Egyéni Microsoft Defender XDR jelentések Létrehozás a Microsoft Graph security API és a Power BI használatával
Érintett szolgáltatás:
Ha lehetővé teszi a biztonsági szakemberek számára, hogy megjelenítsék az adataikat, lehetővé teszi számukra, hogy gyorsan felismerjék az összetett mintákat, rendellenességeket és trendeket, amelyek egyébként a zaj alatt lapulnak. A vizualizációk segítségével az SOC-csapatok gyorsan azonosíthatják a fenyegetéseket, megalapozott döntéseket hozhatnak, és hatékonyan kommunikálhatnak a szervezeten belül.
A biztonsági adatok Microsoft Defender többféleképpen jeleníthet meg:
- Navigálás a beépített jelentések között a Microsoft Defender portálon.
- Microsoft Sentinel-munkafüzetek használata minden Defender-termékhez előre összeállított sablonokkal (a Microsoft Sentinelrel való integráció szükséges).
- A renderelési függvény alkalmazása a Speciális veszélyforrás-keresésben.
- A Power BI használata a meglévő jelentéskészítési képességek kibővítéséhez.
Ebben a cikkben létrehozunk egy minta Security Operations Center- (SOC-) hatékonysági irányítópultot a Power BI-ban a Microsoft Graph security API használatával. Felhasználói környezetben férünk hozzá, ezért a felhasználónak megfelelő engedélyekkel kell rendelkeznie a riasztások és incidensek adatainak megtekintéséhez.
Megjegyzés:
Az alábbi példa az új MS Graph biztonsági API-n alapul. További információ: A Microsoft Graph biztonsági API használata.
Adatok importálása a Power BI-ba
Ebben a szakaszban végigvezetjük az Microsoft Defender XDR adatok Power BI-ba való beolvasásához szükséges lépéseket, példaként a Riasztások adatokat használva.
Nyissa meg a Microsoft Power BI Desktop.
Válassza az Adatok > lekérése üres lekérdezés lehetőséget.
Válassza a Speciális szerkesztő lehetőséget.
Beillesztés a lekérdezésbe:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"]) in Source
Válassza a Kész lehetőséget.
Amikor a rendszer hitelesítő adatokat kér, válassza a Hitelesítő adatok szerkesztése lehetőséget:
Válassza a Szervezeti fiók > Bejelentkezés lehetőséget.
Adja meg az incidensadatokhoz Microsoft Defender XDR hozzáféréssel rendelkező fiók hitelesítő adatait.
Válassza a Csatlakozás lehetőséget.
Ekkor a lekérdezés eredményei táblázatként jelennek meg, és megkezdheti a vizualizációk összeállítását.
Tipp
Ha a Microsoft Graph biztonsági adatainak más formáit szeretné vizualizálni, például incidenseket, speciális veszélyforrás-kereséseket, biztonsági pontszámot stb., tekintse meg a Microsoft Graph biztonsági API áttekintését.
Adatok szűrése
A Microsoft Graph API támogatja az OData protokollt, így a felhasználóknak nem kell aggódniuk a tördelés miatt – vagy a következő adatkészlet kérése miatt. Az adatok szűrése azonban elengedhetetlen a terhelési idők javításához egy forgalmas környezetben.
A Microsoft Graph API támogatja a lekérdezési paramétereket. Íme néhány példa a jelentésben használt szűrőkre:
A következő lekérdezés az elmúlt három napban létrehozott riasztások listáját adja vissza. Ha ezt a lekérdezést nagy mennyiségű adattal rendelkező környezetekben használja, több száz megabájtnyi adatot eredményezhet, amelyek betöltése eltarthat egy ideig. Ezzel a rögzített módszerrel gyorsan megtekintheti az elmúlt három nap legutóbbi riasztását, amint megnyitja a jelentést.
let AlertDays = "3", TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "", Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"]) in Source
Ahelyett, hogy adatokat gyűjtenénk egy dátumtartományon belül, az ÉÉÉÉ-HH-NN formátum használatával riasztásokat gyűjthetünk a pontosabb dátumok között.
let StartDate = "YYYY-MM-DD", EndDate = "YYYY-MM-DD", Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"]) in Source
Ha előzményadatokra van szükség (például az incidensek havi számának összehasonlítása), a dátum szerinti szűrés nem választható (mivel a lehető legtávolabb szeretnénk visszamenni). Ebben az esetben le kell kérnünk néhány kijelölt mezőt az alábbi példában látható módon:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate & "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"]) in Source
Paraméterek bemutatása
Ahelyett, hogy folyamatosan lekérdezi a kódot az időkeret módosításához, paraméterek használatával állítsa be a kezdő és a záró dátumot minden alkalommal, amikor megnyitja a jelentést.
Nyissa meg a Lekérdezésszerkesztő.
Válassza a Paraméterek> kezeléseÚj paraméter lehetőséget.
Állítsa be a kívánt paramétereket.
Az alábbi példában két különböző időkeretet használunk: a Kezdő és a Záró dátumot.
Távolítsa el a rögzített értékeket a lekérdezésekből, és győződjön meg arról, hogy a StartDate és az EndDate változó neve megfelel a paraméterneveknek:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"]) in Source
A jelentés áttekintése
Miután lekérdezte az adatokat, és beállította a paramétereket, áttekintheti a jelentést. A PBIT-jelentésfájl első indításakor a rendszer kérni fogja, hogy adja meg a korábban megadott paramétereket:
Az irányítópult három lapfület kínál, amelyek SOC-elemzéseket biztosítanak. Az első lap az összes legutóbbi riasztás összegzését tartalmazza (a kiválasztott időkerettől függően). Ez a lap segít az elemzőknek egyértelműen megérteni a környezetük biztonsági állapotát az észlelési forrás, a súlyosság, a riasztások teljes száma és az átlagos idő–megoldás szerinti bontásban.
A második lap további betekintést nyújt az incidensek és riasztások által gyűjtött támadási adatokba. Ez a nézet nagyobb betekintést nyújt az elemzők számára a végrehajtott támadások típusaiba, valamint a MITRE ATT&CK-keretrendszerbe való leképezésükbe.
Power BI-irányítópultminták
További információ: Power BI-jelentéssablonok mintafájlja.