Creare un report di Power BI dai dati di Microsoft Sentinel
Power BI è una piattaforma di report e analisi che trasforma i dati in visualizzazioni coerenti, immersive e interattive. Power BI consente di connettersi facilmente a origini dati, visualizzare e individuare le relazioni e condividere informazioni dettagliate con chiunque si desideri.
È possibile basare i report di Power BI sui dati di Microsoft Sentinel e condividere i report con persone che non hanno accesso a Microsoft Sentinel. Ad esempio, è possibile condividere informazioni sui tentativi di accesso non riusciti con i proprietari delle app, senza concedere loro l'accesso a Microsoft Sentinel. Le visualizzazioni di Power BI possono fornire i dati a colpo d'occhio.
Microsoft Sentinel viene eseguito nelle aree di lavoro Log Analytics ed è possibile usare Linguaggio di query Kusto (KQL) per eseguire query sui dati.
Questo articolo fornisce una procedura basata su scenari per visualizzare i report di analisi in Power BI per i dati di Microsoft Sentinel. Per altre informazioni, vedere Connessione origini dati e Visualizzare i dati raccolti.
In questo articolo si apprenderà come:
- Esportare una query KQL in una query del linguaggio M di Power BI.
- Usare la query M in Power BI Desktop per creare visualizzazioni e un report.
- Pubblicare il report nel servizio Power BI e condividerlo con altri utenti.
- Aggiungere il report a un canale di Teams.
Persone a cui è stato concesso l'accesso nel servizio Power BI e ai membri del canale teams, può visualizzare il report senza richiedere autorizzazioni di Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Prerequisiti
Per completare i passaggi di questo articolo sono necessari:
- Almeno l'accesso in lettura a un'area di lavoro di Microsoft Sentinel che monitora i tentativi di accesso.
- Un account Di Power BI con accesso in lettura all'area di lavoro di Microsoft Sentinel.
- Power BI Desktop installato da Microsoft Store.
Esportare una query da Microsoft Sentinel
Creare, eseguire ed esportare una query KQL da Microsoft Sentinel.
Per creare una query semplice, in Microsoft Sentinel selezionare Log. Se l'area di lavoro viene eseguita l'onboarding nella piattaforma unificata per le operazioni di sicurezza, selezionare Log generali>.
Nell'editor di query, in Nuova query 1, immettere la query seguente o qualsiasi altra query di Microsoft Sentinel per i dati:
SigninLogs | where TimeGenerated >ago(7d) | summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName | top 10 by Failed | sort by Failed
Selezionare Esegui per eseguire la query e generare i risultati.
Per esportare la query in formato di query M di Power BI, selezionare Esporta e quindi selezionare Esporta in Power BI (query M). La query viene esportata in un file di testo denominato PowerBIQuery.txt.
Copiare il contenuto del file esportato.
Ottenere i dati in Power BI Desktop
Eseguire la query M esportata in Power BI Desktop per ottenere i dati.
Aprire Power BI Desktop e accedere all'account Power BI con accesso in lettura all'area di lavoro di Microsoft Sentinel.
Nella barra multifunzione di Power BI selezionare Recupera dati e quindi selezionare Query vuota. Verrà aperto il editor di Power Query.
Nella editor di Power Query selezionare Editor avanzato.
Incollare il contenuto copiato del file PowerBIQuery.txt esportato nella finestra Editor avanzato e quindi selezionare Fine.
Nella editor di Power Query rinominare la query in App_signin_stats e quindi selezionare Chiudi e applica.
Creare visualizzazioni dai dati
Ora che i dati si trovano in Power BI, è possibile creare visualizzazioni per fornire informazioni dettagliate sui dati.
Creare un oggetto visivo tabella
Creare prima di tutto una tabella che mostra tutti i risultati della query.
Per aggiungere una visualizzazione tabella all'area di disegno di Power BI Desktop, selezionare l'icona della tabella in Visualizzazioni.
In Campi selezionare tutti i campi nella query, in modo che vengano visualizzati tutti nella tabella. Se la tabella non mostra tutti i dati, ingrandire la tabella trascinandone gli handle di selezione.
Creare un grafico a torta
Creare quindi un grafico a torta che mostra le applicazioni con i tentativi di accesso più non riusciti.
