Power BI-jelentés létrehozása Microsoft Sentinel-adatokból
A Power BI egy jelentéskészítési és elemzési platform, amely koherens, modern, interaktív vizualizációkká alakítja az adatokat. A Power BI segítségével egyszerűen csatlakozhat adatforrásokhoz, vizualizálhatja és felderítheti a kapcsolatokat, és bárkivel megoszthatja az elemzéseket.
A Power BI-jelentéseket a Microsoft Sentinel adataira alapozhatja, és megoszthatja ezeket a jelentéseket olyan személyekkel, akik nem rendelkeznek hozzáféréssel a Microsoft Sentinelhez. Előfordulhat például, hogy a sikertelen bejelentkezési kísérletekről szeretne információkat megosztani az alkalmazástulajdonosokkal anélkül, hogy Microsoft Sentinel-hozzáférést adna nekik. A Power BI-vizualizációk egy pillantással biztosítják az adatokat.
A Microsoft Sentinel Log Analytics-munkaterületeken fut, és Kusto lekérdezésnyelv (KQL) használatával kérdezheti le az adatokat.
Ez a cikk forgatókönyvalapú eljárást biztosít a Microsoft Sentinel-adatok elemzési jelentéseinek megtekintéséhez a Power BI-ban. További információ: Csatlakozás adatforrások és az összegyűjtött adatok vizualizációja.
Ebben a cikkben:
- KQL-lekérdezés exportálása Power BI M nyelvi lekérdezésbe.
- Vizualizációk és jelentések létrehozásához használja az M lekérdezést a Power BI Desktopban.
- Tegye közzé a jelentést a Power BI szolgáltatás, és ossza meg másokkal.
- Adja hozzá a jelentést egy Teams-csatornához.
Kapcsolatok hozzáférést adott a Power BI szolgáltatás, és a Teams-csatorna tagjai Microsoft Sentinel-engedélyek nélkül láthatják a jelentést.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
A cikkben ismertetett lépések végrehajtásához a következőkre van szükség:
- Legalább olvasási hozzáférés egy Microsoft Sentinel-munkaterülethez, amely figyeli a bejelentkezési kísérleteket.
- Egy Power BI-fiók, amely olvasási hozzáféréssel rendelkezik a Microsoft Sentinel-munkaterülethez.
- A Microsoft Store-ból telepített Power BI Desktop.
Lekérdezés exportálása a Microsoft Sentinelből
KQL-lekérdezés létrehozása, futtatása és exportálása a Microsoft Sentinelből.
Egyszerű lekérdezés létrehozásához a Microsoft Sentinelben válassza a Naplók lehetőséget. Ha a munkaterületet az egyesített biztonsági üzemeltetési platformra készíti, válassza az Általános > naplók lehetőséget.
A lekérdezésszerkesztő Új lekérdezés 1 területén adja meg a következő lekérdezést, vagy bármely más Microsoft Sentinel-lekérdezést az adataihoz:
SigninLogs | where TimeGenerated >ago(7d) | summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName | top 10 by Failed | sort by Failed
Válassza a Futtatás lehetőséget a lekérdezés futtatásához és az eredmények létrehozásához.
Ha a lekérdezést Power BI M lekérdezési formátumba szeretné exportálni, válassza az Exportálás, majd az Exportálás a Power BI-ba (M lekérdezés) lehetőséget. A lekérdezés egy PowerBIQuery.txt nevű szövegfájlba lesz exportálva.
Másolja ki az exportált fájl tartalmát.
Adatok lekérése a Power BI Desktopban
Az adatok lekéréséhez futtassa az exportált M lekérdezést a Power BI Desktopban.
Nyissa meg a Power BI Desktopot, és jelentkezzen be a Microsoft Sentinel-munkaterülethez olvasási hozzáféréssel rendelkező Power BI-fiókjába.
A Power BI menüszalagon válassza az Adatok lekérése, majd az Üres lekérdezés lehetőséget. Megnyílik a Power Query-szerkesztő.
A Power Query-szerkesztő válassza a Speciális szerkesztő.
Illessze be az exportált PowerBIQuery.txt fájl másolt tartalmát a Speciális szerkesztő ablakba, majd válassza a Kész lehetőséget.
A Power Query-szerkesztő nevezze át a lekérdezést App_signin_stats, majd válassza a Bezárás &alkalmazás lehetőséget.
Vizualizációk létrehozása az adatokból
Most, hogy az adatok a Power BI-ban is megtalálhatóak, vizualizációkat hozhat létre, amelyekkel betekintést nyerhet az adatokba.
Táblavizualizáció létrehozása
Először hozzon létre egy táblát, amely a lekérdezés összes eredményét megjeleníti.
Ha táblázatvizualizációt szeretne hozzáadni a Power BI Desktop vászonhoz, válassza a Táblázat ikont a Vizualizációk csoportban.
A Mezők területen jelölje ki a lekérdezés összes mezőjét, így azok mind megjelennek a táblában. Ha a tábla nem jeleníti meg az összes adatot, a kijelölési fogópontok húzásával nagyítsa meg a táblázatot.
Kördiagram létrehozása
Ezután hozzon létre egy kördiagramot, amely azt mutatja, hogy mely alkalmazásoknál történt a legtöbb sikertelen bejelentkezési kísérlet.
A táblázatvizualizáció kijelölésének megszüntetéséhez kattintson vagy koppintson kívülre, majd a Vizualizációk területen válassza a kördiagram ikont.
Válassza az AppDisplayName lehetőséget a jelmagyarázatban , vagy húzza a Mezők panelről. Jelölje be a Sikertelen elemet az Értékek területen, vagy húzza a Mezők listában. A kördiagram most az alkalmazásonkénti sikertelen bejelentkezési kísérletek számát jeleníti meg.
Új gyorsmérő létrehozása
Azt is meg szeretné jeleníteni, hogy a bejelentkezési kísérletek hány százaléka sikertelen volt az egyes alkalmazások esetében. Mivel a lekérdezésnek nincs százalékos oszlopa, létrehozhat egy új mértéket az információk megjelenítéséhez.
A Vizualizációk területen válassza a halmozott oszlopdiagram ikont halmozott oszlopdiagram létrehozásához.
Ha az új vizualizáció ki van jelölve, válassza a Gyorsmérő lehetőséget a menüszalagon.
A Gyorsmérők ablak Számítás területén válassza az Osztás lehetőséget. Húzza a Sikertelen elemet a Mezők mezőből a Számláló mezőbe, és húzza a Kísérletek a Mezőkből a Nevezőbe parancsot.
Kattintson az OK gombra. Az új mérték megjelenik a Mezők panelen.
Jelölje ki az új mértéket a Mezők panelen, majd a menüszalag Formázás csoportjában válassza a Százalék elemet.
Ha az oszlopdiagram vizualizációja ki van jelölve a vásznon, jelölje ki vagy húzza az AppDisplayName mezőt a tengelykútra , és az új Sikertelen a Kísérletek mértékkel osztva az Értékek területre. A diagram most az egyes alkalmazások sikertelen bejelentkezési kísérleteinek százalékos arányát mutatja.
Az adatok frissítése és a jelentés mentése
Válassza a Frissítés lehetőséget a Microsoft Sentinel legfrissebb adatainak lekéréséhez.
Válassza a Fájl>mentése lehetőséget, és mentse a Power BI-jelentést.
Power BI online munkaterület létrehozása
Power BI-munkaterület létrehozása a jelentés megosztásához:
Jelentkezzen be powerbi.com ugyanazzal a fiókkal, amelyet a Power BI Desktop és a Microsoft Sentinel olvasási hozzáféréséhez használt.
A Munkaterületek csoportban válassza a Munkaterület létrehozása lehetőséget. Nevezze el a munkaterület felügyeleti jelentéseit, és válassza a Mentés lehetőséget.
Ha hozzáférést szeretne adni a felhasználóknak és csoportoknak a munkaterülethez, válassza a További beállítások elemet az új munkaterület neve mellett, majd válassza a Munkaterület-hozzáférés lehetőséget.
A Munkaterület hozzáférési oldal paneljén hozzáadhatja a felhasználók e-mail-címét, és szerepkört rendelhet hozzájuk. A szerepkörök a következők: Rendszergazda, tag, közreműködő és megtekintő.
A Power BI-jelentés közzététele
Mostantól a Power BI Desktop használatával közzéteheti a Power BI-jelentést, hogy mások is láthassák.
A Power BI Desktop új jelentésében válassza a Közzététel lehetőséget.
Válassza ki azt a Felügyeleti jelentések munkaterületet, amelyben közzé szeretné tenni, majd válassza a Kiválasztás lehetőséget.
Jelentés importálása Microsoft Teams-csatornára
Azt is szeretné, hogy a Management Teams-csatorna tagjai láthassák a jelentést. A jelentés hozzáadása Teams-csatornához:
A Felügyeleti teams csatornán válassza a lap hozzáadásához, + majd a Lap hozzáadása ablakban keresse meg és válassza a Power BI-t.
Válassza ki az új jelentést a Power BI-jelentések listájából, és válassza a Mentés lehetőséget. A jelentés egy új lapon jelenik meg a Teams-csatornában.
Jelentésfrissítés ütemezése
Frissítse a Power BI-jelentést ütemezés szerint, így a frissített adatok mindig megjelennek a jelentésben.
A Power BI szolgáltatás válassza ki azt a munkaterületet, amelyben közzétette a jelentést.
A jelentés adatkészlete mellett válassza a További beállítások> Gépház lehetőséget.
Válassza a Hitelesítő adatok szerkesztése lehetőséget egy olyan fiók hitelesítő adatainak megadásához, amely olvasási hozzáféréssel rendelkezik a Log Analytics-munkaterülethez.
Az Ütemezett frissítés csoportban állítsa be a csúszkát Be értékre, és állítson be egy frissítési ütemezést a jelentéshez.
Kapcsolódó tartalom
További információk: