Partager via

Créer un rapport Power BI à partir de données Microsoft Sentinel

  • Article

Power BI est une plateforme de création de rapports et d’analyse qui transforme les données en visualisations interactives, cohérentes et immersives. Power BI vous permet de vous connecter facilement à des sources de données, de visualiser et de découvrir des relations et de partager des insights avec qui vous voulez.

Vous pouvez baser des rapports Power BI sur des données Microsoft Sentinel et partager ces rapports avec des personnes qui n’ont pas accès à Microsoft Sentinel. Par exemple, vous pouvez partager des informations sur les tentatives de connexion ayant échoué avec les propriétaires d’applications, sans leur octroyer un accès à Microsoft Sentinel. Les visualisations Power BI peuvent fournir les données en un clin d’œil.

Microsoft Sentinel s’exécute sur des espaces de travail Log Analytics, et vous pouvez utiliser le langage de requête Kusto (KQL) pour interroger les données.

Cet article fournit une procédure basée sur un scénario pour voir les rapports d’analyse dans Power BI pour vos données Microsoft Sentinel. Pour plus d’informations, consultez Connecter des sources de données et Visualiser les données collectées.

Dans cet article, vous découvrirez comment :

  • Exportez une requête KQL vers une requête de langage Power BI M.
  • Utilisez la requête M dans Power BI Desktop pour créer des visualisations et un rapport.
  • Publiez le rapport sur le service Power BI et partagez-le avec d’autres utilisateurs.
  • Ajoutez le rapport à un canal Teams.

Les personnes auxquelles vous avez accordé l’accès dans le service Power BI et les membres du canal Teams peuvent voir le rapport sans avoir besoin d’autorisations Microsoft Sentinel.

Important

Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Pour accomplir les étapes décrites dans cet article, vous avez besoin de ce qui suit :

  • Au minimum, accès en lecture à un espace de travail Microsoft Sentinel qui surveille les tentatives de connexion.
  • Un compte Power BI disposant d’un accès en lecture à votre espace de travail Microsoft Sentinel.
  • Power BI Desktop installé à partir du Microsoft Store.

Exporter une requête à partir de Microsoft Sentinel

Créez, exécutez et exportez une requête KQL à partir de Microsoft Sentinel.

  1. Pour créer une requête simple dans Microsoft Sentinel, sélectionnez Journaux. Si votre espace de travail est intégré au portail Microsoft Defender, sélectionnez Journaux d'activité > généraux.

  2. Dans l’éditeur de requête, sous Nouvelle requête 1, entrez la requête suivante ou toute autre requête Microsoft Sentinel concernant vos données :

    SigninLogs
|  where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
|  top 10 by Failed
| sort by Failed

  3. Sélectionnez Exécuter pour exécuter la requête et générer des résultats.

    Capture d’écran montrant la requête et les résultats KQL.

  4. Pour exporter la requête au format de requête M Power BI, sélectionnez Exporter, puis Exporter vers Power BI (requête M) . La requête est exportée vers un fichier texte appelé PowerBIQuery.txt.

    Capture d’écran montrant l’exportation de la requête au format M Power BI.

  5. Copiez le contenu du fichier exporté.

Obtenir les données dans Power BI Desktop

Exécutez la requête M exportée dans Power BI Desktop pour obtenir des données.

  1. Ouvrez Power BI Desktop et connectez-vous à votre compte Power BI disposant d’un accès en lecture à votre espace de travail Microsoft Sentinel.

    Capture d’écran montrant la connexion à Power BI Desktop.

  2. Dans le ruban Power BI, sélectionnez Obtenir des données, puis sélectionnez Requête vide. L’Éditeur Power Query s’ouvre.

    Capture d’écran montrant l’option Requête vide sélectionnée sous Obtenir des données dans Power BI Desktop.

  3. Dans l’Éditeur Power Query, sélectionnez Éditeur avancé.

  4. Collez le contenu copié du fichier PowerBIQuery.txt exporté dans la fenêtre de l’Éditeur avancé, puis sélectionnez Terminé.

    Capture d’écran montrant la requête M collée dans l’Éditeur avancé Power BI.

  5. Dans l’Éditeur Power Query, renommez la requête App_signin_stats, puis sélectionnez Fermer et appliquer.

    Capture d’écran montrant la requête renommée et l’option Fermer et appliquer dans l’Éditeur Power Query.

Créer des visualisations à partir des données

Maintenant que vos données se trouvent dans Power BI, vous pouvez créer des visualisations pour fournir des insights sur les données.

Créer un visuel de table

Tout d’abord, créez une table qui affiche tous les résultats de la requête.

  1. Pour ajouter une visualisation de table au canevas Power BI Desktop, sélectionnez l’icône de table sous Visualisations.

    Capture d’écran montrant l’icône de table sous Visualisations dans Power BI Desktop.

  2. Sous Champs, sélectionnez tous les champs de votre requête, afin qu’ils apparaissent tous dans la table. Si la table n’affiche pas toutes les données, agrandissez-la en faisant glisser ses poignées de sélection.

    Capture d’écran montrant tous les champs sélectionnés pour la visualisation de table.

Créer un graphique à secteurs

Ensuite, créez un graphique à secteurs qui indique les applications qui ont eu le plus de tentatives de connexion.