Deselezionare l'oggetto visivo tabella facendo clic o toccandolo all'esterno e quindi in Visualizzazioni selezionare l'icona del grafico a torta .
Selezionare AppDisplayName nell'area Legenda oppure trascinarlo dal riquadro Campi. Selezionare Non riuscito nell'area Valori oppure trascinarlo da Campi. Il grafico a torta mostra ora il numero di tentativi di accesso non riusciti per applicazione.
Creare una nuova misura rapida
Si vuole anche visualizzare la percentuale di tentativi di accesso non riusciti per ogni applicazione. Poiché la query non ha una colonna percentuale, è possibile creare una nuova misura per visualizzare queste informazioni.
In Visualizzazioni selezionare l'icona dell'istogramma in pila per creare un istogramma in pila.
Con la nuova visualizzazione selezionata, selezionare Misura rapida nella barra multifunzione.
Nella finestra Misure rapide, in Calcolo, selezionare Divisione. Trascinare Failed from Fields (Non riuscito) nel campo Numerator (Numeratore) e trascinare Attempts from Fields to Denominator (Tentativi da campi a denominatore).
Seleziona OK. La nuova misura viene visualizzata nel riquadro Campi .
Selezionare la nuova misura nel riquadro Campi e in Formattazione nella barra multifunzione selezionare Percentuale.
Con la visualizzazione dell'istogramma selezionata nell'area di disegno, selezionare o trascinare il campo AppDisplayName nell'area Asse e la nuova misura Non riuscito diviso per Tentativi nell'area Valori . Il grafico mostra ora la percentuale di tentativi di accesso non riusciti per ogni applicazione.
Aggiornare i dati e salvare il report
Selezionare Aggiorna per ottenere i dati più recenti da Microsoft Sentinel.
Selezionare Salva file>e salvare il report di Power BI.
Creare un'area di lavoro online di Power BI
Per creare un'area di lavoro di Power BI per la condivisione del report:
Accedere a powerbi.com con lo stesso account usato per Power BI Desktop e l'accesso in lettura a Microsoft Sentinel.
In Aree di lavoro selezionare Crea un'area di lavoro. Assegnare all'area di lavoro il nome Report di gestione e selezionare Salva.
Per concedere a utenti e gruppi l'accesso all'area di lavoro, selezionare i puntini Altre opzioni accanto al nuovo nome dell'area di lavoro e quindi selezionare Accesso all'area di lavoro.
Nel riquadro Lato accesso all'area di lavoro è possibile aggiungere gli indirizzi di posta elettronica degli utenti e assegnare a ogni utente un ruolo. I ruoli sono Amministrazione, Membro, Collaboratore e Visualizzatore.
Pubblicare il report Power BI
È ora possibile usare Power BI Desktop per pubblicare il report di Power BI in modo che altri utenti possano visualizzarlo.
Nel nuovo report in Power BI Desktop selezionare Pubblica.
Selezionare l'area di lavoro Report di gestione in cui pubblicare e selezionare Seleziona.
Importare il report in un canale di Microsoft Teams
Si vuole anche che i membri del canale di Teams di gestione siano in grado di visualizzare il report. Per aggiungere il report a un canale di Teams:
Nel canale Management Teams selezionare + per aggiungere una scheda e nella finestra Aggiungi una scheda cercare e selezionare Power BI.
Selezionare il nuovo report dall'elenco dei report di Power BI e selezionare Salva. Il report viene visualizzato in una nuova scheda nel canale teams.
Pianificare l'aggiornamento del report
Aggiornare il report di Power BI in base a una pianificazione, in modo che i dati aggiornati vengano sempre visualizzati nel report.
Nella servizio Power BI selezionare l'area di lavoro in cui è stato pubblicato il report.
Accanto al set di dati del report selezionare Altre opzioni> Impostazioni.
Selezionare Modifica credenziali per fornire le credenziali per un account con accesso in lettura all'area di lavoro Log Analytics.
In Aggiornamento pianificato impostare il dispositivo di scorrimento su Sì e configurare una pianificazione dell'aggiornamento per il report.
Contenuto correlato
Per altre informazioni, vedi: