Megosztás a következőn keresztül:


Egyéni Microsoft Defender XDR jelentések Létrehozás a Microsoft Graph security API és a Power BI használatával

Érintett szolgáltatás:

Ha lehetővé teszi a biztonsági szakemberek számára, hogy megjelenítsék az adataikat, lehetővé teszi számukra, hogy gyorsan felismerjék az összetett mintákat, rendellenességeket és trendeket, amelyek egyébként a zaj alatt lapulnak. A vizualizációk segítségével az SOC-csapatok gyorsan azonosíthatják a fenyegetéseket, megalapozott döntéseket hozhatnak, és hatékonyan kommunikálhatnak a szervezeten belül.

A biztonsági adatok Microsoft Defender többféleképpen jeleníthet meg:

  • Navigálás a beépített jelentések között a Microsoft Defender portálon.
  • Microsoft Sentinel-munkafüzetek használata minden Defender-termékhez előre összeállított sablonokkal (a Microsoft Sentinelrel való integráció szükséges).
  • A renderelési függvény alkalmazása a Speciális veszélyforrás-keresésben.
  • A Power BI használata a meglévő jelentéskészítési képességek kibővítéséhez.

Ebben a cikkben létrehozunk egy minta Security Operations Center- (SOC-) hatékonysági irányítópultot a Power BI-ban a Microsoft Graph security API használatával. Felhasználói környezetben férünk hozzá, ezért a felhasználónak megfelelő engedélyekkel kell rendelkeznie a riasztások és incidensek adatainak megtekintéséhez.

Megjegyzés:

Az alábbi példa az új MS Graph biztonsági API-n alapul. További információ: A Microsoft Graph biztonsági API használata.

Adatok importálása a Power BI-ba

Ebben a szakaszban végigvezetjük az Microsoft Defender XDR adatok Power BI-ba való beolvasásához szükséges lépéseket, példaként a Riasztások adatokat használva.

  1. Nyissa meg a Microsoft Power BI Desktop.

  2. Válassza az Adatok > lekérése üres lekérdezés lehetőséget.

  3. Válassza a Speciális szerkesztő lehetőséget.

    Képernyőkép, amely bemutatja, hogyan hozhat létre új adat lekérdezést Power BI Desktop.

  4. Beillesztés a lekérdezésbe:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"])
    in
        Source
    
  5. Válassza a Kész lehetőséget.

  6. Amikor a rendszer hitelesítő adatokat kér, válassza a Hitelesítő adatok szerkesztése lehetőséget:

    Képernyőkép az API-kapcsolat hitelesítő adatainak szerkesztéséről.

  7. Válassza a Szervezeti fiók > Bejelentkezés lehetőséget.

    Képernyőkép a szervezeti fiók hitelesítési ablakáról.

  8. Adja meg az incidensadatokhoz Microsoft Defender XDR hozzáféréssel rendelkező fiók hitelesítő adatait.

  9. Válassza a Csatlakozás lehetőséget.

Ekkor a lekérdezés eredményei táblázatként jelennek meg, és megkezdheti a vizualizációk összeállítását.

Tipp

Ha a Microsoft Graph biztonsági adatainak más formáit szeretné vizualizálni, például incidenseket, speciális veszélyforrás-kereséseket, biztonsági pontszámot stb., tekintse meg a Microsoft Graph biztonsági API áttekintését.

Adatok szűrése

A Microsoft Graph API támogatja az OData protokollt, így a felhasználóknak nem kell aggódniuk a tördelés miatt – vagy a következő adatkészlet kérése miatt. Az adatok szűrése azonban elengedhetetlen a terhelési idők javításához egy forgalmas környezetben.

A Microsoft Graph API támogatja a lekérdezési paramétereket. Íme néhány példa a jelentésben használt szűrőkre:

  • A következő lekérdezés az elmúlt három napban létrehozott riasztások listáját adja vissza. Ha ezt a lekérdezést nagy mennyiségű adattal rendelkező környezetekben használja, több száz megabájtnyi adatot eredményezhet, amelyek betöltése eltarthat egy ideig. Ezzel a rögzített módszerrel gyorsan megtekintheti az elmúlt három nap legutóbbi riasztását, amint megnyitja a jelentést.

    let
        AlertDays = "3",
        TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"])
    in
        Source
    
  • Ahelyett, hogy adatokat gyűjtenénk egy dátumtartományon belül, az ÉÉÉÉ-HH-NN formátum használatával riasztásokat gyűjthetünk a pontosabb dátumok között.

    let
        StartDate = "YYYY-MM-DD",
        EndDate = "YYYY-MM-DD",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    
  • Ha előzményadatokra van szükség (például az incidensek havi számának összehasonlítása), a dátum szerinti szűrés nem választható (mivel a lehető legtávolabb szeretnénk visszamenni). Ebben az esetben le kell kérnünk néhány kijelölt mezőt az alábbi példában látható módon:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate &
    "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"])
    in
        Source
    

Paraméterek bemutatása

Ahelyett, hogy folyamatosan lekérdezi a kódot az időkeret módosításához, paraméterek használatával állítsa be a kezdő és a záró dátumot minden alkalommal, amikor megnyitja a jelentést.

  1. Nyissa meg a Lekérdezésszerkesztő.

  2. Válassza a Paraméterek> kezeléseÚj paraméter lehetőséget.

  3. Állítsa be a kívánt paramétereket.

    Az alábbi példában két különböző időkeretet használunk: a Kezdő és a Záró dátumot.

    Képernyőkép a Paraméterek kezeléséről a Power BI-ban.

  4. Távolítsa el a rögzített értékeket a lekérdezésekből, és győződjön meg arról, hogy a StartDate és az EndDate változó neve megfelel a paraméterneveknek:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    

A jelentés áttekintése

Miután lekérdezte az adatokat, és beállította a paramétereket, áttekintheti a jelentést. A PBIT-jelentésfájl első indításakor a rendszer kérni fogja, hogy adja meg a korábban megadott paramétereket:

Képernyőkép a Power BI-sablon paraméterének parancssori ablakáról.

Az irányítópult három lapfület kínál, amelyek SOC-elemzéseket biztosítanak. Az első lap az összes legutóbbi riasztás összegzését tartalmazza (a kiválasztott időkerettől függően). Ez a lap segít az elemzőknek egyértelműen megérteni a környezetük biztonsági állapotát az észlelési forrás, a súlyosság, a riasztások teljes száma és az átlagos idő–megoldás szerinti bontásban.

Az eredményként kapott Power BI-jelentés riasztások lapjának képernyőképe.

A második lap további betekintést nyújt az incidensek és riasztások által gyűjtött támadási adatokba. Ez a nézet nagyobb betekintést nyújt az elemzők számára a végrehajtott támadások típusaiba, valamint a MITRE ATT&CK-keretrendszerbe való leképezésükbe.

Képernyőkép az eredményként kapott Power BI-jelentés Elemzések lapjára.

Power BI-irányítópultminták

További információ: Power BI-jelentéssablonok mintafájlja.