Создание отчета Power BI из данных Microsoft Sentinel

  • Статья

Power BI — это платформа для создания отчетов и аналитики, которая преобразует данные в связные интерактивные визуализации. Power BI позволяет легко подключаться к источникам данных, визуализировать и выделять связи, а также делиться полезными сведениями с кем угодно.

Вы можете создавать отчеты Power BI на основе данных из Microsoft Sentinel и делиться этими отчетами с людьми, у которых нет доступа к Microsoft Sentinel. Например, вы можете предоставить сведения о неудачных попытках входа владельцам приложения, не предоставляя им доступа к Microsoft Sentinel. Визуализации Power BI позволяют получать общее представление о данных.

Microsoft Sentinel работает в рабочих областях Log Analytics, и вы можете использовать язык запросов Kusto (KQL) для запроса данных.

В этой статье приведена процедура на основе сценария для просмотра отчетов анализа в Power BI для данных Microsoft Sentinel. Дополнительную информацию см. в статье Подключение источников данных и Визуализация собранных данных.

Работая с этой статьей, вы выполните следующие задачи:

  • Экспорт запроса KQL в языковой запрос Power BI M.
  • создание визуализаций и отчета с помощью запроса M в Power BI Desktop;
  • публикация отчета в службе Power BI и предоставление доступа к нему другим пользователям;
  • добавление отчета в канал Teams.

Пользователи, которым вы предоставили доступ в службе Power BI, и участники канала Teams могут просматривать отчет, не имея разрешений Microsoft Sentinel.

Внимание

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Для выполнения задач из этой статьи необходимо следующее:

Экспорт запроса из Microsoft Sentinel

Создание, запуск и экспорт запроса KQL из Microsoft Sentinel.

  1. Чтобы создать простой запрос, в Microsoft Sentinel выберите журналы. Если рабочая область подключена к единой платформе операций безопасности, выберите "Общие > журналы".

  2. В редакторе запросов в разделе New Query 1 введите следующий запрос или любой другой запрос Microsoft Sentinel для данных:

    SigninLogs
|  where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
|  top 10 by Failed
| sort by Failed

  3. Выберите Выполнить, чтобы выполнить запрос и получить результаты.

    Снимок экрана: запрос KQL и результаты.

  4. Чтобы экспортировать запрос в формате запросов M Power BI, выберите Экспорт, а затем выберите Экспорт в Power BI (запрос M). Запрос экспортируется в текстовый файл с именем PowerBIQuery.txt.

    Снимок экрана: экспорт запроса в формате M Power BI.

  5. Скопируйте содержимое экспортированного файла.

Получение данных в Power BI Desktop

Выполните экспортированный запрос M в Power BI Desktop, чтобы получить данные.

  1. Откройте Power BI Desktop и войдите в учетную запись Power BI с доступом на чтение к рабочей области Microsoft Sentinel.

    Снимок экрана: вход в Power BI Desktop.

  2. На ленте Power BI выберите Получить данные, а затем выберите Пустой запрос. Откроется редактор Power Query.

    Снимок экрана: пустой запрос, выбранный в разделе

  3. В редакторе Power Query выберите Расширенный редактор.

  4. Вставьте скопированное содержимое экспортированного файла PowerBIQuery.txt в окне Расширенный редактор, а затем нажмите кнопку Готово.

    Снимок экрана: запрос M, вставленный в расширенный редактор Power BI.

  5. В редакторе Power Queryпереименуйте запрос на App_signin_stats и нажмите кнопку Закрыть и применить.

    Снимок экрана: переименованный запрос и команда

Создание визуализаций на основе данных

Теперь, когда данные имеются в Power BI, можно создать визуализации для их анализа.

Создание таблицы

Сначала создайте таблицу, содержащую все результаты запроса.

  1. Чтобы добавить визуализацию в виде таблицы на холст Power BI Desktop, выберите значок таблица в области Визуализации.

    Снимок экрана: значок таблицы в области

  2. В области Поля выберите все поля запроса, чтобы они отображались в таблице. Если в таблице видны не все данные, увеличьте ее, перетащив маркеры выделения.

    Снимок экрана: выбор всех полей для визуализации в виде таблицы.

Создание круговой диаграммы

Далее создайте круговую диаграмму, на которой показаны приложения с наибольшим числом неудачных попыток входа.

  1. Отмените выбор таблицы, щелкнув за ее пределами, а затем в области Визуализации выберите значок круговой диаграммы.

    Снимок экрана: значок круговой диаграммы в области

  2. Выберите поле AppDisplayName в категории Условные обозначения или перетащите его из области Поля. Выберите поле Неудачно в категории Значения или перетащите его из области Поля. На круговой диаграмме теперь показано число неудачных попыток входа для каждого приложения.

    Снимок экрана: круговая диаграмма с количеством неудачных попыток входа для каждого приложения.

Создание быстрой меры

Необходимо также показать процент неудачных попыток входа для каждого приложения. Так как в запросе нет процентного столбца, можно создать меру для отображения этих сведений.

  1. В области Визуализации выберите значок гистограммы с накоплением, чтобы создать гистограмму с накоплением.

    Снимок экрана: значок гистограммы с накоплением в области

  2. Выбрав новую визуализацию, нажмите на ленте кнопку Быстрая мера.

  3. В окне Быстрые меры в списке Вычисления выберите пункт Деление. Перетащите поле Неудачно из области Поля в поле Числитель, а затем перетащите поле Попытки из области Поля в поле Знаменатель.

    Снимок экрана: настройки в окне

  4. Нажмите ОК. Новая мера появится в области Поля.

  5. Выберите новую меру в области Поля, а затем в группе Форматирование на ленте выберите Процент.

    Снимок экрана: новая мера, выбранная в области

  6. Выбрав на холсте визуализацию в виде гистограммы, выберите или перетащите поле AppDisplayName в категорию Ось, а новую меру Неудачно делить на Попытки — в категорию Значения. Теперь на диаграмме отображается процент неудачных попыток входа для каждого приложения.

    Снимок экрана: гистограмма с процентом неудачных попыток для каждого приложения.

Обновление данных и сохранение отчета

  1. Чтобы получить актуальные данные из Microsoft Sentinel, нажмите Обновить.

    Снимок экрана: кнопка

  2. Выберите Файл>Сохранить и сохраните отчет Power BI.

Создание рабочей области в веб-службе Power BI

Чтобы создать рабочую область Power BI для предоставления общего доступа к отчету, выполните указанные ниже действия.

  1. Выполните вход на сайте powerbi.com с той же учетной записью, которая использовалась для доступа на чтение к Power BI Desktop и Microsoft Sentinel.

  2. В разделе Рабочие области нажмите кнопку Создать рабочую область. Назовите рабочую область Отчеты для руководства и нажмите кнопку Сохранить.

    Снимок экрана: создание рабочей области в службе Power BI.

  3. Чтобы предоставить пользователям и группам доступ к рабочей области, откройте меню дополнительных параметров, щелкнув многоточие рядом с именем новой рабочей области, а затем выберите пункт Доступ к рабочей области.

    Снимок экрана: пункт

  4. В боковой области Доступ к рабочей области можно добавить адреса электронной почты пользователей и назначить каждому пользователю роль. Возможные роли: администратор, член, участник и зритель.

Публикация отчета Power BI

Теперь с помощью Power BI Desktop можно опубликовать отчет Power BI, чтобы его могли увидеть другие пользователи.

  1. В новом отчете в Power BI Desktop выберите Опубликовать.

    Снимок экрана: кнопка

  2. Выберите рабочую область Отчеты для руководства для публикации и нажмите кнопку Выбрать.

    Снимок экрана: выбор рабочей области Power BI

Импорт отчета в канал Microsoft Teams

Отчет также должен быть виден участникам канала "Руководство" в Teams. Чтобы добавить отчет в канал Teams, выполните указанные ниже действия.

  1. В канале Teams "Руководство" выберите +, чтобы добавить вкладку, а затем в окне Добавление вкладки найдите и выберите Power BI.

    Снимок экрана: выбор Power BI в окне

  2. Выберите новый отчет из списка отчетов Power BI и нажмите кнопку Сохранить. Отчет появится на новой вкладке в канале Teams.

    Снимок экрана: отчет Power BI на вкладке в канале Teams.

Планирование обновления отчета

Обновляйте отчет Power BI по расписанию, чтобы в нем всегда были актуальные данные.

  1. В службе Power BI выберите рабочую область, в которой опубликован отчет.

  2. Рядом с набором данных отчета выберите Дополнительные параметры>Параметры.

    Снимок экрана: пункт

  3. Выберите Изменить учетные данные, чтобы указать учетные данные для учетной записи, имеющей доступ на чтение к рабочей области Log Analytics.

  4. В разделе Запланированное обновление установите ползунок в положение Вкл. и настройте расписание обновления для отчета.

    Снимок экрана: параметры запланированного обновления для набора данных отчета Power BI.

Связанный контент

Дополнительные сведения см. в разделе: