Freigeben über

Erstellen eines Power BI-Berichts aus Microsoft Sentinel-Daten

  • Artikel

Power BI ist eine Plattform für die Berichterstellung und Analyse, mit der aus Daten kohärente, immersive, interaktive Visualisierungen erstellt werden können. Mit Power BI können Sie problemlos Verbindungen mit Datenquellen herstellen, Beziehungen visualisieren und ermitteln und Erkenntnisse mit beliebigen anderen Personen teilen.

Sie können als Grundlage für Power BI-Berichte Daten aus Microsoft Sentinel verwenden und diese Berichte für Personen freigeben, die keinen Zugriff auf Microsoft Sentinel haben. Es kann beispielsweise sein, dass Sie Informationen zu nicht erfolgreichen Anmeldeversuchen für App-Besitzer freigeben möchten, ohne ihnen Zugriff auf Microsoft Sentinel zu gewähren. Mit Power BI-Visualisierungen können Sie eine Übersicht für die Daten erstellen, die alle wichtigen Informationen enthält.

Microsoft Sentinel wird in Log Analytics-Arbeitsbereichen ausgeführt, und Sie können Kusto Query Language (KQL) verwenden, um die Daten abzufragen.

Dieser Artikel bietet ein szenariobasiertes Verfahren für die Anzeige von Analyseberichten in Power BI für Ihre Microsoft Sentinel-Daten. Weitere Informationen finden Sie unter Verbinden von Datenquellen und Visualisieren gesammelter Daten.

In diesem Artikel führen Sie folgende Schritte aus:

  • Exportieren einer KQL-Abfrage in eine Power BI-Abfrage in der Sprache M.
  • Verwenden der M-Abfrage in Power BI Desktop, um Visualisierungen und einen Bericht zu erstellen
  • Veröffentlichen des Berichts unter dem Power BI-Dienst und Teilen mit anderen Personen
  • Hinzufügen des Berichts zu einem Teams-Kanal

Personen, denen Sie im Power BI-Dienst Zugriff gewährt haben, und Mitglieder des Teams-Kanals können den Bericht anzeigen, ohne dass sie Microsoft Sentinel-Berechtigungen benötigen.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Um die Schritte dieses Artikels abzuschließen, benötigen Sie Folgendes:

Exportieren einer Abfrage aus Microsoft Sentinel

Erstellen, Ausführen und Exportieren einer KQL-Abfrage aus Microsoft Sentinel.

  1. Um eine einfache Abfrage zu erstellen, wählen Sie in Microsoft Sentinel Protokolle aus. Wenn Ihr Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform integriert ist, wählen Sie Allgemein > Protokolle aus.

  2. Geben Sie im Abfrage-Editor unter Neue Abfrage 1 die folgende Abfrage oder eine andere Microsoft Sentinel-Abfrage für Ihre Daten ein:

    SigninLogs
|  where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
|  top 10 by Failed
| sort by Failed

  3. Wählen Sie Ausführen aus, um die Abfrage auszuführen und Ergebnisse zu generieren.

    Screenshot der KQL-Abfrage und -Ergebnisse.

  4. Wählen Sie Exportieren und dann In Power BI exportieren (M-Abfrage) aus, um die Abfrage im Format „Power BI (M-Abfrage)“ zu exportieren. Die Abfrage wird in eine Textdatei mit dem Namen PowerBIQuery.txt exportiert.

    Screenshot: Export der Abfrage im Power BI-M-Format

  5. Kopieren Sie den Inhalt der exportierten Datei.

Abrufen der Daten in Power BI Desktop

Führen Sie die exportierte M-Abfrage in Power BI Desktop aus, um Daten abzurufen.

  1. Öffnen Sie Power BI Desktop und melden Sie sich bei Ihrem Power BI-Konto an, das über Lesezugriff auf Ihren Microsoft Sentinel-Arbeitsbereich verfügt.

    Screenshot: Anmeldung bei Power BI Desktop

  2. Wählen Sie im Power BI-Menüband die Option Daten abrufen und dann Leere Abfrage aus. Der Power Query-Editor wird geöffnet.

    Screenshot: Auswahl von „Leere Abfrage“ unter „Daten abrufen“ in Power BI Desktop

  3. Wählen Sie im Power Query-Editor die Option Erweiterter Editor aus.

  4. Fügen Sie den kopierten Inhalt der exportierten Datei PowerBIQuery.txt in das Fenster Erweiterter Editor ein, und wählen Sie anschließend Fertig aus.

    Screenshot: Eingefügte M-Abfrage im erweiterten Editor von Power BI

  5. Benennen Sie im Power Query-Editor die Abfrage in App_signin_stats um, und wählen Sie dann die Option Schließen und übernehmen aus.

    Screenshot: Umbenannte Abfrage und Befehl „Schließen und übernehmen“ im Power Query-Editor

Erstellen von Visualisierungen aus den Daten

Da sich Ihre Daten nun in Power BI befinden, können Sie Visualisierungen erstellen, um wertvolle Erkenntnisse zu den Daten zu gewinnen.

Erstellen eines visuellen Elements aus einer Tabelle

Erstellen Sie zunächst eine Tabelle, in der alle Ergebnisse der Abfrage angezeigt werden.

  1. Wählen Sie das Symbol Tabelle unter Visualisierungen aus, um der Power BI Desktop-Canvas eine Tabellenvisualisierung hinzuzufügen.

    Screenshot: Tabellensymbol unter „Visualisierungen“ in Power BI Desktop

  2. Wählen Sie unter Felder alle Felder Ihrer Abfrage aus, damit sie alle in der Tabelle angezeigt werden. Falls in der Tabelle nicht alle Daten angezeigt werden, können Sie sie vergrößern, indem Sie die Auswahlziehpunkte verschieben.

    Screenshot: Auswahl aller Felder für die Tabellenvisualisierung

Erstellen eines Kreisdiagramms

Erstellen Sie als Nächstes ein Kreisdiagramm, mit dem angezeigt wird, welche Anwendungen die meisten fehlgeschlagenen Anmeldeversuche aufweisen.

  1. Deaktivieren Sie das visuelle Tabellenelement, indem Sie auf eine Stelle daneben klicken oder tippen, und wählen Sie dann unter Visualisierungen das Symbol Kreisdiagramm aus.

    Screenshot: Kreisdiagrammsymbol unter „Visualisierungen“ in Power BI Desktop

  2. Wählen Sie unter Legende die Option AppDisplayName aus, oder ziehen Sie dieses Element aus dem Bereich Felder. Wählen Sie unter Werte die Option Fehler aus, oder ziehen Sie das Element aus dem Bereich Felder. Im Kreisdiagramm wird jetzt die Anzahl von fehlgeschlagenen Anmeldeversuchen pro Anwendung angezeigt.

    Screenshot: Anzahl fehlgeschlagener Anmeldeversuche pro Anwendung im Kreisdiagramm

Erstellen eines neuen Quickmeasures

Als Nächstes möchten Sie den Prozentsatz der nicht erfolgreichen Anmeldeversuche für jede Anwendung anzeigen. Da Ihre Abfrage keine Prozentspalte enthält, können Sie ein neues Measure erstellen, um diese Informationen anzuzeigen.

  1. Wählen Sie unter Visualisierungen das Symbol für Gestapeltes Säulendiagramm aus, um ein gestapeltes Säulendiagramm zu erstellen.

    Screenshot: Symbol für „Gestapeltes Säulendiagramm“ unter „Visualisierungen“ in Power BI Desktop

  2. Wählen Sie im Menüband die Option Quickmeasure aus, während die neue Visualisierung ausgewählt ist.

  3. Wählen Sie im Fenster Quickmeasures unter Berechnung die Option Division aus. Ziehen Sie Fehler aus Felder in das Feld Zähler und dann Versuche aus Felder in das Feld Nenner.

    Screenshot: Einstellungen im Fenster „Quickmeasures“

  4. Klicken Sie auf OK. Das neue Measure wird im Bereich Felder angezeigt.

  5. Wählen Sie das neue Measure im Bereich Felder und dann im Menüband unter Formatierung die Option Prozentsatz aus.

    Screenshot: Auswahl des neuen Measures im Bereich „Felder“ und von „Prozentsatz“ unter „Formatierung“ im Menüband

  6. Wählen Sie bei ausgewählter Visualisierung „Säulendiagramm“ in der Canvas das Feld AppDisplayName aus, bzw. ziehen Sie es in den Bereich Achse und das neue Measure Fehler dividiert durch Versuche in den Bereich Werte. Im Diagramm wird jetzt der Prozentsatz der nicht erfolgreichen Anmeldeversuche für jede Anwendung angezeigt.

    Screenshot: Säulendiagramm mit dem Prozentsatz der nicht erfolgreichen Versuche für jede Anwendung

Aktualisieren der Daten und Speichern des Berichts

  1. Wählen Sie Aktualisieren aus, um die neuesten Daten aus Microsoft Sentinel abzurufen.

    Screenshot: Schaltfläche „Aktualisieren“ im Menüband

  2. Wählen Sie Datei>Speichern aus, und speichern Sie Ihren Power BI-Bericht.

Erstellen eines Power BI Online-Arbeitsbereichs

Erstellen Sie wie folgt einen Power BI-Arbeitsbereich für die Freigabe des Berichts:

  1. Melden Sie sich bei powerbi.com mit demselben Konto an, das Sie für den Lesezugriff für Power BI Desktop und Microsoft Sentinel verwendet haben.

  2. Wählen Sie unter Arbeitsbereiche die Option Arbeitsbereich erstellen aus. Geben Sie dem Arbeitsbereich den Namen Management Reports (Verwaltungsberichte), und wählen Sie Speichern aus.

    Screenshot: „Arbeitsbereich erstellen“ im Power BI-Dienst

  3. Wählen Sie neben dem Namen des neuen Arbeitsbereichs die Punkte für Weitere Optionen und dann die Option Arbeitsbereichszugriff aus, um Benutzern und Gruppen Zugriff auf den Arbeitsbereich zu gewähren.

    Screenshot: „Arbeitsbereichszugriff“ im Menü „Weitere Optionen“ des Arbeitsbereichs

  4. Im Seitenbereich Arbeitsbereichszugriff können Sie die E-Mail-Adressen von Benutzern hinzufügen und diesen jeweils eine Rolle zuweisen. Die verfügbaren Rollen sind „Administrator“, „Mitglied“, „Mitwirkender“ und „Anzeigender Benutzer“.

Veröffentlichen eines Power BI-Berichts

Jetzt können Sie Power BI Desktop verwenden, um Ihren Power BI-Bericht zu veröffentlichen, damit er von anderen Personen angezeigt werden kann.

  1. Wählen Sie in Ihrem neuen Bericht in Power BI Desktop die Option Veröffentlichen aus.

    Screenshot: Option „Veröffentlichen“ im Menüband von Power BI Desktop

  2. Wählen Sie den Arbeitsbereich Management Reports (Verwaltungsberichte) für die Veröffentlichung und dann die Option Auswählen aus.

    Screenshot: Auswählen des Power BI-Arbeitsbereichs „Management Reports“ für die Veröffentlichung

Importieren des Berichts in einen Microsoft Teams-Kanal

Sie möchten erreichen, dass auch Mitglieder des Management Teams-Kanals den Bericht anzeigen können. Fügen Sie den Bericht wie folgt einem Teams-Kanal hinzu:

  1. Wählen Sie im Management Teams-Kanal + aus, um eine Registerkarte hinzuzufügen. Suchen Sie im Fenster Registerkarte hinzufügen nach Power BI, und wählen Sie diese Option aus.

    Screenshot: Auswählen von Power BI im Fenster „Registerkarte hinzufügen“ in Teams

  2. Wählen Sie in der Liste mit den Power BI-Berichten Ihren neuen Bericht und dann die Option Speichern aus. Der Bericht wird auf einer neuen Registerkarte im Teams-Kanal angezeigt.

    Screenshot: Power BI-Bericht auf einer Registerkarte im Teams-Kanal

Planen der Berichtsaktualisierung

Aktualisieren Sie Ihren Power BI-Bericht basierend auf einem Zeitplan, damit im Bericht immer aktualisierte Daten angezeigt werden.

  1. Wählen Sie im Power BI-Dienst den Arbeitsbereich aus, in dem Sie Ihren Bericht veröffentlicht haben.

  2. Wählen Sie neben dem Dataset des Berichts Weitere Optionen>Einstellungen aus.

    Screenshot: Einstellungen unter „Weitere Optionen“ im Dataset des Power BI-Berichts

  3. Wählen Sie Anmeldeinformationen bearbeiten aus, um die Anmeldeinformationen für ein Konto anzugeben, das über Lesezugriff auf den Log Analytics-Arbeitsbereich verfügt.

  4. Legen Sie unter Geplante Aktualisierung den Schieberegler auf Ein fest, und richten Sie einen Aktualisierungszeitplan für den Bericht ein.

    Screenshot: Einstellungen für die geplante Aktualisierung für das Dataset des Power BI-Berichts

Zugehöriger Inhalt

Weitere Informationen finden Sie unter: