Megosztás a következőn keresztül:

Power BI-jelentés létrehozása Microsoft Sentinel-adatokból

  • Cikk

A Power BI egy jelentéskészítési és elemzési platform, amely koherens, modern, interaktív vizualizációkká alakítja az adatokat. A Power BI segítségével egyszerűen csatlakozhat adatforrásokhoz, vizualizálhatja és felderítheti a kapcsolatokat, és bárkivel megoszthatja az elemzéseket.

A Power BI-jelentéseket a Microsoft Sentinel adataira alapozhatja, és megoszthatja ezeket a jelentéseket olyan személyekkel, akik nem rendelkeznek hozzáféréssel a Microsoft Sentinelhez. Előfordulhat például, hogy a sikertelen bejelentkezési kísérletekről szeretne információkat megosztani az alkalmazástulajdonosokkal anélkül, hogy Microsoft Sentinel-hozzáférést adna nekik. A Power BI-vizualizációk egy pillantással biztosítják az adatokat.

A Microsoft Sentinel Log Analytics-munkaterületeken fut, és Kusto lekérdezésnyelv (KQL) használatával kérdezheti le az adatokat.

Ez a cikk forgatókönyvalapú eljárást biztosít a Microsoft Sentinel-adatok elemzési jelentéseinek megtekintéséhez a Power BI-ban. További információ: Csatlakozás adatforrások és az összegyűjtött adatok vizualizációja.

Ebben a cikkben:

  • KQL-lekérdezés exportálása Power BI M nyelvi lekérdezésbe.
  • Vizualizációk és jelentések létrehozásához használja az M lekérdezést a Power BI Desktopban.
  • Tegye közzé a jelentést a Power BI szolgáltatás, és ossza meg másokkal.
  • Adja hozzá a jelentést egy Teams-csatornához.

Kapcsolatok hozzáférést adott a Power BI szolgáltatás, és a Teams-csatorna tagjai Microsoft Sentinel-engedélyek nélkül láthatják a jelentést.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

A cikkben ismertetett lépések végrehajtásához a következőkre van szükség:

  • Legalább olvasási hozzáférés egy Microsoft Sentinel-munkaterülethez, amely figyeli a bejelentkezési kísérleteket.
  • Egy Power BI-fiók, amely olvasási hozzáféréssel rendelkezik a Microsoft Sentinel-munkaterülethez.
  • A Microsoft Store-ból telepített Power BI Desktop.

Lekérdezés exportálása a Microsoft Sentinelből

KQL-lekérdezés létrehozása, futtatása és exportálása a Microsoft Sentinelből.

  1. Egyszerű lekérdezés létrehozásához a Microsoft Sentinelben válassza a Naplók lehetőséget. Ha a munkaterületet az egyesített biztonsági üzemeltetési platformra készíti, válassza az Általános > naplók lehetőséget.

  2. A lekérdezésszerkesztő Új lekérdezés 1 területén adja meg a következő lekérdezést, vagy bármely más Microsoft Sentinel-lekérdezést az adataihoz:

    SigninLogs
|  where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
|  top 10 by Failed
| sort by Failed

  3. Válassza a Futtatás lehetőséget a lekérdezés futtatásához és az eredmények létrehozásához.

    Képernyőkép a KQL-lekérdezésről és az eredményekről.

  4. Ha a lekérdezést Power BI M lekérdezési formátumba szeretné exportálni, válassza az Exportálás, majd az Exportálás a Power BI-ba (M lekérdezés) lehetőséget. A lekérdezés egy PowerBIQuery.txt nevű szövegfájlba lesz exportálva.

    Képernyőkép a lekérdezés exportálása Power BI M formátumba.

  5. Másolja ki az exportált fájl tartalmát.

Adatok lekérése a Power BI Desktopban

Az adatok lekéréséhez futtassa az exportált M lekérdezést a Power BI Desktopban.

  1. Nyissa meg a Power BI Desktopot, és jelentkezzen be a Microsoft Sentinel-munkaterülethez olvasási hozzáféréssel rendelkező Power BI-fiókjába.

    Képernyőkép a Power BI Desktopba való bejelentkezésről.

  2. A Power BI menüszalagon válassza az Adatok lekérése, majd az Üres lekérdezés lehetőséget. Megnyílik a Power Query-szerkesztő.

    Képernyőkép a Power BI Desktop Adatok lekérése területén kijelölt Üres lekérdezésről.

  3. A Power Query-szerkesztő válassza a Speciális szerkesztő.

  4. Illessze be az exportált PowerBIQuery.txt fájl másolt tartalmát a Speciális szerkesztő ablakba, majd válassza a Kész lehetőséget.

    Képernyőkép a Power BI Speciális szerkesztő beillesztett M-lekérdezésről.

  5. A Power Query-szerkesztő nevezze át a lekérdezést App_signin_stats, majd válassza a Bezárás &alkalmazás lehetőséget.

    Képernyőkép az átnevezett lekérdezésről és a Bezárás &alkalmazás parancsról a Power Query-szerkesztő.

Vizualizációk létrehozása az adatokból

Most, hogy az adatok a Power BI-ban is megtalálhatóak, vizualizációkat hozhat létre, amelyekkel betekintést nyerhet az adatokba.

Táblavizualizáció létrehozása

Először hozzon létre egy táblát, amely a lekérdezés összes eredményét megjeleníti.

  1. Ha táblázatvizualizációt szeretne hozzáadni a Power BI Desktop vászonhoz, válassza a Táblázat ikont a Vizualizációk csoportban.

    Képernyőkép a Power BI Desktop Vizualizációk területén látható táblázatikonról.

  2. A Mezők területen jelölje ki a lekérdezés összes mezőjét, így azok mind megjelennek a táblában. Ha a tábla nem jeleníti meg az összes adatot, a kijelölési fogópontok húzásával nagyítsa meg a táblázatot.

    Képernyőkép a táblavizualizációhoz kijelölt összes mezőről.

Kördiagram létrehozása

Ezután hozzon létre egy kördiagramot, amely azt mutatja, hogy mely alkalmazásoknál történt a legtöbb sikertelen bejelentkezési kísérlet.

  1. A táblázatvizualizáció kijelölésének megszüntetéséhez kattintson vagy koppintson kívülre, majd a Vizualizációk területen válassza a kördiagram ikont.

    Képernyőkép a Power BI Desktop Vizualizációk területén látható kördiagram ikonról.

  2. Válassza az AppDisplayName lehetőséget a jelmagyarázatban , vagy húzza a Mezők panelről. Jelölje be a Sikertelen elemet az Értékek területen, vagy húzza a Mezők listában. A kördiagram most az alkalmazásonkénti sikertelen bejelentkezési kísérletek számát jeleníti meg.

    Képernyőkép a kördiagramról, amelyen alkalmazásonként a sikertelen bejelentkezési kísérletek száma látható.

Új gyorsmérő létrehozása

Azt is meg szeretné jeleníteni, hogy a bejelentkezési kísérletek hány százaléka sikertelen volt az egyes alkalmazások esetében. Mivel a lekérdezésnek nincs százalékos oszlopa, létrehozhat egy új mértéket az információk megjelenítéséhez.

  1. A Vizualizációk területen válassza a halmozott oszlopdiagram ikont halmozott oszlopdiagram létrehozásához.

    Képernyőkép a Halmozott oszlopdiagram ikonról a Power BI Desktop Vizualizációk területén.

  2. Ha az új vizualizáció ki van jelölve, válassza a Gyorsmérő lehetőséget a menüszalagon.

  3. A Gyorsmérők ablak Számítás területén válassza az Osztás lehetőséget. Húzza a Sikertelen elemet a Mezők mezőből a Számláló mezőbe, és húzza a Kísérletek a Mezőkből a Nevezőbe parancsot.

    Képernyőkép a Gyorsmérők ablakban található beállításokról.

  4. Kattintson az OK gombra. Az új mérték megjelenik a Mezők panelen.

  5. Jelölje ki az új mértéket a Mezők panelen, majd a menüszalag Formázás csoportjában válassza a Százalék elemet.

    Képernyőkép a Mezők panelen kijelölt új mértékről, a menüszalag Formázás csoportjában kijelölt százalékértékről.

  6. Ha az oszlopdiagram vizualizációja ki van jelölve a vásznon, jelölje ki vagy húzza az AppDisplayName mezőt a tengelykútra , és az új Sikertelen a Kísérletek mértékkel osztva az Értékek területre. A diagram most az egyes alkalmazások sikertelen bejelentkezési kísérleteinek százalékos arányát mutatja.

    Képernyőkép az oszlopdiagramról, amelyen az egyes alkalmazások sikertelen kísérleteinek százalékos aránya látható.

Az adatok frissítése és a jelentés mentése

  1. Válassza a Frissítés lehetőséget a Microsoft Sentinel legfrissebb adatainak lekéréséhez.

    Képernyőkép a menüszalag Frissítés gombjáról.

  2. Válassza a Fájl>mentése lehetőséget, és mentse a Power BI-jelentést.

Power BI online munkaterület létrehozása

Power BI-munkaterület létrehozása a jelentés megosztásához:

  1. Jelentkezzen be powerbi.com ugyanazzal a fiókkal, amelyet a Power BI Desktop és a Microsoft Sentinel olvasási hozzáféréséhez használt.

  2. A Munkaterületek csoportban válassza a Munkaterület létrehozása lehetőséget. Nevezze el a munkaterület felügyeleti jelentéseit, és válassza a Mentés lehetőséget.

    Képernyőkép: Munkaterület létrehozása a Power BI szolgáltatás.

  3. Ha hozzáférést szeretne adni a felhasználóknak és csoportoknak a munkaterülethez, válassza a További beállítások elemet az új munkaterület neve mellett, majd válassza a Munkaterület-hozzáférés lehetőséget.

    Képernyőkép a Munkaterület hozzáférésről a Munkaterület további beállításai menüben.

  4. A Munkaterület hozzáférési oldal paneljén hozzáadhatja a felhasználók e-mail-címét, és szerepkört rendelhet hozzájuk. A szerepkörök a következők: Rendszergazda, tag, közreműködő és megtekintő.

A Power BI-jelentés közzététele

Mostantól a Power BI Desktop használatával közzéteheti a Power BI-jelentést, hogy mások is láthassák.

  1. A Power BI Desktop új jelentésében válassza a Közzététel lehetőséget.

    Képernyőkép a Közzététel a Power BI Desktop menüszalagjáról.

  2. Válassza ki azt a Felügyeleti jelentések munkaterületet, amelyben közzé szeretné tenni, majd válassza a Kiválasztás lehetőséget.

    Képernyőkép a Power BI Felügyeleti jelentések munkaterületének kiválasztásáról.

Jelentés importálása Microsoft Teams-csatornára

Azt is szeretné, hogy a Management Teams-csatorna tagjai láthassák a jelentést. A jelentés hozzáadása Teams-csatornához:

  1. A Felügyeleti teams csatornán válassza a lap hozzáadásához, + majd a Lap hozzáadása ablakban keresse meg és válassza a Power BI-t.

    Képernyőkép a Power BI kiválasztásáról a Teams Add a tab ablakában.

  2. Válassza ki az új jelentést a Power BI-jelentések listájából, és válassza a Mentés lehetőséget. A jelentés egy új lapon jelenik meg a Teams-csatornában.

    Képernyőkép a Power BI-jelentésről a Teams-csatorna egyik lapján.

Jelentésfrissítés ütemezése

Frissítse a Power BI-jelentést ütemezés szerint, így a frissített adatok mindig megjelennek a jelentésben.

  1. A Power BI szolgáltatás válassza ki azt a munkaterületet, amelyben közzétette a jelentést.

  2. A jelentés adatkészlete mellett válassza a További beállítások> Gépház lehetőséget.

    Képernyőkép a Gépház a Power BI jelentésadatkészlet További lehetőségek területén.

  3. Válassza a Hitelesítő adatok szerkesztése lehetőséget egy olyan fiók hitelesítő adatainak megadásához, amely olvasási hozzáféréssel rendelkezik a Log Analytics-munkaterülethez.

  4. Az Ütemezett frissítés csoportban állítsa be a csúszkát Be értékre, és állítson be egy frissítési ütemezést a jelentéshez.

    Képernyőkép a Power BI jelentésadatkészlet ütemezett frissítési beállításairól.

Kapcsolódó tartalom

További információk: