Een Power BI-rapport maken op basis van Microsoft Sentinel-gegevens
Power BI is een rapportage- en analyseplatform waarmee gegevens worden omgezet in coherente, meeslepende, interactieve visualisaties. Met Power BI kunt u eenvoudig verbinding maken met gegevensbronnen, relaties visualiseren en ontdekken en inzichten delen met de gewenste personen.
U kunt Power BI-rapporten baseren op gegevens van Microsoft Sentinel en deze rapporten delen met personen die geen toegang hebben tot Microsoft Sentinel. U kunt bijvoorbeeld informatie delen over mislukte aanmeldingspogingen met app-eigenaren, zonder hen Microsoft Sentinel-toegang te verlenen. Power BI-visualisaties kunnen de gegevens in één oogopslag bieden.
Microsoft Sentinel wordt uitgevoerd op Log Analytics-werkruimten en u kunt Kusto-querytaal (KQL) gebruiken om een query uit te voeren op de gegevens.
Dit artikel bevat een procedure op basis van scenario's voor het weergeven van analyserapporten in Power BI voor uw Microsoft Sentinel-gegevens. Zie Verbinding maken met gegevensbronnen en Verzamelde gegevens visualiseren voor meer informatie.
In dit artikel leert u het volgende:
- Een KQL-query exporteren naar een Power BI M-taalquery.
- Gebruik de M-query in Power BI Desktop om visualisaties en een rapport te maken.
- Publiceer het rapport naar het Power BI-service en deel het met anderen.
- Voeg het rapport toe aan een Teams-kanaal.
Personen die u toegang hebt verleend in de Power BI-service en leden van het Teams-kanaal, kunnen het rapport zien zonder dat u Microsoft Sentinel-machtigingen nodig hebt.
Belangrijk
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Vereisten
U hebt het volgende nodig om de stappen in dit artikel te voltooien:
- Ten minste leestoegang tot een Microsoft Sentinel-werkruimte die aanmeldingspogingen bewaakt.
- Een Power BI-account met leestoegang tot uw Microsoft Sentinel-werkruimte.
- Power BI Desktop geïnstalleerd vanuit de Microsoft Store.
Een query exporteren uit Microsoft Sentinel
Een KQL-query maken, uitvoeren en exporteren vanuit Microsoft Sentinel.
Als u een eenvoudige query wilt maken, selecteert u logboeken in Microsoft Sentinel. Als uw werkruimte is toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen, selecteert u Algemene > logboeken.
Voer in de queryeditor onder Nieuwe query 1 de volgende query of een andere Microsoft Sentinel-query in voor uw gegevens:
SigninLogs | where TimeGenerated >ago(7d) | summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName | top 10 by Failed | sort by Failed
Selecteer Uitvoeren om de query uit te voeren en resultaten te genereren.
Als u de query wilt exporteren naar de Power BI M-queryindeling, selecteert u Exporteren en selecteert u Exporteren naar Power BI (M-query). De query wordt geëxporteerd naar een tekstbestand met de naam PowerBIQuery.txt.
Kopieer de inhoud van het geëxporteerde bestand.
De gegevens ophalen in Power BI Desktop
Voer de geëxporteerde M-query uit in Power BI Desktop om gegevens op te halen.
Open Power BI Desktop en meld u aan bij uw Power BI-account met leestoegang tot uw Microsoft Sentinel-werkruimte.
Selecteer gegevens ophalen in het Power BI-lint en selecteer vervolgens Lege query. De Power Query-editor wordt geopend.
Selecteer Geavanceerde editor in de Power Query-editor.
Plak de gekopieerde inhoud van het geëxporteerde PowerBIQuery.txt-bestand in het Geavanceerde editor venster en selecteer Vervolgens Gereed.
Wijzig in de Power Query-editor de naam van de query in App_signin_stats en selecteer vervolgens Sluiten en toepassen.
Visualisaties maken op basis van de gegevens
Nu uw gegevens zich in Power BI bevindt, kunt u visualisaties maken om inzicht te krijgen in de gegevens.
Een tabelvisual maken
Maak eerst een tabel waarin alle resultaten van de query worden weergegeven.
Als u een tabelvisualisatie wilt toevoegen aan het Power BI Desktop-canvas, selecteert u het tabelpictogram onder Visualisaties.
Selecteer onder Velden alle velden in uw query, zodat ze allemaal in de tabel worden weergegeven. Als in de tabel niet alle gegevens worden weergegeven, vergroot u de tabel door de selectiegrepen te slepen.
Een cirkeldiagram maken
Maak vervolgens een cirkeldiagram waarin wordt weergegeven welke toepassingen de meest mislukte aanmeldingspogingen hadden.
Hef de selectie van de tabelvisual op door erbuiten te klikken of tikken en selecteer vervolgens onder Visualisaties het cirkeldiagrampictogram .
Selecteer AppDisplayName in de legendabron of sleep deze vanuit het deelvenster Velden . Selecteer Mislukt in de bron Waarden of sleep deze vanuit Velden. In het cirkeldiagram ziet u nu het aantal mislukte aanmeldingspogingen per toepassing.
Een nieuwe snelle meting maken
U wilt ook weergeven welk percentage aanmeldingspogingen is mislukt voor elke toepassing. Omdat uw query geen percentagekolom heeft, kunt u een nieuwe meting maken om deze informatie weer te geven.
Selecteer onder Visualisaties het pictogram van het gestapelde kolomdiagram om een gestapeld kolomdiagram te maken.
Selecteer Snelle meting op het lint terwijl de nieuwe visualisatie is geselecteerd.
Selecteer In het venster Snelle metingen onder Berekening de optie Delen. Sleep Mislukt van Velden naar het veld Teller en sleep Pogingen van Velden naar Noemer.
Selecteer OK. De nieuwe meting wordt weergegeven in het deelvenster Velden .
Selecteer de nieuwe meting in het deelvenster Velden en selecteer onder Opmaak op het lint percentage.
Selecteer of sleep met de visualisatie van het kolomdiagram op het canvas het veld AppDisplayName naar de bron As en de nieuwe meting Mislukt gedeeld door pogingen in de bron Waarden . In de grafiek ziet u nu het percentage mislukte aanmeldingspogingen voor elke toepassing.
Vernieuw de gegevens en sla het rapport op
Selecteer Vernieuwen om de meest recente gegevens van Microsoft Sentinel op te halen.
Selecteer Bestand>opslaan en sla uw Power BI-rapport op.
Een online Power BI-werkruimte maken
Een Power BI-werkruimte maken voor het delen van het rapport:
Meld u aan bij powerbi.com met hetzelfde account dat u hebt gebruikt voor Leestoegang van Power BI Desktop en Microsoft Sentinel.
Selecteer onder Werkruimten de optie Een werkruimte maken. Geef de werkruimtebeheerrapporten een naam en selecteer Opslaan.
Als u personen en groepen toegang wilt verlenen tot de werkruimte, selecteert u de puntjes Meer opties naast de naam van de nieuwe werkruimte en selecteert u vervolgens Werkruimtetoegang.
In het zijvenster voor toegang tot werkruimte kunt u e-mailadressen van gebruikers toevoegen en elke gebruiker een rol toewijzen. De rollen zijn Beheerder, Lid, Inzender en Viewer.
Het Power BI-rapport publiceren
U kunt nu Power BI Desktop gebruiken om uw Power BI-rapport te publiceren, zodat anderen het kunnen zien.
Selecteer Publiceren in uw nieuwe rapport in Power BI Desktop.
Selecteer de werkruimte Beheerrapporten om naar te publiceren en selecteer Selecteren.
Het rapport importeren in een Microsoft Teams-kanaal
U wilt ook dat leden van het Management Teams-kanaal het rapport kunnen zien. Het rapport toevoegen aan een Teams-kanaal:
Selecteer + in het beheer teams-kanaal om een tabblad toe te voegen en zoek en selecteer Power BI in het venster Een tabblad toevoegen.
Selecteer uw nieuwe rapport in de lijst met Power BI-rapporten en selecteer Opslaan. Het rapport wordt weergegeven op een nieuw tabblad in het Teams-kanaal.
Rapport vernieuwen plannen
Vernieuw uw Power BI-rapport volgens een planning, zodat bijgewerkte gegevens altijd in het rapport worden weergegeven.
Selecteer in de Power BI-service de werkruimte waarnaar u het rapport hebt gepubliceerd.
Selecteer Naast de gegevensset van het rapport meer opties.>
Selecteer Referenties bewerken om de referenties op te geven voor een account met leestoegang tot de Log Analytics-werkruimte.
Stel onder Geplande vernieuwing de schuifregelaar in op Aan en stel een vernieuwingsschema voor het rapport in.
Gerelateerde inhoud
Zie voor meer informatie: