Opprette en Power BI-rapport fra Microsoft Sentinel data

Power BI er en rapporterings- og analyseplattform som gjør data om til sammenhengende, engasjerende, interaktive visualiseringer. Med Power BI kan du enkelt koble til datakilder, visualisere og oppdage relasjoner og dele innsikt med hvem du vil.

Du kan basere Power BI-rapporter på data fra Microsoft Sentinel og dele disse rapportene med personer som ikke har tilgang til Microsoft Sentinel. Du kan for eksempel dele informasjon om mislykkede påloggingsforsøk med appeiere, uten å gi dem Microsoft Sentinel tilgang. Power BI-visualiseringer kan gi dataene med et øyekast.

Microsoft Sentinel kjører på Log Analytics-arbeidsområder, og du kan bruke Kusto Query Language (KQL) til å spørre etter dataene.

Denne artikkelen inneholder en scenariobasert prosedyre for å vise analyserapporter i Power BI for Microsoft Sentinel data. Hvis du vil ha mer informasjon, kan du se Koble til datakilder og Visualisere innsamlede data.

I denne artikkelen gjør du følgende:

  • Eksporter en KQL-spørring til en Power BI M-språkspørring.
  • Bruk M-spørringen i Power BI Desktop til å opprette visualiseringer og en rapport.
  • Publiser rapporten til Power Bi-tjeneste, og del den med andre.
  • Legg til rapporten i en Teams-kanal.

People du har gitt tilgang i Power Bi-tjeneste, og medlemmer av Teams-kanalen, kan se rapporten uten å måtte ha Microsoft Sentinel tillatelser.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Forutsetninger

Du trenger følgende for å fullføre trinnene i denne artikkelen:

Eksportere en spørring fra Microsoft Sentinel

Opprett, kjør og eksporter en KQL-spørring fra Microsoft Sentinel.

  1. Hvis du vil opprette en enkel spørring, velger du Logger i Microsoft Sentinel. Hvis arbeidsområdet er innebygd i Microsoft Defender-portalen, velger du Generelle > logger.

  2. Skriv inn følgende spørring under Ny spørring 1 i redigeringsprogrammet for spørring, eller andre Microsoft Sentinel spørringer for dataene:

    SigninLogs
| where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
| top 10 by Failed
| sort by Failed

    Se mer informasjon om følgende elementer som brukes i eksemplet ovenfor, i Kusto-dokumentasjonen:

    Hvis du vil ha mer informasjon om KQL, kan du se Oversikt over Kusto-spørringsspråk (KQL).

    Andre ressurser:

  3. Velg Kjør for å kjøre spørringen og generere resultater.

    Skjermbilde som viser KQL-spørringen og -resultatene.

  4. Hvis du vil eksportere spørringen til Power BI M-spørringsformat, velger du Eksporter og deretter Eksporter til Power BI (M-spørring). Spørringen eksporteres til en tekstfil kalt PowerBIQuery.txt.

    Skjermbilde som viser spørringseksport til Power BI M-format.

  5. Kopier innholdet i den eksporterte filen.

Hent dataene i Power BI Desktop

Kjør den eksporterte M-spørringen i Power BI Desktop for å hente data.

  1. Åpne Power BI Desktop, og logg deg på Power BI-kontoen som har lesetilgang til Microsoft Sentinel arbeidsområdet.

    Skjermbilde som viser pålogging for å Power BI Desktop.

  2. Velg Hent data på Power BI-båndet, og velg deretter Tom spørring. Power Query-redigering åpnes.

    Skjermbilde som viser Tom spørring valgt under Hent data i Power BI Desktop.

  3. Velg avansert redigering i Power Query-redigering.

  4. Lim inn det kopierte innholdet i den eksporterte PowerBIQuery.txt filen i avansert redigering-vinduet, og velg deretter Ferdig.

    Skjermbilde som viser M-spørringen som er limt inn i Power BI-avansert redigering.

  5. Gi App_signin_stats nytt navn til spørringen i Power Query-redigering, og velg deretter Lukk & Bruk.

    Skjermbilde som viser spørringen med nytt navn og kommandoen Lukk & Bruk i Power Query-redigering.

Opprette visualiseringer fra dataene

Nå som dataene er i Power BI, kan du opprette visualiseringer for å gi innsikt i dataene.

Opprett et tabellvisualobjekt

Først oppretter du en tabell som viser alle resultatene av spørringen.

  1. Hvis du vil legge til en tabellvisualisering på Power BI Desktop-lerretet, velger du tabellikonet under Visualiseringer.

    Skjermbilde som viser tabellikonet under Visualiseringer i Power BI Desktop.

  2. Merk alle feltene i spørringen under Felter, slik at alle vises i tabellen. Hvis tabellen ikke viser alle dataene, forstørrer du tabellen ved å dra markeringshåndtakene.

    Skjermbilde som viser alle feltene som er valgt for tabellvisualiseringen.

Opprette et sektordiagram

Deretter oppretter du et sektordiagram som viser hvilke programmer som hadde flest mislykkede påloggingsforsøk.

  1. Fjern merkingen av tabellvisualobjektet ved å klikke eller trykke utenfor det, og velg deretter sektordiagramikonet under Visualiseringer.

    Skjermbilde som viser sektordiagramikonet under Visualiseringer i Power BI Desktop.

  2. Velg AppDisplayName i forklaringsområdet , eller dra det fra Felter-ruten . Velg Mislyktes i Verdier-brønnen , eller dra den fra Felter. Sektordiagrammet viser nå antall mislykkede påloggingsforsøk per program.

    Skjermbilde som viser sektordiagrammet med antall mislykkede påloggingsforsøk per program.

Opprett en ny rask oppretting av mål

Du vil også vise hvor mange prosent av påloggingsforsøkene som mislyktes for hvert program. Siden spørringen ikke har en prosentkolonne, kan du opprette et nytt mål for å vise denne informasjonen.

  1. Velg ikonet for stablet stolpediagram under Visualiseringer for å opprette et stablet stolpediagram.

    Skjermbilde som viser ikonet for stablet stolpediagram under Visualiseringer i Power BI Desktop.

  2. Når den nye visualiseringen er valgt, velger du Rask oppretting av mål på båndet.

  3. Velg Divisjon under Beregning i hurtigmålvinduet. Dra Mislyktes fra Felt til Teller-feltet , og dra Forsøk fra Felt til Nevner.

    Skjermbilde som viser innstillingene i hurtigmålvinduet.

  4. Velg OK. Det nye målet vises i Felter-ruten .

  5. Velg det nye målet i Felter-ruten, og velg Prosent under Formatering på båndet.

    Skjermbilde som viser det nye målet som er valgt i Felter-ruten, og Prosent valgt under Formatering på båndet.

  6. Når visualiseringen av stolpediagrammet er valgt på lerretet, velger eller drar du AppDisplayName-feltet til aksebrønnen , og den nye Failed dividert med Attempts-målet inn i Verdier-brønnen . Diagrammet viser nå prosentandelen mislykkede påloggingsforsøk for hvert program.

    Skjermbilde som viser stolpediagrammet med prosentvis mislykkede forsøk for hvert program.

Oppdatere dataene og lagre rapporten

  1. Velg Oppdater for å hente de nyeste dataene fra Microsoft Sentinel.

    Skjermbilde som viser Oppdater-knappen på båndet.

  2. Velg Fillagring> og lagre Power BI-rapporten.

Opprett et arbeidsområde på nettet i Power BI

Slik oppretter du et Power BI-arbeidsområde for deling av rapporten:

  1. Logg deg på powerbi.com med den samme kontoen du brukte for Power BI Desktop, og Microsoft Sentinel lesetilgang.

  2. Velg Opprett et arbeidsområde under Arbeidsområder. Gi navn til administrasjonsrapportene for arbeidsområdet, og velg Lagre.

    Skjermbilde som viser Opprett et arbeidsområde i Power Bi-tjeneste.

  3. Hvis du vil gi personer og grupper tilgang til arbeidsområdet, velger du Flere alternativer-prikkene ved siden av det nye navnet på arbeidsområdet, og deretter velger du Arbeidsområdetilgang.

    Skjermbilde som viser arbeidsområdetilgang i menyen Flere alternativer i arbeidsområdet.

  4. I sideruten for arbeidsområdetilgang kan du legge til brukernes e-postadresser og tilordne hver bruker en rolle. Rollene er Admin, medlem, bidragsyter og seer.

Publiser Power BI-rapporten

Nå kan du bruke Power BI Desktop til å publisere Power BI-rapporten slik at andre kan se den.

  1. Velg Publiser i den nye rapporten i Power BI Desktop.

    Skjermbilde som viser Publiser på båndet Power BI Desktop.

  2. Velg arbeidsområdet for administrasjonsrapporter du vil publisere til, og velg Velg.

    Skjermbilde som viser hvordan du velger arbeidsområdet for administrasjonsrapporter for Power BI som du vil publisere til.

Importere rapporten til en Microsoft Teams-kanal

Du vil også at medlemmer av Management Teams-kanalen skal kunne se rapporten. Slik legger du til rapporten i en Teams-kanal:

  1. Velg + for å legge til en fane i Administrasjonsteam-kanalen, og søk etter og velg Power BI i vinduet Legg til en fane.

    Skjermbilde som viser hvordan du velger Power BI i vinduet Legg til en fane i Teams.

  2. Velg den nye rapporten fra listen over Power BI-rapporter, og velg Lagre. Rapporten vises i en ny fane i Teams-kanalen.

    Skjermbilde som viser Power BI-rapporten i en fane i Teams-kanalen.

Planlegg rapportoppdatering

Oppdater Power BI-rapporten etter en tidsplan, slik at oppdaterte data alltid vises i rapporten.

  1. Velg arbeidsområdet du publiserte rapporten til, i Power Bi-tjeneste.

  2. Velg Flere alternativer> ved siden av rapportens datasett.

    Skjermbilde som viser Innstillinger under Flere alternativer i rapportdatasettet for Power BI.

  3. Velg Rediger legitimasjon for å angi legitimasjonen for en konto som har lesetilgang til arbeidsområdet Log Analytics.

  4. Angi glidebryteren til under Planlagt oppdatering, og konfigurer en oppdateringsplan for rapporten.

    Skjermbilde som viser innstillinger for planlagt oppdatering for rapportdatasettet for Power BI.

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se:

  • Last updated on