使用 Power BI 创建自定义报表

适用于：

• Microsoft Defender for Endpoint
• Microsoft Defender XDR

希望体验 Microsoft Defender for Endpoint？ 注册免费试用版。

注意

如果你是美国政府客户，请使用 适用于美国政府客户的 Microsoft Defender for Endpoint 中列出的 URI。

提示

为了提高性能，可以使用离地理位置更近的服务器：

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com
• ina.api.security.microsoft.com

在本部分中，你将了解如何基于 Defender for Endpoint API 创建 Power BI 报表。

第一个示例演示如何将 Power BI 连接到高级搜寻 API，第二个示例演示与 OData API（例如计算机操作或警报）的连接。

将 Power BI 连接到高级搜寻 API

1. 打开 Power BI Microsoft。

2. 选择“ 获取数据>空白查询”。

   

3. 选择“ 高级编辑器”。

   

4. 复制下面的代码片段并将其粘贴到编辑器中：

       let
           AdvancedHuntingQuery = "DeviceEvents | where ActionType contains 'Anti' | limit 20",
   
           HuntingUrl = "https://api.securitycenter.microsoft.com/api/advancedqueries",
   
           Response = Json.Document(Web.Contents(HuntingUrl, [Query=[key=AdvancedHuntingQuery]])),
   
           TypeMap = #table(
               { "Type", "PowerBiType" },
               {
                   { "Double",   Double.Type },
                   { "Int64",    Int64.Type },
                   { "Int32",    Int32.Type },
                   { "Int16",    Int16.Type },
                   { "UInt64",   Number.Type },
                   { "UInt32",   Number.Type },
                   { "UInt16",   Number.Type },
                   { "Byte",     Byte.Type },
                   { "Single",   Single.Type },
                   { "Decimal",  Decimal.Type },
                   { "TimeSpan", Duration.Type },
                   { "DateTime", DateTimeZone.Type },
                   { "String",   Text.Type },
                   { "Boolean",  Logical.Type },
                   { "SByte",    Logical.Type },
                   { "Guid",     Text.Type }
               }),
   
           Schema = Table.FromRecords(Response[Schema]),
           TypedSchema = Table.Join(Table.SelectColumns(Schema, {"Name", "Type"}), {"Type"}, TypeMap , {"Type"}),
           Results = Response[Results],
           Rows = Table.FromRecords(Results, Schema[Name]),
           Table = Table.TransformColumnTypes(Rows, Table.ToList(TypedSchema, (c) => {c{0}, c{2}}))
   
       in Table
   

5. 选择“完成”。

6. 选择 “编辑凭据”。

   

7. 选择“ 组织帐户>登录”。

   

8. 输入凭据并等待登录。

9. 选择“连接”。

   

现在，查询结果显示为表，你可以开始基于该表生成可视化效果！ 可以复制此表、重命名表，并在其中编辑高级搜寻查询以获取所需的任何数据。

将 Power BI 连接到 OData API

与上一示例和此示例的唯一区别是编辑器中的查询。

1. 打开 Power BI Microsoft。

2. 选择“ 获取数据>空白查询”。

   

3. 选择“ 高级编辑器”。

   

4. 复制以下代码，并将其粘贴到编辑器中，以从组织拉取所有 计算机操作 ：

       let
   
           Query = "MachineActions",
   
           Source = OData.Feed("https://api.securitycenter.microsoft.com/api/" & Query, null, [Implementation="2.0", MoreColumns=true])
       in
           Source
   

   可以对 警报 和 计算机执行相同的操作。 还可以对查询筛选器使用 OData 查询。 请参阅 使用 OData 查询。

GitHub 中的 Power BI 仪表板示例

请参阅 Power BI 报表模板。

示例报表

查看 Microsoft Defender for Endpoint Power BI 报表示例。

相关文章

• Defender for Endpoint API
• 高级搜寻 API
• 使用 OData 查询

提示

想要了解更多信息？ 在技术社区中与 Microsoft 安全社区互动： Microsoft Defender for Endpoint 技术社区。