שתף באמצעות


Create דוחות מותאמים Microsoft Defender XDR באמצעות API של אבטחה של Microsoft Graph ו- Power BI

חל על:

העצמת מומחי אבטחה כדי להציג את הנתונים שלהם באופן חזותי מאפשרת להם לזהות במהירות דפוסים, חריגות ומגמות מורכבים שעשויים בדרך אחרת לסתתר מתחת לרעש. בעזרת פריטים חזותיים, צוותי SOC יכולים לזהות במהירות איומים, לקבל החלטות מושכלות ולהעביר תובנות ביעילות ברחבי הארגון.

קיימות דרכים מרובות להמחשה Microsoft Defender נתוני אבטחה:

  • ניווט בדוחות מוכללים בפורטל Microsoft Defender.
  • שימוש חוברות עבודה של Microsoft Sentinel עם תבניות בנויות מראש עבור כל מוצר Defender (דורש שילוב עם Microsoft Sentinel).
  • החלת פונקציית העיבוד בה ציד מתקדם.
  • שימוש ב- Power BI להרחבת יכולות דיווח קיימות.

במאמר זה, אנו יוצרים לוח מחוונים לדוגמה של יעילות מרכז פעולות האבטחה (SOC) ב- Power BI באמצעות API של אבטחה של Microsoft Graph. אנו ניגשים אליו בהקשר המשתמש, ולכן המשתמש חייב להיות בעל הרשאות מתאימות כדי להיות מסוגל להציג התראות ותקריות נתונים.

הערה

הדוגמה שלהלן מבוססת על ה- API החדש שלנו לאבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API של האבטחה של Microsoft Graph.

ייבוא נתונים ל- Power BI

בסעיף זה, אנו לאורך השלבים הדרושים כדי Microsoft Defender XDR נתונים ל- Power BI, תוך שימוש נתונים של התראות כדוגמה.

  1. פתח את Microsoft Power BI Desktop.

  2. בחר קבל שאילתה > ריקה של נתונים.

  3. בחר הגדרות עורך.

    צילום מסך שמראה כיצד ליצור שאילתת נתונים חדשה Power BI Desktop.

  4. הדבק בשאילתה:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"])
    in
        Source
    
  5. בחר בוצע.

  6. כאשר תתבקש לספק אישורים, בחר ערוך אישורים:

    צילום מסך של אופן עריכת אישורים עבור חיבור API.

  7. בחר כניסה לחשבון > ארגוני.

    צילום מסך של חלון האימות של החשבון הארגוני.

  8. הזן אישורים עבור חשבון עם גישה Microsoft Defender XDR ונתוני אירועים.

  9. בחר התחבר.

כעת תוצאות השאילתה מופיעות כטבלה, ובאפשרותך להתחיל לבנות פריטים חזותיים מעל הטבלה.

עצה

אם אתה מעוניין להציג באופן חזותי צורות אחרות של נתוני אבטחה של Microsoft Graph, כגון אירועים, ציד מתקדם, ניקוד מאובטח וכדומה, ראה מבט כולל על API של אבטחה של Microsoft Graph.

סינון נתונים

ה- API של Microsoft Graph תומך בפרוטוקול OData כך שהמשתמשים לא צריכים לדאוג לגבי חלוקה לעמודים - או לבקש את קבוצת הנתונים הבאה. עם זאת, סינון נתונים חיוני לשיפור זמני הטעינה בסביבה עמוסה.

ה- API של Microsoft Graph תומך בפרמטרים של שאילתה. להלן כמה דוגמאות של מסננים המשמשים בדוח:

  • השאילתה הבאה מחזירה את רשימת ההתראות שנוצרו בשלושת הימים האחרונים. שימוש בשאילתה זו בסביבות עם כמויות גדולות של נתונים עלול לגרום לטעינה של מאות מגה-בתים של נתונים שייתכן שיחלפו כמה רגעים. על-ידי שימוש בגישה מקודדת באופן קשיח זה, תוכל לראות במהירות את ההתראות האחרונות שלך במהלך שלושת הימים האחרונים ברגע שאתה פותח את הדוח.

    let
        AlertDays = "3",
        TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"])
    in
        Source
    
  • במקום לאסוף נתונים בטווח תאריכים, אנו יכולים לאסוף התראות בין תאריכים מדויקים יותר על-ידי הזנת תאריך באמצעות תבנית YYYY-MM-DD.

    let
        StartDate = "YYYY-MM-DD",
        EndDate = "YYYY-MM-DD",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    
  • כאשר נדרשים נתונים היסטוריים (לדוגמה, השוואת מספר האירועים לחודש), סינון לפי תאריך אינו אפשרי (מאחר שאנו רוצים לחזור אחורה ככל האפשר). במקרה זה, עלינו למשוך כמה שדות שנבחרו, כפי שמוצג בדוגמה הבאה:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate &
    "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"])
    in
        Source
    

הצגת פרמטרים

במקום לבצע שאילתה קבועה בקוד כדי להתאים את מסגרת הזמן, השתמש בפרמטרים כדי להגדיר תאריך התחלה וסיום בכל פעם שתפתח את הדוח.

  1. עבור אל עורך Power Query.

  2. בחר נהל פרמטר>חדש של פרמטרים.

  3. הגדר את הפרמטרים הרצויים.

    בדוגמה הבאה, אנו משתמשים בשתי מסגרות זמן שונות, תאריכי התחלה וסיום.

    צילום מסך של אופן ניהול פרמטרים ב- Power BI.

  4. הסר ערכים מקודדים באופן קשיח מהשאילתות וודא ששמות המשתנים StartDate ו- EndDate תואמים לשמות הפרמטרים:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    

סקירת הדוח

לאחר ביצוע שאילתה על הנתונים והפרמטרים מוגדרים, כעת נוכל לסקור את הדוח. במהלך ההפעלה הראשונה של קובץ דוח ה- PBIT, תתבקש לספק את הפרמטרים שציינת קודם לכן:

צילום מסך של חלון בקשת הפרמטר של תבנית Power BI.

לוח המחוונים מציע שלוש כרטיסיות המיועדות לספק תובנות SOC. הכרטיסיה הראשונה מספקת סיכום של כל ההתראות האחרונות (בהתאם למסגרת הזמן שנבחרה). כרטיסיה זו מסייעת לאנליסטים להבין בבירור את מצב האבטחה בסביבה שלהם באמצעות פרטי התראה המנותק על-ידי מקור זיהוי, חומרה, מספר כולל של התראות ו-mean-time-to-resolution.

צילום מסך של הכרטיסיה 'התראות' של דוח Power BI המתוכם.

הכרטיסיה השניה מספקת תובנות נוספות לגבי נתוני התקיפה הנאספים בין האירועים וההתראות. תצוגה זו יכולה לספק לאנליסטים פרספקטיבה טובה יותר לגבי סוגי ההתקפות שבוצעו ואופן המיפוי שלהם למסגרת MITRE ATT&CK.

צילום מסך של הכרטיסיה 'תובנות' של דוח Power BI המתוכם.

דוגמאות לוח מחוונים של Power BI

לקבלת מידע נוסף, עיין בקובץ לדוגמה של תבניות דוח Power BI.