Share via


Microsoft Graph güvenlik API'sini ve Power BI'ı kullanarak özel Microsoft Defender XDR raporları İçerik Oluşturucu

Şunlar için geçerlidir:

Güvenlik uzmanlarının verilerini görselleştirmesini sağlamak, karmaşık desenleri, anomalileri ve aksi takdirde gürültü altında gizlenen eğilimleri hızla tanımalarını sağlar. Görselleştirmelerle SOC ekipleri tehditleri hızla tanımlayabilir, bilinçli kararlar alabilir ve içgörüleri kuruluş genelinde etkili bir şekilde iletebilir.

Microsoft Defender güvenlik verilerini görselleştirmenin birden çok yolu vardır:

  • Microsoft Defender portalında yerleşik raporlarda gezinme.
  • Microsoft Sentinel çalışma kitaplarını her Defender ürünü için önceden oluşturulmuş şablonlarla kullanma (Microsoft Sentinel ile tümleştirme gerektirir).
  • Gelişmiş Avcılık'ta işleme işlevini uygulama.
  • Mevcut raporlama özelliklerini genişletmek için Power BI kullanma.

Bu makalede, Microsoft Graph güvenlik API'sini kullanarak Power BI'da örnek bir Güvenlik İşlemleri Merkezi (SOC) verimlilik panosu oluşturacağız. Kullanıcı bağlamında erişiyoruz, bu nedenle kullanıcının uyarıları ve olay verilerini görüntüleyebilmesi için ilgili izinlere sahip olması gerekir.

Not

Aşağıdaki örnek, yeni MS Graph güvenlik API'mizi temel alır. Daha fazla bilgi için bkz. Microsoft Graph güvenlik API'sini kullanma.

Power BI'a veri aktarma

Bu bölümde, örnek olarak Uyarılar verilerini kullanarak Microsoft Defender XDR verileri Power BI'a almak için gereken adımları inceleyeceğiz.

  1. Microsoft Power BI Desktop'i açın.

  2. Boş Veri > Al Sorgu'yu seçin.

  3. Gelişmiş Düzenleyici'ı seçin.

    Power BI Desktop'da yeni veri sorgusu oluşturma adımlarını gösteren ekran görüntüsü.

  4. Sorguya Yapıştır:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"])
    in
        Source
    
  5. Bitti'yi seçin.

  6. Kimlik bilgileri istendiğinde Kimlik Bilgilerini Düzenle'yi seçin:

    API bağlantısı için kimlik bilgilerinin nasıl düzenleyebileceğinizin ekran görüntüsü.

  7. Kuruluş hesabı > Oturum aç'ı seçin.

    Kuruluş hesabı kimlik doğrulama penceresinin ekran görüntüsü.

  8. Microsoft Defender XDR olay verilerine erişimi olan hesabın kimlik bilgilerini girin.

  9. Bağlan'ı seçin.

Artık sorgunuzun sonuçları bir tablo olarak görünür ve üzerine görselleştirmeler oluşturmaya başlayabilirsiniz.

İpucu

Olaylar, Gelişmiş Tehdit Avcılığı, Güvenli Puan vb. gibi diğer Microsoft Graph güvenlik verilerini görselleştirmek istiyorsanız bkz. Microsoft Graph güvenlik API'sine Genel Bakış.

Verileri filtreleme

Microsoft Graph API, kullanıcıların sayfalandırma konusunda endişelenmemesi veya bir sonraki veri kümesini istememesi için OData protokollerini destekler. Ancak yoğun bir ortamdaki yük sürelerini iyileştirmek için verileri filtrelemek çok önemlidir.

Microsoft Graph API sorgu parametrelerini destekler. Raporda kullanılan filtrelere birkaç örnek aşağıda verilmiştir:

  • Aşağıdaki sorgu, son üç gün içinde oluşturulan uyarıların listesini döndürür. Bu sorgunun yüksek hacimli veri içeren ortamlarda kullanılması, yüklenmesi biraz zaman alabilen yüzlerce megabaytlık veriye neden olabilir. Bu sabit kodlanmış yaklaşımı kullanarak, raporu açar açmaz son üç gün içindeki en son uyarılarınızı hızla görebilirsiniz.

    let
        AlertDays = "3",
        TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"])
    in
        Source
    
  • Bir tarih aralığında veri toplamak yerine, YYYY-AA-GG biçimini kullanarak bir tarih ekleyerek daha kesin tarihler arasında uyarılar toplayabiliriz.

    let
        StartDate = "YYYY-MM-DD",
        EndDate = "YYYY-MM-DD",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    
  • Geçmiş verileri gerektiğinde (örneğin, aylık olay sayısını karşılaştırmak), tarihe göre filtreleme bir seçenek değildir (mümkün olduğunca geri gitmek istediğimiz için). Bu durumda, aşağıdaki örnekte gösterildiği gibi birkaç seçili alanı çekmemiz gerekir:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate &
    "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"])
    in
        Source
    

Parametrelere giriş

Zaman çerçevesini ayarlamak için kodu sürekli sorgulamak yerine, raporu her açtığınızda Başlangıç ve Bitiş Tarihi ayarlamak için parametreleri kullanın.

  1. Sorgu Düzenleyicisi gidin.

  2. Parametreleri> YönetYeni Parametre'yi seçin.

  3. İstenen parametreleri ayarlayın.

    Aşağıdaki örnekte Başlangıç ve Bitiş tarihleri olarak iki farklı zaman çerçevesi kullanacağız.

    Power BI'da Parametrelerin nasıl yönetileceğini gösteren ekran görüntüsü.

  4. Sorgulardan sabit kodlanmış değerleri kaldırın ve StartDate ve EndDate değişken adlarının parametre adlarına karşılık olduğundan emin olun:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    

Raporu gözden geçirme

Veriler sorgulandıktan ve parametreler ayarlandıktan sonra raporu gözden geçirebiliriz. PBIT rapor dosyasının ilk başlatılması sırasında, daha önce belirttiğimiz parametreleri sağlamanız istenir:

Power BI şablonu parametre istemi penceresinin ekran görüntüsü.

Pano, SOC içgörüleri sağlamaya yönelik üç sekme sunar. İlk sekme tüm son uyarıların özetini sağlar (seçilen zaman çerçevesine bağlı olarak). Bu sekme, analistlerin algılama kaynağına, önem derecesine, toplam uyarı sayısına ve ortalama çözümleme süresine göre ayrılmış uyarı ayrıntılarını kullanarak ortamları üzerindeki güvenlik durumunu net bir şekilde anlamasına yardımcı olur.

Sonuçta elde edilen Power BI raporunun uyarılar sekmesinin ekran görüntüsü.

İkinci sekme, olaylar ve uyarılar arasında toplanan saldırı verileri hakkında daha fazla içgörü sunar. Bu görünüm analistlere yürütülen saldırı türlerine ve MITRE ATT&CK çerçevesine nasıl eşlendiklerine daha fazla bakış açısı sağlayabilir.

Elde edilen Power BI raporunun içgörüler sekmesinin ekran görüntüsü.

Power BI pano örnekleri

Daha fazla bilgi için bkz. Power BI rapor şablonları örnek dosyası.