Skapa en Power BI-rapport från Microsoft Sentinel data

Power BI är en rapporterings- och analysplattform som omvandlar data till sammanhängande, integrerande, interaktiva visualiseringar. Med Power BI kan du enkelt ansluta till datakällor, visualisera och identifiera relationer och dela insikter med vem du vill.

Du kan basera Power BI-rapporter på data från Microsoft Sentinel och dela dessa rapporter med personer som inte har åtkomst till Microsoft Sentinel. Du kanske till exempel vill dela information om misslyckade inloggningsförsök med appägare, utan att ge dem Microsoft Sentinel åtkomst. Power BI-visualiseringar kan ge data snabbt.

Microsoft Sentinel körs på Log Analytics-arbetsytor och du kan använda Kusto-frågespråk (KQL) för att fråga efter data.

Den här artikeln innehåller en scenariobaserad procedur för att visa analysrapporter i Power BI för dina Microsoft Sentinel data. Mer information finns i Ansluta datakällor och Visualisera insamlade data.

I den här artikeln får du:

  • Exportera en KQL-fråga till en Power BI M-språkfråga.
  • Använd M-frågan i Power BI Desktop för att skapa visualiseringar och en rapport.
  • Publicera rapporten till Power BI-tjänst och dela den med andra.
  • Lägg till rapporten i en Teams-kanal.

People du har beviljat åtkomst i Power BI-tjänst och medlemmar i Teams-kanalen kan se rapporten utan att behöva Microsoft Sentinel behörigheter.

Viktigt

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.

Förhandskrav

För att slutföra stegen i den här artikeln behöver du:

Exportera en fråga från Microsoft Sentinel

Skapa, köra och exportera en KQL-fråga från Microsoft Sentinel.

  1. Om du vill skapa en enkel fråga går du till Microsoft Sentinel och väljer Loggar. Om arbetsytan har registrerats i Microsoft Defender-portalen väljer du Allmänna > loggar.

  2. I frågeredigeraren, under Ny fråga 1, anger du följande fråga eller någon annan Microsoft Sentinel fråga för dina data:

    SigninLogs
| where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
| top 10 by Failed
| sort by Failed

    Mer information om följande objekt som används i föregående exempel finns i Kusto-dokumentationen:

    Mer information om KQL finns i översikten över Kusto-frågespråk (KQL).

    Andra resurser:

  3. Välj Kör för att köra frågan och generera resultat.

    Skärmbild som visar KQL-frågan och resultaten.

  4. Om du vill exportera frågan till Power BI M-frågeformat väljer du Exportera och sedan Exportera till Power BI (M-fråga). Frågan exporteras till en textfil med namnet PowerBIQuery.txt.

    Skärmbild som visar frågan Exportera till Power BI M-format.

  5. Kopiera innehållet i den exporterade filen.

Hämta data i Power BI Desktop

Kör den exporterade M-frågan i Power BI Desktop för att hämta data.

  1. Öppna Power BI Desktop och logga in på ditt Power BI-konto som har läsbehörighet till din Microsoft Sentinel arbetsyta.

    Skärmbild som visar inloggning till Power BI Desktop.

  2. I menyfliksområdet i Power BI väljer du Hämta data och sedan Tom fråga. Power Query-redigeraren öppnas.

    Skärmbild som visar tom fråga vald under Hämta data i Power BI Desktop.

  3. I Power Query-redigeraren väljer du Avancerad redigerare.

  4. Klistra in det kopierade innehållet i den exporterade PowerBIQuery.txt-filen i Avancerad redigerare-fönstret och välj sedan Klar.

    Skärmbild som visar M-frågan inklistrade i Power BI-Avancerad redigerare.

  5. I Power Query-redigeraren byter du namn på frågan till App_signin_stats och väljer sedan Stäng & Använd.

    Skärmbild som visar den omdöpta frågan och kommandot Stäng & Använd i Power Query-redigeraren.

Skapa visualiseringar från data

Nu när dina data finns i Power BI kan du skapa visualiseringar för att ge insikter om data.

Skapa ett visuellt tabellobjekt

Skapa först en tabell som visar alla resultat av frågan.

  1. Om du vill lägga till en tabellvisualisering på Power BI Desktop arbetsyta väljer du tabellikonen under Visualiseringar.

    Skärmbild som visar tabellikonen under Visualiseringar i Power BI Desktop.

  2. Under Fält markerar du alla fält i frågan så att alla visas i tabellen. Om tabellen inte visar alla data förstorar du tabellen genom att dra dess markeringshandtag.

    Skärmbild som visar alla fält som valts för tabellvisualiseringen.

Skapa ett cirkeldiagram

Skapa sedan ett cirkeldiagram som visar vilka program som hade flest misslyckade inloggningsförsök.

  1. Avmarkera det visuella tabellobjektet genom att klicka eller trycka utanför det och välj sedan cirkeldiagramikonen under Visualiseringar.

    Skärmbild som visar cirkeldiagramsikonen under Visualiseringar i Power BI Desktop.

  2. Välj AppDisplayName i området Förklaring eller dra det från fönstret Fält . Välj Misslyckades i brunnen Värden eller dra den från Fält. Cirkeldiagrammet visar nu antalet misslyckade inloggningsförsök per program.

    Skärmbild som visar cirkeldiagrammet med antalet misslyckade inloggningsförsök per program.

Skapa ett nytt snabbmått

Du vill också visa vilken procentandel av inloggningsförsöken som misslyckades för varje program. Eftersom frågan inte har någon procentkolumn kan du skapa ett nytt mått för att visa den här informationen.

  1. Under Visualiseringar väljer du ikonen för staplat stapeldiagram för att skapa ett stående stapeldiagram.

    Skärmbild som visar ikonen för stående stapeldiagram under Visualiseringar i Power BI Desktop.

  2. När du har valt den nya visualiseringen väljer du Snabbmått i menyfliksområdet.

  3. I fönstret Snabbmått går du till Beräkning och väljer Division. Dra Misslyckades från fält till täljarfältet och dra Försök från fält till Nämnare.

    Skärmbild som visar inställningarna i fönstret Snabbmått.

  4. Välj OK. Det nya måttet visas i fönstret Fält .

  5. Välj det nya måttet i fönstret Fält och under Formatering i menyfliksområdet väljer du Procent.

    Skärmbild som visar det nya mått som valts i fönstret Fält och Procent valt under Formatering i menyfliksområdet.

  6. När stapeldiagramsvisualiseringen har valts på arbetsytan markerar eller drar du fältet AppDisplayName till källan Axel och det nya måttet Misslyckades dividerat med Försök i brunnen Värden . Diagrammet visar nu procentandelen misslyckade inloggningsförsök för varje program.

    Skärmbild som visar stapeldiagrammet med procentandelen misslyckade försök för varje program.

Uppdatera data och spara rapporten

  1. Välj Uppdatera för att hämta de senaste data från Microsoft Sentinel.

    Skärmbild som visar knappen Uppdatera i menyfliksområdet.

  2. VäljSpara fil och spara din Power BI-rapport>.

Skapa en Power BI Online-arbetsyta

Så här skapar du en Power BI-arbetsyta för att dela rapporten:

  1. Logga in på powerbi.com med samma konto som du använde för Power BI Desktop och Microsoft Sentinel läsåtkomst.

  2. Under Arbetsytor väljer du Skapa en arbetsyta. Namnge arbetsytans hanteringsrapporter och välj Spara.

    Skärmbild som visar Skapa en arbetsyta i Power BI-tjänst.

  3. Om du vill ge personer och grupper åtkomst till arbetsytan väljer du fler alternativpunkter bredvid namnet på den nya arbetsytan och väljer sedan Åtkomst till arbetsyta.

    Skärmbild som visar åtkomst till arbetsyta på menyn Fler alternativ för arbetsytan.

  4. I fönstret Åtkomst till arbetsyta kan du lägga till användarnas e-postadresser och tilldela varje användare en roll. Rollerna är Admin, Medlem, Deltagare och Läsare.

Publicera Power BI-rapporten

Nu kan du använda Power BI Desktop för att publicera din Power BI-rapport så att andra kan se den.

  1. I den nya rapporten i Power BI Desktop väljer du Publicera.

    Skärmbild som visar Publicera i menyfliksområdet Power BI Desktop.

  2. Välj arbetsytan Hanteringsrapporter som du vill publicera till och välj Välj.

    Skärmbild som visar hur du väljer arbetsytan Power BI-hanteringsrapporter att publicera till.

Importera rapporten till en Microsoft Teams-kanal

Du vill också att medlemmar i Management Teams-kanalen ska kunna se rapporten. Så här lägger du till rapporten i en Teams-kanal:

  1. I kanalen Hanteringsteam väljer du + för att lägga till en flik. I fönstret Lägg till en flik söker du efter och väljer Power BI.

    Skärmbild som visar hur du väljer Power BI i fönstret Lägg till en flik i Teams.

  2. Välj din nya rapport i listan över Power BI-rapporter och välj Spara. Rapporten visas på en ny flik i Teams-kanalen.

    Skärmbild som visar Power BI-rapporten på en flik i Teams-kanalen.

Schemalägg rapportuppdatering

Uppdatera Power BI-rapporten enligt ett schema, så uppdaterade data visas alltid i rapporten.

  1. I Power BI-tjänst väljer du arbetsytan som du publicerade rapporten till.

  2. Bredvid rapportens datauppsättning väljer du Fler alternativ>Inställningar.

    Skärmbild som visar Inställningar under Fler alternativ i Power BI-rapportdatauppsättningen.

  3. Välj Redigera autentiseringsuppgifter för att ange autentiseringsuppgifterna för ett konto som har läsbehörighet till Log Analytics-arbetsytan.

  4. Under Schemalagd uppdatering ställer du in skjutreglaget på På och konfigurerar ett uppdateringsschema för rapporten.

    Skärmbild som visar inställningar för schemalagd uppdatering för Power BI-rapportdatauppsättningen.

Relaterat innehåll

Mer information finns i:

  • Last updated on