Udostępnij za pośrednictwem


Twórca niestandardowych raportów Microsoft Defender XDR przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph i usługi Power BI

Dotyczy:

Umożliwienie specjalistom ds. zabezpieczeń wizualizowania danych umożliwia im szybkie rozpoznawanie złożonych wzorców, anomalii i trendów, które w przeciwnym razie mogłyby czaić się pod szumem. Dzięki wizualizacjom zespoły SOC mogą szybko identyfikować zagrożenia, podejmować świadome decyzje i skutecznie przekazywać szczegółowe informacje w całej organizacji.

Istnieje wiele sposobów wizualizacji Microsoft Defender danych zabezpieczeń:

  • Nawigowanie po wbudowanych raportach w portalu Microsoft Defender.
  • Używanie skoroszytów usługi Microsoft Sentinel ze wstępnie utworzonymi szablonami dla każdego produktu usługi Defender (wymaga integracji z usługą Microsoft Sentinel).
  • Stosowanie funkcji renderowania w środowisku Zaawansowane wyszukiwanie zagrożeń.
  • Rozszerzanie istniejących możliwości raportowania przy użyciu usługi Power BI.

W tym artykule utworzymy przykładowy pulpit nawigacyjny wydajności usługi Security Operations Center (SOC) w usłudze Power BI przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph. Uzyskujemy do niego dostęp w kontekście użytkownika, dlatego użytkownik musi mieć odpowiednie uprawnienia , aby móc wyświetlać alerty i dane zdarzeń.

Uwaga

Poniższy przykład jest oparty na naszym nowym interfejsie API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph.

Importowanie danych do usługi Power BI

W tej sekcji opisano kroki wymagane do pobrania Microsoft Defender XDR danych do usługi Power BI przy użyciu danych alertów jako przykładu.

  1. Otwórz usługę Microsoft Power BI Desktop.

  2. Wybierz pozycję Pobierz puste zapytanie dotyczące danych>.

  3. Wybierz pozycję Edytor zaawansowany.

    Zrzut ekranu przedstawiający sposób tworzenia nowego zapytania dotyczącego danych w Power BI Desktop.

  4. Wklej w zapytaniu:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"])
    in
        Source
    
  5. Wybierz pozycję Gotowe.

  6. Po wyświetleniu monitu o podanie poświadczeń wybierz pozycję Edytuj poświadczenia:

    Zrzut ekranu przedstawiający sposób edytowania poświadczeń dla połączenia interfejsu API.

  7. Wybierz pozycję Konto organizacyjne > Zaloguj się.

    Zrzut ekranu przedstawiający okno uwierzytelniania konta organizacji.

  8. Wprowadź poświadczenia dla konta z dostępem do Microsoft Defender XDR danych zdarzeń.

  9. Wybierz pozycję Połącz.

Teraz wyniki zapytania są wyświetlane jako tabela i możesz rozpocząć tworzenie wizualizacji.

Porada

Jeśli chcesz wizualizować inne formy danych zabezpieczeń programu Microsoft Graph, takie jak zdarzenia, zaawansowane wyszukiwanie zagrożeń, wskaźnik bezpieczeństwa itp., zobacz Omówienie interfejsu API zabezpieczeń programu Microsoft Graph.

Filtrowanie danych

Usługa Microsoft interfejs Graph API obsługuje protokół OData, aby użytkownicy nie musieli martwić się o podział na strony lub żądać następnego zestawu danych. Jednak filtrowanie danych jest niezbędne do skrócenia czasu ładowania w środowisku zajętym.

Usługa Microsoft interfejs Graph API obsługuje parametry zapytania. Oto kilka przykładów filtrów używanych w raporcie:

  • Poniższe zapytanie zwraca listę alertów wygenerowanych w ciągu ostatnich trzech dni. Użycie tego zapytania w środowiskach z dużą ilością danych może spowodować załadowanie setek megabajtów danych, co może potrwać chwilę. Korzystając z tego zakodowanej metody, możesz szybko wyświetlić najnowsze alerty w ciągu ostatnich trzech dni od razu po otwarciu raportu.

    let
        AlertDays = "3",
        TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"])
    in
        Source
    
  • Zamiast zbierać dane w zakresie dat, możemy zbierać alerty w bardziej precyzyjnych datach, wprowadzając datę przy użyciu formatu RRRR-MM-DD.

    let
        StartDate = "YYYY-MM-DD",
        EndDate = "YYYY-MM-DD",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    
  • Gdy wymagane są dane historyczne (na przykład porównywanie liczby zdarzeń miesięcznie), filtrowanie według daty nie jest możliwe (ponieważ chcemy posunąć się jak najdalej). W tym przypadku musimy ściągnąć kilka wybranych pól, jak pokazano w poniższym przykładzie:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate &
    "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"])
    in
        Source
    

Wprowadzenie do parametrów

Zamiast stale wykonywać zapytania dotyczące kodu w celu dostosowania przedziału czasu, użyj parametrów, aby ustawić datę rozpoczęcia i zakończenia przy każdym otwarciu raportu.

  1. Przejdź do Edytor Power Query.

  2. Wybierz pozycję Zarządzaj parametrami>nowy parametr.

  3. Ustaw żądane parametry.

    W poniższym przykładzie używamy dwóch różnych ram czasowych: Daty rozpoczęcia i zakończenia.

    Zrzut ekranu przedstawiający sposób zarządzania parametrami w usłudze Power BI.

  4. Usuń zakodowane wartości z zapytań i upewnij się, że nazwy zmiennych StartDate i EndDate odpowiadają nazwom parametrów:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    

Przeglądanie raportu

Po wykonaniu zapytania o dane i ustawieniu parametrów możemy teraz przejrzeć raport. Podczas pierwszego uruchomienia pliku raportu PBIT zostanie wyświetlony monit o podanie podanych wcześniej parametrów:

Zrzut ekranu przedstawiający okno wiersza polecenia parametru szablonu usługi Power BI.

Pulpit nawigacyjny oferuje trzy karty przeznaczone do udostępniania szczegółowych informacji SOC. Pierwsza karta zawiera podsumowanie wszystkich ostatnich alertów (w zależności od wybranego przedziału czasu). Ta karta pomaga analitykom jasno zrozumieć stan zabezpieczeń środowiska przy użyciu szczegółów alertów podzielonych według źródła wykrywania, ważności, całkowitej liczby alertów i średniego czasu rozwiązania.

Zrzut ekranu przedstawiający kartę alertów wynikowego raportu usługi Power BI.

Druga karta oferuje więcej informacji na temat danych ataków zebranych w ramach zdarzeń i alertów. Ten widok może zapewnić analitykom większą perspektywę typów wykonywanych ataków i sposobu mapowania ich na strukturę MITRE ATT&CK.

Zrzut ekranu przedstawiający kartę szczegółowych informacji w wynikowym raporcie usługi Power BI.

Przykłady pulpitu nawigacyjnego usługi Power BI

Aby uzyskać więcej informacji, zobacz przykładowy plik szablonów raportów usługi Power BI.