proměnných StartDate a EndDate odpovídají názvům parametrů:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    

Kontrola sestavy

Po dotazech na data a nastavení parametrů teď můžeme sestavu zkontrolovat. Při prvním spuštění souboru sestavy PBIT se zobrazí výzva k zadání parametrů, které jsme zadali dříve:

Snímek obrazovky s oknem výzvy k zadání parametru šablony Power BI

Řídicí panel nabízí tři karty, které mají poskytovat přehledy SOC. První karta obsahuje souhrn všech nedávných upozornění (v závislosti na vybraném časovém rámci). Tato karta pomáhá analytikům jasně porozumět stavu zabezpečení v jejich prostředí pomocí podrobností výstrah rozdělených podle zdroje detekce, závažnosti, celkového počtu výstrah a střední doby řešení.

Snímek obrazovky s kartou upozornění s výslednou sestavou Power BI

Druhá karta nabízí lepší přehled o datech útoků shromážděných napříč incidenty a výstrahami. Toto zobrazení může analytikům poskytnout větší přehled o typech prováděných útoků a o tom, jak se mapují na architekturu MITRE ATT&CK.

Snímek obrazovky s kartou přehledů s výslednou sestavou Power BI

Ukázky řídicího panelu Power BI

Další informace najdete v ukázkovém souboru šablon sestav Power BI.