Share via

Creare un report di Power BI dai dati di Microsoft Sentinel

  • Articolo

Power BI è una piattaforma di report e analisi che trasforma i dati in visualizzazioni coerenti, immersive e interattive. Power BI consente di connettersi facilmente a origini dati, visualizzare e individuare le relazioni e condividere informazioni dettagliate con chiunque si desideri.

È possibile basare i report di Power BI sui dati di Microsoft Sentinel e condividere i report con persone che non hanno accesso a Microsoft Sentinel. Ad esempio, è possibile condividere informazioni sui tentativi di accesso non riusciti con i proprietari delle app, senza concedere loro l'accesso a Microsoft Sentinel. Le visualizzazioni di Power BI possono fornire i dati a colpo d'occhio.

Microsoft Sentinel viene eseguito nelle aree di lavoro Log Analytics ed è possibile usare Linguaggio di query Kusto (KQL) per eseguire query sui dati.

Questo articolo fornisce una procedura basata su scenari per visualizzare i report di analisi in Power BI per i dati di Microsoft Sentinel. Per altre informazioni, vedere Connessione origini dati e Visualizzare i dati raccolti.

In questo articolo si apprenderà come:

  • Esportare una query KQL in una query del linguaggio M di Power BI.
  • Usare la query M in Power BI Desktop per creare visualizzazioni e un report.
  • Pubblicare il report nel servizio Power BI e condividerlo con altri utenti.
  • Aggiungere il report a un canale di Teams.

Persone a cui è stato concesso l'accesso nel servizio Power BI e ai membri del canale teams, può visualizzare il report senza richiedere autorizzazioni di Microsoft Sentinel.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Per completare i passaggi di questo articolo sono necessari:

  • Almeno l'accesso in lettura a un'area di lavoro di Microsoft Sentinel che monitora i tentativi di accesso.
  • Un account Di Power BI con accesso in lettura all'area di lavoro di Microsoft Sentinel.
  • Power BI Desktop installato da Microsoft Store.

Esportare una query da Microsoft Sentinel

Creare, eseguire ed esportare una query KQL da Microsoft Sentinel.

  1. Per creare una query semplice, in Microsoft Sentinel selezionare Log. Se l'area di lavoro viene eseguita l'onboarding nella piattaforma unificata per le operazioni di sicurezza, selezionare Log generali>.

  2. Nell'editor di query, in Nuova query 1, immettere la query seguente o qualsiasi altra query di Microsoft Sentinel per i dati:

    SigninLogs
|  where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
|  top 10 by Failed
| sort by Failed

  3. Selezionare Esegui per eseguire la query e generare i risultati.

    Screenshot che mostra la query e i risultati di KQL.

  4. Per esportare la query in formato di query M di Power BI, selezionare Esporta e quindi selezionare Esporta in Power BI (query M). La query viene esportata in un file di testo denominato PowerBIQuery.txt.

    Screenshot che mostra l'esportazione di query in formato M di Power BI.

  5. Copiare il contenuto del file esportato.

Ottenere i dati in Power BI Desktop

Eseguire la query M esportata in Power BI Desktop per ottenere i dati.

  1. Aprire Power BI Desktop e accedere all'account Power BI con accesso in lettura all'area di lavoro di Microsoft Sentinel.

    Screenshot che mostra l'accesso a Power BI Desktop.

  2. Nella barra multifunzione di Power BI selezionare Recupera dati e quindi selezionare Query vuota. Verrà aperto il editor di Power Query.

    Screenshot che mostra la query vuota selezionata in Recupera dati in Power BI Desktop.

  3. Nella editor di Power Query selezionare Editor avanzato.

  4. Incollare il contenuto copiato del file PowerBIQuery.txt esportato nella finestra Editor avanzato e quindi selezionare Fine.

    Screenshot che mostra la query M incollata nel Editor avanzato di Power BI.

  5. Nella editor di Power Query rinominare la query in App_signin_stats e quindi selezionare Chiudi e applica.

    Screenshot che mostra la query rinominata e il comando Chiudi e Applica nella editor di Power Query.

Creare visualizzazioni dai dati

Ora che i dati si trovano in Power BI, è possibile creare visualizzazioni per fornire informazioni dettagliate sui dati.

Creare un oggetto visivo tabella

Creare prima di tutto una tabella che mostra tutti i risultati della query.

  1. Per aggiungere una visualizzazione tabella all'area di disegno di Power BI Desktop, selezionare l'icona della tabella in Visualizzazioni.

    Screenshot che mostra l'icona della tabella in Visualizzazioni in Power BI Desktop.

  2. In Campi selezionare tutti i campi nella query, in modo che vengano visualizzati tutti nella tabella. Se la tabella non mostra tutti i dati, ingrandire la tabella trascinandone gli handle di selezione.

    Screenshot che mostra tutti i campi selezionati per la visualizzazione tabella.

Creare un grafico a torta

Creare quindi un grafico a torta che mostra le applicazioni con i tentativi di accesso più non riusciti.

  1. Deselezionare l'oggetto visivo tabella facendo clic o toccandolo all'esterno e quindi in Visualizzazioni selezionare l'icona del grafico a torta .

    Screenshot che mostra l'icona del grafico a torta in Visualizzazioni in Power BI Desktop.

  2. Selezionare AppDisplayName nell'area Legenda oppure trascinarlo dal riquadro Campi. Selezionare Non riuscito nell'area Valori oppure trascinarlo da Campi. Il grafico a torta mostra ora il numero di tentativi di accesso non riusciti per applicazione.

    Screenshot che mostra il grafico a torta con il numero di tentativi di accesso non riusciti per applicazione.

Creare una nuova misura rapida

Si vuole anche visualizzare la percentuale di tentativi di accesso non riusciti per ogni applicazione. Poiché la query non ha una colonna percentuale, è possibile creare una nuova misura per visualizzare queste informazioni.

  1. In Visualizzazioni selezionare l'icona dell'istogramma in pila per creare un istogramma in pila.

    Screenshot che mostra l'icona dell'istogramma in pila in Visualizzazioni in Power BI Desktop.

  2. Con la nuova visualizzazione selezionata, selezionare Misura rapida nella barra multifunzione.

  3. Nella finestra Misure rapide, in Calcolo, selezionare Divisione. Trascinare Failed from Fields (Non riuscito) nel campo Numerator (Numeratore) e trascinare Attempts from Fields to Denominator (Tentativi da campi a denominatore).

    Screenshot che mostra le impostazioni nella finestra Misure rapide.

  4. Seleziona OK. La nuova misura viene visualizzata nel riquadro Campi .

  5. Selezionare la nuova misura nel riquadro Campi e in Formattazione nella barra multifunzione selezionare Percentuale.

    Screenshot che mostra la nuova misura selezionata nel riquadro Campi e Percentuale selezionata in Formattazione nella barra multifunzione.

  6. Con la visualizzazione dell'istogramma selezionata nell'area di disegno, selezionare o trascinare il campo AppDisplayName nell'area Asse e la nuova misura Non riuscito diviso per Tentativi nell'area Valori . Il grafico mostra ora la percentuale di tentativi di accesso non riusciti per ogni applicazione.

    Screenshot che mostra l'istogramma con percentuale di tentativi non riusciti per ogni applicazione.

Aggiornare i dati e salvare il report

  1. Selezionare Aggiorna per ottenere i dati più recenti da Microsoft Sentinel.

    Screenshot che mostra il pulsante Aggiorna nella barra multifunzione.

  2. Selezionare Salva file>e salvare il report di Power BI.

Creare un'area di lavoro online di Power BI

Per creare un'area di lavoro di Power BI per la condivisione del report:

  1. Accedere a powerbi.com con lo stesso account usato per Power BI Desktop e l'accesso in lettura a Microsoft Sentinel.

  2. In Aree di lavoro selezionare Crea un'area di lavoro. Assegnare all'area di lavoro il nome Report di gestione e selezionare Salva.

    Screenshot che mostra La creazione di un'area di lavoro nella servizio Power BI.

  3. Per concedere a utenti e gruppi l'accesso all'area di lavoro, selezionare i puntini Altre opzioni accanto al nuovo nome dell'area di lavoro e quindi selezionare Accesso all'area di lavoro.

    Screenshot che mostra l'accesso all'area di lavoro nel menu Altre opzioni dell'area di lavoro.

  4. Nel riquadro Lato accesso all'area di lavoro è possibile aggiungere gli indirizzi di posta elettronica degli utenti e assegnare a ogni utente un ruolo. I ruoli sono Amministrazione, Membro, Collaboratore e Visualizzatore.

Pubblicare il report Power BI

È ora possibile usare Power BI Desktop per pubblicare il report di Power BI in modo che altri utenti possano visualizzarlo.

  1. Nel nuovo report in Power BI Desktop selezionare Pubblica.

    Screenshot che mostra La pubblicazione nella barra multifunzione di Power BI Desktop.

  2. Selezionare l'area di lavoro Report di gestione in cui pubblicare e selezionare Seleziona.

    Screenshot che mostra la selezione dell'area di lavoro Report di gestione di Power BI in cui eseguire la pubblicazione.

Importare il report in un canale di Microsoft Teams

Si vuole anche che i membri del canale di Teams di gestione siano in grado di visualizzare il report. Per aggiungere il report a un canale di Teams:

  1. Nel canale Management Teams selezionare + per aggiungere una scheda e nella finestra Aggiungi una scheda cercare e selezionare Power BI.

    Screenshot che mostra la selezione di Power BI nella finestra Aggiungi scheda in Teams.

  2. Selezionare il nuovo report dall'elenco dei report di Power BI e selezionare Salva. Il report viene visualizzato in una nuova scheda nel canale teams.

    Screenshot che mostra il report di Power BI in una scheda nel canale teams.

Pianificare l'aggiornamento del report

Aggiornare il report di Power BI in base a una pianificazione, in modo che i dati aggiornati vengano sempre visualizzati nel report.

  1. Nella servizio Power BI selezionare l'area di lavoro in cui è stato pubblicato il report.

  2. Accanto al set di dati del report selezionare Altre opzioni> Impostazioni.

    Screenshot che mostra Impostazioni in Altre opzioni nel set di dati del report di Power BI.

  3. Selezionare Modifica credenziali per fornire le credenziali per un account con accesso in lettura all'area di lavoro Log Analytics.

  4. In Aggiornamento pianificato impostare il dispositivo di scorrimento su e configurare una pianificazione dell'aggiornamento per il report.

    Screenshot che mostra le impostazioni di aggiornamento pianificato per il set di dati del report di Power BI.

Contenuto correlato

Per altre informazioni, vedi: