Create דוחות מותאמים Microsoft Defender XDR באמצעות API של אבטחה של Microsoft Graph ו- Power BI
חל על:
העצמת מומחי אבטחה כדי להציג את הנתונים שלהם באופן חזותי מאפשרת להם לזהות במהירות דפוסים, חריגות ומגמות מורכבים שעשויים בדרך אחרת לסתתר מתחת לרעש. בעזרת פריטים חזותיים, צוותי SOC יכולים לזהות במהירות איומים, לקבל החלטות מושכלות ולהעביר תובנות ביעילות ברחבי הארגון.
קיימות דרכים מרובות להמחשה Microsoft Defender נתוני אבטחה:
- ניווט בדוחות מוכללים בפורטל Microsoft Defender.
- שימוש חוברות עבודה של Microsoft Sentinel עם תבניות בנויות מראש עבור כל מוצר Defender (דורש שילוב עם Microsoft Sentinel).
- החלת פונקציית העיבוד בה ציד מתקדם.
- שימוש ב- Power BI להרחבת יכולות דיווח קיימות.
במאמר זה, אנו יוצרים לוח מחוונים לדוגמה של יעילות מרכז פעולות האבטחה (SOC) ב- Power BI באמצעות API של אבטחה של Microsoft Graph. אנו ניגשים אליו בהקשר המשתמש, ולכן המשתמש חייב להיות בעל הרשאות מתאימות כדי להיות מסוגל להציג התראות ותקריות נתונים.
הערה
הדוגמה שלהלן מבוססת על ה- API החדש שלנו לאבטחה של MS Graph. קבל מידע נוסף ב: השתמש ב- API של האבטחה של Microsoft Graph.
ייבוא נתונים ל- Power BI
בסעיף זה, אנו לאורך השלבים הדרושים כדי Microsoft Defender XDR נתונים ל- Power BI, תוך שימוש נתונים של התראות כדוגמה.
פתח את Microsoft Power BI Desktop.
בחר קבל שאילתה > ריקה של נתונים.
בחר הגדרות עורך.
הדבק בשאילתה:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"]) in Source
בחר בוצע.
כאשר תתבקש לספק אישורים, בחר ערוך אישורים:
בחר כניסה לחשבון > ארגוני.
הזן אישורים עבור חשבון עם גישה Microsoft Defender XDR ונתוני אירועים.
בחר התחבר.
כעת תוצאות השאילתה מופיעות כטבלה, ובאפשרותך להתחיל לבנות פריטים חזותיים מעל הטבלה.
עצה
אם אתה מעוניין להציג באופן חזותי צורות אחרות של נתוני אבטחה של Microsoft Graph, כגון אירועים, ציד מתקדם, ניקוד מאובטח וכדומה, ראה מבט כולל על API של אבטחה של Microsoft Graph.
סינון נתונים
ה- API של Microsoft Graph תומך בפרוטוקול OData כך שהמשתמשים לא צריכים לדאוג לגבי חלוקה לעמודים - או לבקש את קבוצת הנתונים הבאה. עם זאת, סינון נתונים חיוני לשיפור זמני הטעינה בסביבה עמוסה.
ה- API של Microsoft Graph תומך בפרמטרים של שאילתה. להלן כמה דוגמאות של מסננים המשמשים בדוח:
השאילתה הבאה מחזירה את רשימת ההתראות שנוצרו בשלושת הימים האחרונים. שימוש בשאילתה זו בסביבות עם כמויות גדולות של נתונים עלול לגרום לטעינה של מאות מגה-בתים של נתונים שייתכן שיחלפו כמה רגעים. על-ידי שימוש בגישה מקודדת באופן קשיח זה, תוכל לראות במהירות את ההתראות האחרונות שלך במהלך שלושת הימים האחרונים ברגע שאתה פותח את הדוח.
let AlertDays = "3", TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "", Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"]) in Source
במקום לאסוף נתונים בטווח תאריכים, אנו יכולים לאסוף התראות בין תאריכים מדויקים יותר על-ידי הזנת תאריך באמצעות תבנית YYYY-MM-DD.
let StartDate = "YYYY-MM-DD", EndDate = "YYYY-MM-DD", Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"]) in Source
כאשר נדרשים נתונים היסטוריים (לדוגמה, השוואת מספר האירועים לחודש), סינון לפי תאריך אינו אפשרי (מאחר שאנו רוצים לחזור אחורה ככל האפשר). במקרה זה, עלינו למשוך כמה שדות שנבחרו, כפי שמוצג בדוגמה הבאה:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate & "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"]) in Source
הצגת פרמטרים
במקום לבצע שאילתה קבועה בקוד כדי להתאים את מסגרת הזמן, השתמש בפרמטרים כדי להגדיר תאריך התחלה וסיום בכל פעם שתפתח את הדוח.
עבור אל עורך Power Query.
בחר נהל פרמטר>חדש של פרמטרים.
הגדר את הפרמטרים הרצויים.
בדוגמה הבאה, אנו משתמשים בשתי מסגרות זמן שונות, תאריכי התחלה וסיום.
הסר ערכים מקודדים באופן קשיח מהשאילתות וודא ששמות המשתנים StartDate ו- EndDate תואמים לשמות הפרמטרים:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"]) in Source
סקירת הדוח
לאחר ביצוע שאילתה על הנתונים והפרמטרים מוגדרים, כעת נוכל לסקור את הדוח. במהלך ההפעלה הראשונה של קובץ דוח ה- PBIT, תתבקש לספק את הפרמטרים שציינת קודם לכן:
לוח המחוונים מציע שלוש כרטיסיות המיועדות לספק תובנות SOC. הכרטיסיה הראשונה מספקת סיכום של כל ההתראות האחרונות (בהתאם למסגרת הזמן שנבחרה). כרטיסיה זו מסייעת לאנליסטים להבין בבירור את מצב האבטחה בסביבה שלהם באמצעות פרטי התראה המנותק על-ידי מקור זיהוי, חומרה, מספר כולל של התראות ו-mean-time-to-resolution.
הכרטיסיה השניה מספקת תובנות נוספות לגבי נתוני התקיפה הנאספים בין האירועים וההתראות. תצוגה זו יכולה לספק לאנליסטים פרספקטיבה טובה יותר לגבי סוגי ההתקפות שבוצעו ואופן המיפוי שלהם למסגרת MITRE ATT&CK.
דוגמאות לוח מחוונים של Power BI
לקבלת מידע נוסף, עיין בקובץ לדוגמה של תבניות דוח Power BI.