共用方式為


使用 Microsoft Graph 安全性 API 和 Power BI Create 自定義 Microsoft Defender 全面偵測回應 報告

適用於:

讓安全性專業人員能夠將其數據可視化,讓他們能夠快速辨識可能在雜訊下潛藏的複雜模式、異常和趨勢。 透過視覺效果,SOC 小組可以快速識別威脅、做出明智的決策,並在整個組織中有效地傳達見解。

有多種方式可視化 Microsoft Defender 安全性數據:

  • 在 Microsoft Defender入口網站中瀏覽內建報表。
  • 針對每個Defender產品使用 Microsoft Sentinel 活頁簿與預先建置的範本 (需要與 Microsoft Sentinel) 整合。
  • 在進階搜捕中套用轉譯函式。
  • 使用 Power BI 擴充現有的報告功能。

在本文中,我們會使用 Microsoft Graph 安全性 API,在 Power BI 中建立範例安全性作業中心 (SOC) 效率儀錶板。 我們會在用戶內容中存取它,因此用戶必須具有 對應的權 限,才能檢視警示和事件數據。

注意事項

以下範例是以我們新的 MS Graph 安全性 API 為基礎。 如需詳細資訊,請 參閱:使用 Microsoft Graph 安全性 API

將數據匯入 Power BI

在本節中,我們會逐步解說使用警示數據作為範例,將 Microsoft Defender 全面偵測回應 數據放入 Power BI 所需的步驟。

  1. 開啟 Microsoft Power BI Desktop。

  2. 取 [取得數據 > 空白查詢]

  3. 取 [進階編輯器]。

    顯示如何在 Power BI Desktop 中建立新數據查詢的螢幕快照。

  4. 貼到查詢中:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2", null, [Implementation="2.0"])
    in
        Source
    
  5. 選取 [完成]

  6. 當系統提示您輸入認證時,請選取 [編輯認證]

    如何編輯 API 連線認證的螢幕快照。

  7. 取 [組織帳戶 > 登入]

    組織帳戶驗證視窗的螢幕快照。

  8. 輸入可存取 Microsoft Defender 全面偵測回應 事件數據之帳戶的認證。

  9. 選取 [連線]

現在,您的查詢結果會顯示為數據表,而且您可以開始在數據表上建立視覺效果。

提示

如果您想要將事件、進階搜捕、安全分數等其他形式的 Microsoft Graph 安全性數據可視化,請參閱 Microsoft Graph 安全性 API 概觀

篩選數據

Microsoft 圖形 API 支援 OData 通訊協定,讓使用者不必擔心分頁或要求下一組數據。 不過,篩選數據對於改善忙碌環境中的載入時間是不可或缺的。

Microsoft 圖形 API 支援查詢參數。 以下是報表中使用的一些篩選範例:

  • 下列查詢會傳回過去三天內產生的警示清單。 在具有大量數據的環境中使用此查詢,可能會導致數百 MB 的數據可能需要一些時間才能載入。 藉由使用這個硬式編碼方法,您可以在開啟報表后,快速查看過去三天內的最新警示。

    let
        AlertDays = "3",
        TIME = "" & Date.ToText(Date.AddDays(Date.From(DateTime.LocalNow()), -AlertDays), "yyyy-MM-dd") & "",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & TIME & "", null, [Implementation="2.0"])
    in
        Source
    
  • 我們可以使用YYYY-MM-DD格式輸入日期,而不是跨日期範圍收集警示,以跨更精確的日期收集警示。

    let
        StartDate = "YYYY-MM-DD",
        EndDate = "YYYY-MM-DD",
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/ alerts_v2?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    
  • 例如, (需要歷程記錄數據時,比較每個月) 的事件數目,依日期篩選不是 (選項,因為我們想要盡可能往回) 。 在此情況下,我們需要提取幾個選取的欄位,如下列範例所示:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/alerts_v2?$filter=createdDateTime ge " & StartLookbackDate & " and createdDateTime lt " & EndLookbackDate &
    "&$select=id,title,severity,createdDateTime", null, [Implementation="2.0"])
    in
        Source
    

參數簡介

每次開啟報表時,請使用參數來設定 [開始] 和 [結束日期],而不是經常查詢程式代碼來調整時間範圍。

  1. 移至 [查詢編輯器]。

  2. 取 [管理參數>] [新增參數]

  3. 設定所需的參數。

    在下列範例中,我們會使用兩個不同的時間範圍:開始日期和結束日期。

    如何在Power BI中管理參數的螢幕快照。

  4. 從查詢中移除硬式編碼值,並確定 StartDate 和 EndDate 變數名稱對應至參數名稱:

    let
        Source = OData.Feed("https://graph.microsoft.com/v1.0/security/incidents?$filter=createdDateTime ge " & StartDate & " and createdDateTime lt " & EndDate & "", null, [Implementation="2.0"])
    in
        Source
    

檢閱報表

查詢數據並設定參數之後,現在我們可以檢閱報表。 在第一次啟動 PBIT 報表檔案期間,系統會提示您提供我們稍早指定的參數:

Power BI 樣本參數提示視窗的螢幕快照。

儀錶板提供三個索引標籤來提供SOC深入解析。 第一個索引標籤會根據選取的時間範圍) ,提供 (所有最近警示的摘要。 此索引標籤可協助分析師使用依偵測來源、嚴重性、警示總數和平均解決時間細分的警示詳細數據,清楚瞭解其環境的安全性狀態。

所產生 Power BI 報表的 [警示] 索引標籤螢幕快照。

第二個索引標籤可讓您深入瞭解跨事件和警示收集的攻擊數據。 此檢視可讓分析師更深入瞭解所執行的攻擊類型,以及這些攻擊如何對應至 MITRE ATT&CK 架構。

所產生 Power BI 報表 [深入解析] 索引卷標的螢幕快照。

Power BI 儀錶板範例

如需詳細資訊,請參閱 Power BI報表範例檔案