Udostępnij za pośrednictwem


Tworzenie raportów niestandardowych przy użyciu usługi Power BI

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w usłudze Microsoft Defender for Endpoint dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com
  • ina.api.security.microsoft.com

W tej sekcji dowiesz się, jak utworzyć raport usługi Power BI na podstawie interfejsów API usługi Defender for Endpoint.

W pierwszym przykładzie pokazano, jak połączyć usługę Power BI z zaawansowanym interfejsem API wyszukiwania zagrożeń, a drugi przykład przedstawia połączenie z interfejsami API OData, takimi jak akcje maszynowe lub alerty.

Łączenie usługi Power BI z zaawansowanym interfejsem API wyszukiwania zagrożeń

  1. Otwórz usługę Microsoft Power BI.

  2. Wybierz pozycję Pobierzpuste zapytaniedotyczące danych>.

    Opcja Puste zapytanie w elemencie menu Pobierz dane

  3. Wybierz pozycję Edytor zaawansowany.

    Element menu Edytor zaawansowany

  4. Skopiuj poniższy fragment kodu i wklej go w edytorze:

        let
            AdvancedHuntingQuery = "DeviceEvents | where ActionType contains 'Anti' | limit 20",
    
            HuntingUrl = "https://api.securitycenter.microsoft.com/api/advancedqueries",
    
            Response = Json.Document(Web.Contents(HuntingUrl, [Query=[key=AdvancedHuntingQuery]])),
    
            TypeMap = #table(
                { "Type", "PowerBiType" },
                {
                    { "Double",   Double.Type },
                    { "Int64",    Int64.Type },
                    { "Int32",    Int32.Type },
                    { "Int16",    Int16.Type },
                    { "UInt64",   Number.Type },
                    { "UInt32",   Number.Type },
                    { "UInt16",   Number.Type },
                    { "Byte",     Byte.Type },
                    { "Single",   Single.Type },
                    { "Decimal",  Decimal.Type },
                    { "TimeSpan", Duration.Type },
                    { "DateTime", DateTimeZone.Type },
                    { "String",   Text.Type },
                    { "Boolean",  Logical.Type },
                    { "SByte",    Logical.Type },
                    { "Guid",     Text.Type }
                }),
    
            Schema = Table.FromRecords(Response[Schema]),
            TypedSchema = Table.Join(Table.SelectColumns(Schema, {"Name", "Type"}), {"Type"}, TypeMap , {"Type"}),
            Results = Response[Results],
            Rows = Table.FromRecords(Results, Schema[Name]),
            Table = Table.TransformColumnTypes(Rows, Table.ToList(TypedSchema, (c) => {c{0}, c{2}}))
    
        in Table
    
  5. Wybierz pozycję Gotowe.

  6. Wybierz pozycję Edytuj poświadczenia.

    Element menu Edytuj poświadczenia

  7. Wybierz pozycję Konto organizacyjne>Zaloguj się.

    Opcja Logowanie w elemencie menu konta organizacyjnego

  8. Wprowadź swoje poświadczenia i poczekaj na zalogowanie.

  9. Wybierz pozycję Połącz.

    Komunikat z potwierdzeniem logowania w elemencie menu konta organizacyjnego

Teraz wyniki zapytania są wyświetlane jako tabela i możesz zacząć tworzyć wizualizacje. Możesz zduplikować tę tabelę, zmienić jej nazwę i edytować zapytanie Zaawansowane wyszukiwanie zagrożeń wewnątrz, aby uzyskać dowolne dane.

Łączenie usługi Power BI z interfejsami API OData

Jedyną różnicą w stosunku do poprzedniego przykładu i tego przykładu jest zapytanie wewnątrz edytora.

  1. Otwórz usługę Microsoft Power BI.

  2. Wybierz pozycję Pobierzpuste zapytaniedotyczące danych>.

    Opcja Puste zapytanie w elemencie menu Pobierz dane

  3. Wybierz pozycję Edytor zaawansowany.

    Element menu Edytor zaawansowany

  4. Skopiuj następujący kod i wklej go w edytorze, aby ściągnąć wszystkie akcje maszynowe z organizacji:

        let
    
            Query = "MachineActions",
    
            Source = OData.Feed("https://api.securitycenter.microsoft.com/api/" & Query, null, [Implementation="2.0", MoreColumns=true])
        in
            Source
    

    Możesz to zrobić w przypadku alertów i maszyn. Możesz również użyć zapytań OData dla filtrów zapytań. Zobacz Korzystanie z zapytań OData.

Przykłady pulpitu nawigacyjnego usługi Power BI w usłudze GitHub

Zobacz szablony raportów usługi Power BI.

Przykładowe raporty

Wyświetl przykłady raportów usługi Power BI w usłudze Microsoft Defender for Endpoint.

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.