Microsoft Graph güvenlik API'sini ve Power BI'ı kullanarak özel Microsoft Defender XDR raporları İçerik Oluşturucu

Şunlar için geçerlidir:

• Microsoft Defender XDR

Güvenlik uzmanlarının verilerini görselleştirmesini sağlamak, karmaşık desenleri, anomalileri ve aksi takdirde gürültü altında gizlenen eğilimleri hızla tanımalarını sağlar. Görselleştirmelerle SOC ekipleri tehditleri hızla tanımlayabilir, bilinçli kararlar alabilir ve içgörüleri kuruluş genelinde etkili bir şekilde iletebilir.

Microsoft Defender güvenlik verilerini görselleştirmenin birden çok yolu vardır:

• Microsoft Defender portalında yerleşik raporlarda gezinme.
• Microsoft Sentinel çalışma kitaplarını her Defender ürünü için önceden oluşturulmuş şablonlarla kullanma (Microsoft Sentinel ile tümleştirme gerektirir).
• Gelişmiş Avcılık'ta işleme işlevini uygulama.
• Mevcut raporlama özelliklerini genişletmek için Power BI kullanma.

Bu makalede, Microsoft Graph güvenlik API'sini kullanarak Power BI'da örnek bir Güvenlik İşlemleri Merkezi (SOC) verimlilik panosu oluşturacağız. Kullanıcı bağlamında erişiyoruz, bu nedenle kullanıcının uyarıları ve olay verilerini görüntüleyebilmesi için ilgili izinlere sahip olması gerekir.

Not

Aşağıdaki örnek, yeni MS Graph güvenlik API'mizi temel alır. Daha fazla bilgi için bkz. Microsoft Graph güvenlik API'sini kullanma.

Power BI'a veri aktarma

Bu bölümde, örnek olarak Uyarılar verilerini kullanarak Microsoft Defender XDR verileri Power BI'a almak için gereken adımları inceleyeceğiz.

1. Microsoft Power BI Desktop'i açın.

2. Boş Veri > Al Sorgu'yu seçin.

3. Gelişmiş Düzenleyici'ı seçin.

   

4. Sorguya Yapıştır:

   let
       Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"])
   in
       Source
   

5. Bitti'yi seçin.

6. Kimlik bilgileri istendiğinde Kimlik Bilgilerini Düzenle'yi seçin:

   

7. Kuruluş hesabı > Oturum aç'ı seçin.

   

8. Microsoft Defender XDR olay verilerine erişimi olan hesabın kimlik bilgilerini girin.

9. Bağlan'ı seçin.

Artık sorgunuzun sonuçları bir tablo olarak görünür ve üzerine görselleştirmeler oluşturmaya başlayabilirsiniz.

İpucu

Olaylar, Gelişmiş Tehdit Avcılığı, Güvenli Puan vb. gibi diğer Microsoft Graph güvenlik verilerini görselleştirmek istiyorsanız bkz. Microsoft Graph güvenlik API'sine Genel Bakış.

Verileri filtreleme

Microsoft Graph API, kullanıcıların sayfalandırma konusunda endişelenmemesi veya bir sonraki veri kümesini istememesi için OData protokollerini destekler. Ancak yoğun bir ortamdaki yük sürelerini iyileştirmek için verileri filtrelemek çok önemlidir.

Microsoft Graph API sorgu parametrelerini destekler. Raporda kullanılan filtrelere birkaç örnek aşağıda verilmiştir:

• Aşağıdaki sorgu, son üç gün içinde oluşturulan uyarıların listesini döndürür. Bu sorgunun yüksek hacimli veri içeren ortamlarda kullanılması, yüklenmesi biraz zaman alabilen yüzlerce megabaytlık veriye neden olabilir. Bu sabit kodlanmış yaklaşımı kullanarak, raporu açar açmaz son üç gün içindeki en son uyarılarınızı hızla görebilirsiniz.

  let
      AlertDays = "3",
      TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "",
      Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"])
  in
      Source
  

• Bir tarih aralığında veri toplamak yerine, YYYY-AA-GG biçimini kullanarak bir tarih ekleyerek daha kesin tarihler arasında uyarılar toplayabiliriz.

  let
      StartDate = "YYYY-MM-DD",
      EndDate = "YYYY-MM-DD",
      Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
  in
      Source
  

• Geçmiş verileri gerektiğinde (örneğin, aylık olay sayısını karşılaştırmak), tarihe göre filtreleme bir seçenek değildir (mümkün olduğunca geri gitmek istediğimiz için). Bu durumda, aşağıdaki örnekte gösterildiği gibi birkaç seçili alanı çekmemiz gerekir:

  let
      Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate &
  "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"])
  in
      Source
  

Parametrelere giriş

Zaman çerçevesini ayarlamak için kodu sürekli sorgulamak yerine, raporu her açtığınızda Başlangıç ve Bitiş Tarihi ayarlamak için parametreleri kullanın.

1. Sorgu Düzenleyicisi gidin.

2. Parametreleri> YönetYeni Parametre'yi seçin.

3. İstenen parametreleri ayarlayın.

   Aşağıdaki örnekte Başlangıç ve Bitiş tarihleri olarak iki farklı zaman çerçevesi kullanacağız.

   

4. Sorgulardan sabit kodlanmış değerleri kaldırın ve StartDate ve EndDate değişken adlarının parametre adlarına karşılık olduğundan emin olun:

   let
       Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
   in
       Source
   

Raporu gözden geçirme

Veriler sorgulandıktan ve parametreler ayarlandıktan sonra raporu gözden geçirebiliriz. PBIT rapor dosyasının ilk başlatılması sırasında, daha önce belirttiğimiz parametreleri sağlamanız istenir:

Pano, SOC içgörüleri sağlamaya yönelik üç sekme sunar. İlk sekme tüm son uyarıların özetini sağlar (seçilen zaman çerçevesine bağlı olarak). Bu sekme, analistlerin algılama kaynağına, önem derecesine, toplam uyarı sayısına ve ortalama çözümleme süresine göre ayrılmış uyarı ayrıntılarını kullanarak ortamları üzerindeki güvenlik durumunu net bir şekilde anlamasına yardımcı olur.

İkinci sekme, olaylar ve uyarılar arasında toplanan saldırı verileri hakkında daha fazla içgörü sunar. Bu görünüm analistlere yürütülen saldırı türlerine ve MITRE ATT&CK çerçevesine nasıl eşlendiklerine daha fazla bakış açısı sağlayabilir.

Power BI pano örnekleri

Daha fazla bilgi için bkz. Power BI rapor şablonları örnek dosyası.

İlgili makaleler

• Microsoft Graph güvenlik API'sini kullanma