Twórca niestandardowych raportów Microsoft Defender XDR przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph i usługi Power BI
Dotyczy:
Umożliwienie specjalistom ds. zabezpieczeń wizualizowania danych umożliwia im szybkie rozpoznawanie złożonych wzorców, anomalii i trendów, które w przeciwnym razie mogłyby czaić się pod szumem. Dzięki wizualizacjom zespoły SOC mogą szybko identyfikować zagrożenia, podejmować świadome decyzje i skutecznie przekazywać szczegółowe informacje w całej organizacji.
Istnieje wiele sposobów wizualizacji Microsoft Defender danych zabezpieczeń:
- Nawigowanie po wbudowanych raportach w portalu Microsoft Defender.
- Używanie skoroszytów usługi Microsoft Sentinel ze wstępnie utworzonymi szablonami dla każdego produktu usługi Defender (wymaga integracji z usługą Microsoft Sentinel).
- Stosowanie funkcji renderowania w środowisku Zaawansowane wyszukiwanie zagrożeń.
- Rozszerzanie istniejących możliwości raportowania przy użyciu usługi Power BI.
W tym artykule utworzymy przykładowy pulpit nawigacyjny wydajności usługi Security Operations Center (SOC) w usłudze Power BI przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph. Uzyskujemy do niego dostęp w kontekście użytkownika, dlatego użytkownik musi mieć odpowiednie uprawnienia , aby móc wyświetlać alerty i dane zdarzeń.
Uwaga
Poniższy przykład jest oparty na naszym nowym interfejsie API zabezpieczeń programu MS Graph. Dowiedz się więcej na stronie: Korzystanie z interfejsu API zabezpieczeń programu Microsoft Graph.
Importowanie danych do usługi Power BI
W tej sekcji opisano kroki wymagane do pobrania Microsoft Defender XDR danych do usługi Power BI przy użyciu danych alertów jako przykładu.
Otwórz usługę Microsoft Power BI Desktop.
Wybierz pozycję Pobierz puste zapytanie dotyczące danych>.
Wybierz pozycję Edytor zaawansowany.
Wklej w zapytaniu:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"]) in Source
Wybierz pozycję Gotowe.
Po wyświetleniu monitu o podanie poświadczeń wybierz pozycję Edytuj poświadczenia:
Wybierz pozycję Konto organizacyjne > Zaloguj się.
Wprowadź poświadczenia dla konta z dostępem do Microsoft Defender XDR danych zdarzeń.
Wybierz pozycję Połącz.
Teraz wyniki zapytania są wyświetlane jako tabela i możesz rozpocząć tworzenie wizualizacji.
Porada
Jeśli chcesz wizualizować inne formy danych zabezpieczeń programu Microsoft Graph, takie jak zdarzenia, zaawansowane wyszukiwanie zagrożeń, wskaźnik bezpieczeństwa itp., zobacz Omówienie interfejsu API zabezpieczeń programu Microsoft Graph.
Filtrowanie danych
Usługa Microsoft interfejs Graph API obsługuje protokół OData, aby użytkownicy nie musieli martwić się o podział na strony lub żądać następnego zestawu danych. Jednak filtrowanie danych jest niezbędne do skrócenia czasu ładowania w środowisku zajętym.
Usługa Microsoft interfejs Graph API obsługuje parametry zapytania. Oto kilka przykładów filtrów używanych w raporcie:
Poniższe zapytanie zwraca listę alertów wygenerowanych w ciągu ostatnich trzech dni. Użycie tego zapytania w środowiskach z dużą ilością danych może spowodować załadowanie setek megabajtów danych, co może potrwać chwilę. Korzystając z tego zakodowanej metody, możesz szybko wyświetlić najnowsze alerty w ciągu ostatnich trzech dni od razu po otwarciu raportu.
let AlertDays = "3", TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "", Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"]) in Source
Zamiast zbierać dane w zakresie dat, możemy zbierać alerty w bardziej precyzyjnych datach, wprowadzając datę przy użyciu formatu RRRR-MM-DD.
let StartDate = "YYYY-MM-DD", EndDate = "YYYY-MM-DD", Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"]) in Source
Gdy wymagane są dane historyczne (na przykład porównywanie liczby zdarzeń miesięcznie), filtrowanie według daty nie jest możliwe (ponieważ chcemy posunąć się jak najdalej). W tym przypadku musimy ściągnąć kilka wybranych pól, jak pokazano w poniższym przykładzie:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate & "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"]) in Source
Wprowadzenie do parametrów
Zamiast stale wykonywać zapytania dotyczące kodu w celu dostosowania przedziału czasu, użyj parametrów, aby ustawić datę rozpoczęcia i zakończenia przy każdym otwarciu raportu.
Przejdź do Edytor Power Query.
Wybierz pozycję Zarządzaj parametrami>nowy parametr.
Ustaw żądane parametry.
W poniższym przykładzie używamy dwóch różnych ram czasowych: Daty rozpoczęcia i zakończenia.
Usuń zakodowane wartości z zapytań i upewnij się, że nazwy zmiennych StartDate i EndDate odpowiadają nazwom parametrów:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"]) in Source
Przeglądanie raportu
Po wykonaniu zapytania o dane i ustawieniu parametrów możemy teraz przejrzeć raport. Podczas pierwszego uruchomienia pliku raportu PBIT zostanie wyświetlony monit o podanie podanych wcześniej parametrów:
Pulpit nawigacyjny oferuje trzy karty przeznaczone do udostępniania szczegółowych informacji SOC. Pierwsza karta zawiera podsumowanie wszystkich ostatnich alertów (w zależności od wybranego przedziału czasu). Ta karta pomaga analitykom jasno zrozumieć stan zabezpieczeń środowiska przy użyciu szczegółów alertów podzielonych według źródła wykrywania, ważności, całkowitej liczby alertów i średniego czasu rozwiązania.
Druga karta oferuje więcej informacji na temat danych ataków zebranych w ramach zdarzeń i alertów. Ten widok może zapewnić analitykom większą perspektywę typów wykonywanych ataków i sposobu mapowania ich na strukturę MITRE ATT&CK.
Przykłady pulpitu nawigacyjnego usługi Power BI
Aby uzyskać więcej informacji, zobacz przykładowy plik szablonów raportów usługi Power BI.