Freigeben über

Erstellen von benutzerdefinierten Microsoft Defender XDR Berichten mithilfe der Microsoft Graph-Sicherheits-API und Power BI

  • Gilt für:: Microsoft Defender XDR

Wenn Sicherheitsexperten ihre Daten visualisieren können, können sie schnell komplexe Muster, Anomalien und Trends erkennen, die sonst unter dem Rauschen lauern könnten. Mithilfe von Visualisierungen können SOC-Teams Bedrohungen schnell identifizieren, fundierte Entscheidungen treffen und Erkenntnisse effektiv organization kommunizieren.

Es gibt mehrere Möglichkeiten, Microsoft Defender Sicherheitsdaten zu visualisieren:

  • Navigieren in integrierten Berichten im Microsoft Defender-Portal.
  • Verwenden von Microsoft Sentinel Arbeitsmappen mit vordefinierten Vorlagen für jedes Defender-Produkt (integration in Microsoft Sentinel erforderlich).
  • Anwenden der Renderfunktion in Der erweiterten Suche.
  • Verwenden von Power BI zum Erweitern vorhandener Berichterstellungsfunktionen.

In diesem Artikel erstellen wir mithilfe der Microsoft Graph-Sicherheits-API ein Beispiel für die Effizienz von Security Operations Center (SOC) Dashboard in Power BI. Wir greifen im Benutzerkontext darauf zu, daher muss der Benutzer über entsprechende Berechtigungen verfügen , um Warnungen und Incidentdaten anzeigen zu können.

Hinweis

Das folgende Beispiel basiert auf unserer neuen MS Graph-Sicherheits-API. Weitere Informationen finden Sie unter Verwenden der Microsoft Graph-Sicherheits-API.

Importieren von Daten in Power BI

In diesem Abschnitt werden die erforderlichen Schritte zum Abrufen Microsoft Defender XDR Daten in Power BI anhand von Warnungsdaten als Beispiel beschrieben.

  1. Öffnen Sie Microsoft Power BI Desktop.

  2. Wählen Sie Daten > abrufen Leere Abfrage aus.

  3. Wählen Sie Erweiterter Editor aus.

    Screenshot: Erstellen einer neuen Datenabfrage in Power BI Desktop

  4. Abfrage einfügen:

    let
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"])
in
    Source

  5. Wählen Sie Fertig aus.

  6. Wenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, wählen Sie Anmeldeinformationen bearbeiten aus:

    Screenshot: Bearbeiten von Anmeldeinformationen für die API-Verbindung

  7. Wählen Sie Organisationskonto > Anmelden aus.

    Screenshot des Fensters für die Authentifizierung des Organisationskontos.

  8. Geben Sie Anmeldeinformationen für ein Konto mit Zugriff auf Microsoft Defender XDR Incidentdaten ein.

  9. Wählen Sie Verbinden aus.

Jetzt werden die Ergebnisse Ihrer Abfrage als Tabelle angezeigt, und Sie können damit beginnen, Visualisierungen darauf zu erstellen.

Tipp

Wenn Sie andere Formen von Microsoft Graph-Sicherheitsdaten wie Incidents, Advanced Hunting, Secure Score usw. visualisieren möchten, finden Sie weitere Informationen unter Übersicht über die Microsoft Graph-Sicherheits-API.

Filtern von Daten

Microsoft Graph-API unterstützt das OData-Protokoll, sodass Benutzer sich keine Gedanken über die Paginierung machen müssen oder den nächsten Satz von Daten anfordern müssen. Das Filtern von Daten ist jedoch wichtig, um die Ladezeiten in einer stark ausgelasteten Umgebung zu verbessern.

Microsoft Graph-API unterstützt Abfrageparameter. Im Folgenden finden Sie einige Beispiele für Filter, die im Bericht verwendet werden:

  • Die folgende Abfrage gibt die Liste der Warnungen zurück, die in den letzten drei Tagen generiert wurden. Die Verwendung dieser Abfrage in Umgebungen mit großen Datenmengen kann zu Hunderten von Megabytes an Daten führen, deren Ladevorgang einen Moment in Anspruch nehmen kann. Mit diesem hartcodierten Ansatz können Sie ihre letzten Warnungen in den letzten drei Tagen schnell anzeigen, sobald Sie den Bericht öffnen.

    let
    AlertDays = "3",
    TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "",
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"])
in
    Source

  • Anstatt Daten über einen Datumsbereich hinweg zu sammeln, können wir Warnungen über genauere Datumsangaben erfassen, indem wir ein Datum im Format JJJJ-MM-TT eingeben.

    let
    StartDate = "YYYY-MM-DD",
    EndDate = "YYYY-MM-DD",
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
in
    Source

  • Wenn Verlaufsdaten erforderlich sind (z. B. der Vergleich der Anzahl von Vorfällen pro Monat), ist das Filtern nach Datum keine Option (da wir so weit wie möglich zurückgehen möchten). In diesem Fall müssen wir einige ausgewählte Felder abrufen, wie im folgenden Beispiel gezeigt:

    let
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate &
"&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"])
in
    Source

Einführung in Parameter

Anstatt den Code ständig abzufragen, um den Zeitrahmen anzupassen, verwenden Sie Parameter, um bei jedem Öffnen des Berichts ein Start- und Enddatum festzulegen.

  1. Wechseln Sie zu Abfrage-Editor.

  2. Wählen Sie Parameter> verwaltenNeuer Parameter aus.

  3. Legen Sie die gewünschten Parameter fest.

    Im folgenden Beispiel verwenden wir zwei verschiedene Zeitrahmen: Start- und Enddatum.

    Screenshot: Verwalten von Parametern in Power BI

  4. Entfernen Sie hartcodierte Werte aus den Abfragen, und stellen Sie sicher, dass die Variablennamen StartDate und EndDate den Parameternamen entsprechen:

    let
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
in
    Source

Überprüfen des Berichts

Nachdem die Daten abgefragt und die Parameter festgelegt wurden, können wir den Bericht überprüfen. Beim ersten Start der PBIT-Berichtsdatei werden Sie aufgefordert, die zuvor angegebenen Parameter anzugeben:

Screenshot des Eingabeaufforderungsfensters für power BI-Vorlagenparameter.

Die Dashboard bietet drei Registerkarten, die SOC-Erkenntnisse liefern sollen. Die erste Registerkarte enthält eine Zusammenfassung aller aktuellen Warnungen (abhängig vom ausgewählten Zeitrahmen). Diese Registerkarte hilft Analysten dabei, den Sicherheitsstatus ihrer Umgebung mithilfe von Warnungsdetails, die nach Erkennungsquelle, Schweregrad, Gesamtanzahl der Warnungen und mittlerer Zeit bis zur Auflösung aufgeschlüsselt sind, klar zu verstehen.

Screenshot der Registerkarte

Die zweite Registerkarte bietet mehr Einblick in die Angriffsdaten, die für die Vorfälle und Warnungen gesammelt wurden. Diese Ansicht bietet Analysten einen besseren Einblick in die Art der ausgeführten Angriffe und deren Zuordnung zum MITRE ATT&CK-Framework.

Screenshot der Registerkarte

Beispiele für Power BI-Dashboard

Weitere Informationen finden Sie in der Beispieldatei für Power BI-Berichtsvorlagen.