使用 Microsoft Graph 安全性 API 和 Power BI Create 自定義 Microsoft Defender 全面偵測回應 報告
適用於:
讓安全性專業人員能夠將其數據可視化,讓他們能夠快速辨識可能在雜訊下潛藏的複雜模式、異常和趨勢。 透過視覺效果,SOC 小組可以快速識別威脅、做出明智的決策,並在整個組織中有效地傳達見解。
有多種方式可視化 Microsoft Defender 安全性數據:
- 在 Microsoft Defender入口網站中瀏覽內建報表。
- 針對每個Defender產品使用 Microsoft Sentinel 活頁簿與預先建置的範本 (需要與 Microsoft Sentinel) 整合。
- 在進階搜捕中套用轉譯函式。
- 使用 Power BI 擴充現有的報告功能。
在本文中,我們會使用 Microsoft Graph 安全性 API,在 Power BI 中建立範例安全性作業中心 (SOC) 效率儀錶板。 我們會在用戶內容中存取它,因此用戶必須具有 對應的權 限,才能檢視警示和事件數據。
注意事項
以下範例是以我們新的 MS Graph 安全性 API 為基礎。 如需詳細資訊,請 參閱:使用 Microsoft Graph 安全性 API。
將數據匯入 Power BI
在本節中,我們會逐步解說使用警示數據作為範例,將 Microsoft Defender 全面偵測回應 數據放入 Power BI 所需的步驟。
開啟 Microsoft Power BI Desktop。
選 取 [取得數據 > 空白查詢]。
選取 [進階編輯器]。
貼到查詢中:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"]) in Source
選取 [完成]。
當系統提示您輸入認證時,請選取 [編輯認證]:
選 取 [組織帳戶 > 登入]。
輸入可存取 Microsoft Defender 全面偵測回應 事件數據之帳戶的認證。
選取 [連線]。
現在,您的查詢結果會顯示為數據表,而且您可以開始在數據表上建立視覺效果。
提示
如果您想要將事件、進階搜捕、安全分數等其他形式的 Microsoft Graph 安全性數據可視化,請參閱 Microsoft Graph 安全性 API 概觀。
篩選數據
Microsoft 圖形 API 支援 OData 通訊協定,讓使用者不必擔心分頁或要求下一組數據。 不過,篩選數據對於改善忙碌環境中的載入時間是不可或缺的。
Microsoft 圖形 API 支援查詢參數。 以下是報表中使用的一些篩選範例:
下列查詢會傳回過去三天內產生的警示清單。 在具有大量數據的環境中使用此查詢,可能會導致數百 MB 的數據可能需要一些時間才能載入。 藉由使用這個硬式編碼方法,您可以在開啟報表后,快速查看過去三天內的最新警示。
let AlertDays = "3", TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "", Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"]) in Source
我們可以使用YYYY-MM-DD格式輸入日期,而不是跨日期範圍收集警示,以跨更精確的日期收集警示。
let StartDate = "YYYY-MM-DD", EndDate = "YYYY-MM-DD", Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"]) in Source
例如, (需要歷程記錄數據時,比較每個月) 的事件數目,依日期篩選不是 (選項,因為我們想要盡可能往回) 。 在此情況下,我們需要提取幾個選取的欄位,如下列範例所示:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate & "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"]) in Source
參數簡介
每次開啟報表時,請使用參數來設定 [開始] 和 [結束日期],而不是經常查詢程式代碼來調整時間範圍。
移至 [查詢編輯器]。
選 取 [管理參數>] [新增參數]。
設定所需的參數。
在下列範例中,我們會使用兩個不同的時間範圍:開始日期和結束日期。
從查詢中移除硬式編碼值,並確定 StartDate 和 EndDate 變數名稱對應至參數名稱:
let Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"]) in Source
檢閱報表
查詢數據並設定參數之後,現在我們可以檢閱報表。 在第一次啟動 PBIT 報表檔案期間,系統會提示您提供我們稍早指定的參數:
儀錶板提供三個索引標籤來提供SOC深入解析。 第一個索引標籤會根據選取的時間範圍) ,提供 (所有最近警示的摘要。 此索引標籤可協助分析師使用依偵測來源、嚴重性、警示總數和平均解決時間細分的警示詳細數據,清楚瞭解其環境的安全性狀態。
第二個索引標籤可讓您深入瞭解跨事件和警示收集的攻擊數據。 此檢視可讓分析師更深入瞭解所執行的攻擊類型,以及這些攻擊如何對應至 MITRE ATT&CK 架構。
Power BI 儀錶板範例
如需詳細資訊,請參閱 Power BI報表範例檔案。