Compartir a través de

Creación de un informe de Power BI a partir de datos de Microsoft Sentinel

  • Artículo

Power BI es una plataforma de informes y análisis que convierte los datos en visualizaciones coherentes, envolventes e interactivas. Power BI permite conectarse con facilidad a orígenes de datos, visualizar y descubrir relaciones y compartir información con los usuarios que desee.

Puede basar los informes de Power BI en datos de Microsoft Sentinel y compartir esos informes con usuarios que no tienen acceso a Microsoft Sentinel. Por ejemplo, es posible que quiera compartir información sobre los intentos de inicio de sesión con errores con los propietarios de la aplicación sin concederles acceso a Microsoft Sentinel. Las visualizaciones de Power BI pueden proporcionar los datos de un vistazo.

Microsoft Sentinel se ejecuta en áreas de trabajo de Log Analytics y puede usar el lenguaje de consulta Kusto (KQL) para consultar los datos.

En este artículo se proporciona un procedimiento basado en escenarios para visualizar informes de análisis en Power BI para los datos de Microsoft Sentinel. Para más información, consulte Conexión con orígenes de datos y Visualización de los datos recopilados.

En este artículo:

  • Exporte una consulta KQL a una consulta de lenguaje M de Power BI.
  • Usar la consulta M en Power BI Desktop para crear visualizaciones y un informe.
  • Publicar el informe en el servicio Power BI y compartirlo con otros usuarios.
  • Agregar el informe a un canal de Teams.

Las personas a las que se concedió acceso en el servicio Power BI y los miembros del canal de Teams pueden ver el informe sin necesidad de permisos de Microsoft Sentinel.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Para completar los pasos de este artículo, necesitará lo siguiente:

  • Al menos, acceso de lectura a un área de trabajo de Microsoft Sentinel que supervisa los intentos de inicio de sesión.
  • Una cuenta de Power BI que tenga acceso de lectura al área de trabajo de Microsoft Sentinel.
  • Power BI Desktop instalado desde Microsoft Store.

Exportación de una consulta desde Microsoft Sentinel

Cree, ejecute y exporte una consulta KQL desde Microsoft Sentinel.

  1. Para crear una consulta sencilla, en Microsoft Sentinel, seleccione Registros. Si el área de trabajo se incorpora al portal de Microsoft Defender, seleccione General >Registros.

  2. En el editor de consultas, en Nueva consulta 1, escriba la consulta siguiente o cualquier otra consulta de Microsoft Sentinel para los datos:

    SigninLogs
| where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
| top 10 by Failed
| sort by Failed

    Vea más información sobre los siguientes elementos usados en los ejemplos anteriores, en la documentación de Kusto:

    Para más información sobre KQL, consulte Introducción al Lenguaje de consulta Kusto (KQL).

    Otros recursos:

  3. Seleccione Ejecutar para ejecutar la consulta y generar resultados.

    Captura de pantalla que muestra la consulta y los resultados de KQL.

  4. Para exportar la consulta a formato de consulta M de Power BI, seleccione Exportar y, a continuación, seleccione Exportar a Power BI (consulta M) . La consulta se exporta a un archivo de texto denominado PowerBIQuery.txt.

    Captura de pantalla que muestra la consulta Exportar en formato M de Power BI.

  5. Copie el contenido del archivo exportado.

Obtención de datos de Power BI Desktop

Ejecute la consulta M exportada en Power BI Desktop para obtener datos.

  1. Abra Power BI Desktop e inicie sesión en su cuenta de Power BI que tenga acceso de lectura al área de trabajo de Microsoft Sentinel.

    Captura de pantalla que muestra el inicio de sesión en Power BI Desktop.

  2. En la cinta de opciones de Power BI, seleccione Obtener datos y, a continuación, seleccione Consulta en blanco. Se abre el Editor de Power Query.

    Captura de pantalla que muestra la opción Consulta en blanco seleccionada en Obtener datos en Power BI Desktop.

  3. En el Editor de Power Query, seleccione Editor avanzado.

  4. Pegue el contenido copiado del archivo PowerBIQuery.txt exportado en la ventana Editor avanzado y, a continuación, seleccione Listo.

    Captura de pantalla que muestra la consulta M pegada en el Editor avanzado de Power BI.

  5. En el Editor de Power Query, cambie el nombre de la consulta a App_signin_stats y, a continuación, seleccione Cerrar y aplicar.

    Captura de pantalla que muestra la consulta cuyo nombre ha cambiado y el comando Cerrar y aplicar en el Editor de Power Query.

Creación de visualizaciones a partir de los datos

Ahora que los datos están en Power BI, puede crear visualizaciones para proporcionar información sobre los datos.

Creación de un objeto visual de tabla

En primer lugar, cree una tabla que muestre todos los resultados de la consulta.

  1. Para agregar una visualización de tabla al lienzo de Power BI Desktop, seleccione el icono de tabla en Visualizaciones.

    Captura de pantalla que muestra el icono de tabla en Visualizaciones en Power BI Desktop.

  2. En Campos, seleccione todos los campos de la consulta para que aparezcan todos en la tabla. Si la tabla no muestra todos los datos, amplíela arrastrando sus identificadores de selección.

    Captura de pantalla que muestra todos los campos seleccionados para la visualización de la tabla.

Creación de un gráfico circular

A continuación, cree un gráfico circular que muestre qué aplicaciones han tenido más intentos de inicio de sesión con errores.

  1. Para anular la selección del objeto visual de tabla, haga clic en él o pulse fuera de él y, a continuación, en Visualizaciones, seleccione el icono de gráfico circular.

    Captura de pantalla que muestra el icono de gráfico circular en Visualizaciones en Power BI Desktop.

  2. Seleccione AppDisplayName en el cuadro Leyenda o arrástrelo desde el panel Campos. Seleccione Error en el cuadro Valores o arrástrelo desde Campos. El gráfico circular muestra ahora el número de intentos de inicio de sesión con errores por aplicación.

    Captura de pantalla que muestra el gráfico circular con el número de intentos de inicio de sesión con errores por aplicación.

Creación de una nueva medida rápida

También se espera que se muestre el porcentaje de intentos de inicio de sesión con errores para cada aplicación. Puesto que la consulta no tiene una columna de porcentaje, puede crear una nueva medida para mostrar esta información.

  1. En Visualizaciones, seleccione el icono de gráfico de columnas apiladas para crear un gráfico de columnas apiladas.

    Captura de pantalla que muestra el icono de gráfico de columnas apiladas en Visualizaciones en Power BI Desktop.

  2. Con la nueva visualización seleccionada, seleccione Medida rápida en la cinta de opciones.

  3. En la ventana Medidas rápidas, en Cálculo, seleccione División. Arrastre Error desde Campos al campo Numerador y arrastre Intentos desde Campos al Denominador.

    Captura de pantalla que muestra la configuración en la ventana Medidas rápidas.

  4. Seleccione Aceptar. La nueva medida aparece en el panel Campos.

  5. Seleccione la nueva medida en el panel Campos y, en Formato en la cinta de opciones, seleccione Porcentaje.

    Captura de pantalla que muestra la nueva medida seleccionada en el panel Campos y Porcentaje seleccionado en Formato en la cinta de opciones.

  6. Con la visualización del gráfico de columnas seleccionada en el lienzo, seleccione o arrastre el campo AppDisplayName al área Eje y la nueva medida de Errores divididos por intentos al área Valores. El gráfico muestra ahora el porcentaje de intentos de inicio de sesión con errores para cada aplicación.

    Captura de pantalla que muestra el gráfico de columnas con porcentaje de intentos con errores para cada aplicación.

Actualización de los datos y guardado del informe

  1. Seleccione Actualizar para obtener los datos más recientes de Microsoft Sentinel.

    Captura de pantalla que muestra el botón Actualizar en la cinta de opciones.

  2. Seleccione Archivo>Guardar y guarde el informe de Power BI.

Creación de un área de trabajo en línea de Power BI

Para crear un área de trabajo de Power BI para compartir el informe:

  1. Inicie sesión en powerbi.com con la misma cuenta que usó para el acceso de lectura de Power BI Desktop y Microsoft Sentinel.

  2. En Áreas de trabajo, seleccione Crear un área de trabajo. Asígnele al área de trabajo el nombre Informes de administración y seleccione Guardar.

    Captura de pantalla que muestra Creación de un área de trabajo en servicio Power BI.

  3. Para conceder acceso a personas y grupos al área de trabajo, seleccione los puntos de Más opciones junto al nuevo nombre del área de trabajo y, a continuación, seleccione Acceso al área de trabajo.

    Captura de pantalla que muestra el acceso al área de trabajo en el menú Más opciones del área de trabajo.

  4. En el panel lateral de acceso al área de trabajo, puede agregar las direcciones de correo electrónico de los usuarios y asignar un rol a cada usuario. Los roles son Administrador, Miembro, Colaborador y Espectador.

Publicar el informe de Power BI

Ahora puede usar Power BI Desktop para publicar el informe de Power BI para que otras personas puedan verlo.

  1. En el nuevo informe de Power BI Desktop, seleccione Publicar.

    Captura de pantalla en la que se muestra la cinta de opciones Publicar en Power BI Desktop.

  2. Seleccione el área de trabajo Informes de administración en la que se publicará el informe y seleccione Seleccionar.

    Captura de pantalla que muestra la selección del área de trabajo de informes de administración de Power BI en la que se publicará el informe.

Importación del informe a un canal de Microsoft Teams

También se espera que los miembros del canal de administración de Teams puedan ver el informe. Para agregar el informe a un canal de Teams:

  1. En el canal de administración de Teams, seleccione + para agregar una pestaña y, en la ventana Agregar una pestaña, busque Power BI y selecciónelo.

    Captura de pantalla que muestra Power BI en la ventana Agregar una pestaña de Teams.

  2. Seleccione el nuevo informe en la lista de informes de Power BI y seleccione Guardar. El informe aparece en una nueva pestaña en el canal de Teams.

    Captura de pantalla que muestra el informe de Power BI en una pestaña del canal de Teams.

Programación de la actualización del informe

Actualice el informe de Power BI según una programación para que los datos actualizados siempre aparezcan en el informe.

  1. En la servicio Power BI, seleccione el área de trabajo en la que publicó el informe.

  2. Junto al conjunto de datos del informe, seleccione Más opciones>Configuración.

    Captura de pantalla que muestra Configuración en Más opciones en el conjunto de datos de informe de Power BI.

  3. Seleccione Editar credenciales para proporcionar las credenciales de una cuenta que tenga acceso de lectura al área de trabajo de Log Analytics.

  4. En Actualización programada, establezca el control deslizante en Activada y configure una programación de actualización para el informe.

    Captura de pantalla que muestra la configuración Actualización programada para el conjunto de datos de informes de Power BI.

Contenido relacionado

Para más información, vea: