Create informes de Microsoft Defender XDR personalizados mediante la API de seguridad de Microsoft Graph y Power BI
Se aplica a:
Capacitar a los profesionales de seguridad para visualizar sus datos les permite reconocer rápidamente patrones complejos, anomalías y tendencias que, de lo contrario, podrían estar acechando por debajo del ruido. Con las visualizaciones, los equipos de SOC pueden identificar rápidamente las amenazas, tomar decisiones informadas y comunicar información de forma eficaz en toda la organización.
Hay varias maneras de visualizar Microsoft Defender datos de seguridad:
- Navegar por los informes integrados en el portal de Microsoft Defender.
- El uso de libros de Microsoft Sentinel con plantillas precompiladas para cada producto de Defender (requiere integración con Microsoft Sentinel).
- Aplicar la función de representación en búsqueda avanzada.
- Uso de Power BI para expandir las funcionalidades de generación de informes existentes.
En este artículo, se crea un panel de eficiencia de Security Operations Center (SOC) de ejemplo en Power BI mediante la API de seguridad de Microsoft Graph. Accedemos a ella en el contexto de usuario, por lo que el usuario debe tener los permisos correspondientes para poder ver los datos de alertas e incidentes.
Nota:
El ejemplo siguiente se basa en nuestra nueva API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph.
Importación de datos en Power BI
En esta sección, se describen los pasos necesarios para obtener Microsoft Defender XDR datos en Power BI, con datos de alertas como ejemplo.
Abra Microsoft Power BI Desktop.
Seleccione Obtener consulta en blanco de datos>.
Seleccione Editor avanzado.
Pegar en la consulta:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"]) in Source
Seleccione Listo.
Cuando se le soliciten credenciales, seleccione Editar credenciales:
Seleccione Cuenta organizativa > Iniciar sesión.
Escriba las credenciales de la cuenta con acceso a los datos de incidentes de Microsoft Defender XDR.
Seleccione Conectar.
Ahora los resultados de la consulta aparecen como una tabla y puede empezar a crear visualizaciones sobre ella.
Sugerencia
Si desea visualizar otras formas de datos de seguridad de Microsoft Graph, como incidentes, búsqueda avanzada, puntuación segura, etc., consulte Introducción a la API de seguridad de Microsoft Graph.
Filtrado de datos
Microsoft Graph API admite el protocolo OData para que los usuarios no tengan que preocuparse por la paginación ni por solicitar el siguiente conjunto de datos. Sin embargo, el filtrado de datos es esencial para mejorar los tiempos de carga en un entorno ocupado.
Microsoft Graph API admite parámetros de consulta. Estos son algunos ejemplos de filtros usados en el informe:
La consulta siguiente devuelve la lista de alertas generadas en los últimos tres días. El uso de esta consulta en entornos con grandes volúmenes de datos podría dar lugar a cientos de megabytes de datos que podrían tardar un momento en cargarse. Con este enfoque codificado de forma rígida, podrá ver rápidamente las alertas más recientes de los últimos tres días tan pronto como abra el informe.
let AlertDays = "3", TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "", Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"]) in Source
En lugar de recopilar datos en un intervalo de fechas, podemos recopilar alertas en fechas más precisas si se introduce una fecha con el formato AAAA-MM-DD.
let StartDate = "YYYY-MM-DD", EndDate = "YYYY-MM-DD", Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"]) in Source
Cuando se requieren datos históricos (por ejemplo, la comparación del número de incidentes al mes), el filtrado por fecha no es una opción (ya que queremos volver lo más lejos posible). En este caso, es necesario extraer algunos campos seleccionados, como se muestra en el ejemplo siguiente:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate & "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"]) in Source
Introducción a los parámetros
En lugar de consultar constantemente el código para ajustar el período de tiempo, use parámetros para establecer una fecha de inicio y finalización cada vez que abra el informe.
Ve a Editor de Power Query.
Seleccione Administrar parámetros>Nuevo parámetro.
Establezca los parámetros deseados.
En el ejemplo siguiente, usamos dos períodos de tiempo diferentes: fechas de inicio y finalización.
Quite los valores codificados de forma rígida de las consultas y asegúrese de que los nombres de variable StartDate y EndDate corresponden a los nombres de parámetro:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"]) in Source
Revisión del informe
Una vez que se han consultado los datos y se han establecido los parámetros, ahora podemos revisar el informe. Durante el primer inicio del archivo de informe PBIT, se le pedirá que proporcione los parámetros especificados anteriormente:
El panel ofrece tres pestañas diseñadas para proporcionar información de SOC. La primera pestaña proporciona un resumen de todas las alertas recientes (en función del período de tiempo seleccionado). Esta pestaña ayuda a los analistas a comprender claramente el estado de seguridad en su entorno mediante los detalles de las alertas desglosados por el origen de detección, la gravedad, el número total de alertas y el tiempo medio de resolución.
La segunda pestaña ofrece más información sobre los datos de ataque recopilados en los incidentes y alertas. Esta vista puede proporcionar a los analistas una mayor perspectiva sobre los tipos de ataques ejecutados y cómo se asignan al marco DE ATT de MITRE&CK.
Ejemplos de panel de Power BI
Para obtener más información, consulte el archivo de ejemplo plantillas de informe de Power BI.
Artículos relacionados
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de