Compartir a través de

Create informes de Microsoft Defender XDR personalizados mediante la API de seguridad de Microsoft Graph y Power BI

  • Artículo

Se aplica a:

Capacitar a los profesionales de seguridad para visualizar sus datos les permite reconocer rápidamente patrones complejos, anomalías y tendencias que, de lo contrario, podrían estar acechando por debajo del ruido. Con las visualizaciones, los equipos de SOC pueden identificar rápidamente las amenazas, tomar decisiones informadas y comunicar información de forma eficaz en toda la organización.

Hay varias maneras de visualizar Microsoft Defender datos de seguridad:

  • Navegar por los informes integrados en el portal de Microsoft Defender.
  • El uso de libros de Microsoft Sentinel con plantillas precompiladas para cada producto de Defender (requiere integración con Microsoft Sentinel).
  • Aplicar la función de representación en búsqueda avanzada.
  • Uso de Power BI para expandir las funcionalidades de generación de informes existentes.

En este artículo, se crea un panel de eficiencia de Security Operations Center (SOC) de ejemplo en Power BI mediante la API de seguridad de Microsoft Graph. Accedemos a ella en el contexto de usuario, por lo que el usuario debe tener los permisos correspondientes para poder ver los datos de alertas e incidentes.

Nota:

El ejemplo siguiente se basa en nuestra nueva API de seguridad de MS Graph. Obtenga más información en: Uso de la API de seguridad de Microsoft Graph.

Importación de datos en Power BI

En esta sección, se describen los pasos necesarios para obtener Microsoft Defender XDR datos en Power BI, con datos de alertas como ejemplo.

  1. Abra Microsoft Power BI Desktop.

  2. Seleccione Obtener consulta en blanco de datos>.

  3. Seleccione Editor avanzado.

    Captura de pantalla que muestra cómo crear una nueva consulta de datos en Power BI Desktop.

  4. Pegar en la consulta:

    let
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"])
in
    Source

  5. Seleccione Listo.

  6. Cuando se le soliciten credenciales, seleccione Editar credenciales:

    Captura de pantalla de cómo editar las credenciales para la conexión de API.

  7. Seleccione Cuenta organizativa > Iniciar sesión.

    Captura de pantalla de la ventana de autenticación de la cuenta organizativa.

  8. Escriba las credenciales de la cuenta con acceso a los datos de incidentes de Microsoft Defender XDR.

  9. Seleccione Conectar.

Ahora los resultados de la consulta aparecen como una tabla y puede empezar a crear visualizaciones sobre ella.

Sugerencia

Si desea visualizar otras formas de datos de seguridad de Microsoft Graph, como incidentes, búsqueda avanzada, puntuación segura, etc., consulte Introducción a la API de seguridad de Microsoft Graph.

Filtrado de datos

Microsoft Graph API admite el protocolo OData para que los usuarios no tengan que preocuparse por la paginación ni por solicitar el siguiente conjunto de datos. Sin embargo, el filtrado de datos es esencial para mejorar los tiempos de carga en un entorno ocupado.

Microsoft Graph API admite parámetros de consulta. Estos son algunos ejemplos de filtros usados en el informe:

  • La consulta siguiente devuelve la lista de alertas generadas en los últimos tres días. El uso de esta consulta en entornos con grandes volúmenes de datos podría dar lugar a cientos de megabytes de datos que podrían tardar un momento en cargarse. Con este enfoque codificado de forma rígida, podrá ver rápidamente las alertas más recientes de los últimos tres días tan pronto como abra el informe.

    let
    AlertDays = "3",
    TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "",
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"])
in
    Source

  • En lugar de recopilar datos en un intervalo de fechas, podemos recopilar alertas en fechas más precisas si se introduce una fecha con el formato AAAA-MM-DD.

    let
    StartDate = "YYYY-MM-DD",
    EndDate = "YYYY-MM-DD",
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
in
    Source

  • Cuando se requieren datos históricos (por ejemplo, la comparación del número de incidentes al mes), el filtrado por fecha no es una opción (ya que queremos volver lo más lejos posible). En este caso, es necesario extraer algunos campos seleccionados, como se muestra en el ejemplo siguiente:

    let
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate &
"&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"])
in
    Source

Introducción a los parámetros

En lugar de consultar constantemente el código para ajustar el período de tiempo, use parámetros para establecer una fecha de inicio y finalización cada vez que abra el informe.

  1. Ve a Editor de Power Query.

  2. Seleccione Administrar parámetros>Nuevo parámetro.

  3. Establezca los parámetros deseados.

    En el ejemplo siguiente, usamos dos períodos de tiempo diferentes: fechas de inicio y finalización.

    Captura de pantalla de cómo administrar parámetros en Power BI.

  4. Quite los valores codificados de forma rígida de las consultas y asegúrese de que los nombres de variable StartDate y EndDate corresponden a los nombres de parámetro:

    let
    Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
in
    Source

Revisión del informe

Una vez que se han consultado los datos y se han establecido los parámetros, ahora podemos revisar el informe. Durante el primer inicio del archivo de informe PBIT, se le pedirá que proporcione los parámetros especificados anteriormente:

Captura de pantalla de la ventana del símbolo del sistema de parámetros de plantilla de Power BI.

El panel ofrece tres pestañas diseñadas para proporcionar información de SOC. La primera pestaña proporciona un resumen de todas las alertas recientes (en función del período de tiempo seleccionado). Esta pestaña ayuda a los analistas a comprender claramente el estado de seguridad en su entorno mediante los detalles de las alertas desglosados por el origen de detección, la gravedad, el número total de alertas y el tiempo medio de resolución.

Captura de pantalla de la pestaña de alertas del informe de Power BI resultante.

La segunda pestaña ofrece más información sobre los datos de ataque recopilados en los incidentes y alertas. Esta vista puede proporcionar a los analistas una mayor perspectiva sobre los tipos de ataques ejecutados y cómo se asignan al marco DE ATT de MITRE&CK.

Captura de pantalla de la pestaña conclusiones del informe de Power BI resultante.

Ejemplos de panel de Power BI

Para obtener más información, consulte el archivo de ejemplo plantillas de informe de Power BI.