  1. Désélectionnez le visuel de table en cliquant ou en appuyant dessus, puis sous Visualisations, sélectionnez l’icône de graphique à secteurs.

    Capture d’écran montrant l’icône de graphique à secteurs sous Visualisations dans Power BI Desktop.

  2. Sélectionnez AppDisplayName dans le compartiment Légende ou faites-le glisser à partir du volet Champs. Sélectionnez Ayant échoué dans le compartiment Valeurs, ou faites-le glisser à partir de Champs. Le graphique à secteurs affiche maintenant le nombre de tentatives de connexion ayant échoué par application.

    Capture d’écran montrant le graphique à secteurs avec le nombre de tentatives de connexion ayant échoué par application.

Créer une mesure rapide

Vous pouvez également afficher le pourcentage d’échecs de tentatives de connexion pour chaque application. Étant donné que votre requête n’a pas de colonne de pourcentage, vous pouvez créer une mesure pour afficher ces informations.

  1. Sous Visualisations, sélectionnez l’icône d’histogramme empilé pour créer un histogramme empilé.

    Capture d’écran montrant l’icône d’histogramme empilé sous Visualisations dans Power BI Desktop.

  2. Une fois la nouvelle visualisation sélectionnée, sélectionnez Mesure rapide dans le ruban.

  3. Dans la fenêtre Mesures rapides, sous Calcul, sélectionnez Division. Faites glisser Ayant échoué depuis Champs dans le champ Numérateur et faites glisser Tentatives de Champs vers Dénominateur.

    Capture d’écran montrant les paramètres dans la fenêtre Mesures rapides.

  4. Sélectionnez OK. La nouvelle mesure s’affiche dans le volet Champs.

  5. Sélectionnez la nouvelle mesure dans le volet Champs. Ensuite, sous Mise en forme dans le ruban, sélectionnez Pourcentage.

    Capture d’écran montrant la nouvelle mesure sélectionnée dans le volet Champs et Pourcentage sélectionné sous Mise en forme dans le ruban.

  6. Une fois la visualisation de l’histogramme sélectionnée sur le canevas, sélectionnez ou faites glisser le champ AppDisplayName dans le compartiment Axe et la nouvelle mesure Ayant échoué divisé par Tentatives dans le compartiment Valeurs. Le graphique affiche maintenant le pourcentage de tentatives de connexion ayant échoué pour chaque application.

    Capture d’écran montrant l’histogramme avec un pourcentage de tentatives ayant échoué pour chaque application.

Actualiser les données et enregistrer le rapport

  1. Sélectionnez Actualiser pour récupérer les données les plus récentes de Microsoft Sentinel.

    Capture d’écran montrant le bouton Actualiser dans le ruban.

  2. Sélectionnez Fichier>Enregistrer et enregistrez votre rapport Power BI.

Créer un espace de travail en ligne Power BI

Pour créer un espace de travail Power BI pour le partage du rapport :

  1. Connectez-vous à powerbi.com avec le compte utilisé pour Power BI Desktop et l’accès en lecture à Microsoft Sentinel.

  2. Sous Espaces de travail, sélectionnez Créer un espace de travail. Nommez l’espace de travail Rapports de gestion, puis sélectionnez Enregistrer.

    Capture d’écran montrant l’option Créer un espace de travail dans le service Power BI.

  3. Pour accorder à des personnes et à des groupes un accès à l’espace de travail, sélectionnez les points Autres options en regard du nom de l’espace de travail, puis sélectionnez Accès à l’espace de travail.

    Capture d’écran montrant l’option Accès à l’espace de travail dans le menu Autres options de l’espace de travail.

  4. Dans le volet latéral Accès à l’espace de travail, vous pouvez ajouter les adresses e-mail des utilisateurs et attribuer un rôle à chaque utilisateur. Les rôles sont Administrateur, Membre, Contributeur et Lecteur.

Publier le rapport Power BI

Vous pouvez à présent utiliser Power BI Desktop pour publier votre rapport Power BI afin que d’autres personnes puissent le voir.

  1. Dans votre nouveau rapport dans Power BI Desktop, sélectionnez Publier.

    Capture d’écran montrant l’option Publier dans le ruban Power BI Desktop.

  2. Sélectionnez l’espace de travail Rapports de gestion dans lequel publier, puis choisissez Sélectionner.

    Capture d’écran qui montre la sélection de l’espace de travail Rapports de gestion Power BI dans lequel publier.

Importer le rapport dans un canal Microsoft Teams

Vous pouvez également faire en sorte que les membres du canal Équipes de gestion puissent afficher le rapport. Pour ajouter le rapport à un canal Teams :

  1. Dans le canal Équipes de gestion, sélectionnez + pour ajouter un onglet puis, dans la fenêtre Ajouter un onglet, recherchez et sélectionnez Power BI.

    Capture d’écran qui montre la sélection de Power BI dans la fenêtre Ajouter un onglet dans Teams.

  2. Sélectionnez votre nouveau rapport dans la liste des rapports Power BI, puis sélectionnez Enregistrer. Le rapport s’affiche dans un nouvel onglet dans le canal Teams.

    Capture d’écran montrant le rapport Power BI sous un onglet dans le canal Teams.

Planifier l’actualisation du rapport

Actualisez votre rapport Power BI selon une planification, afin que les données mises à jour apparaissent toujours dans le rapport.

  1. Dans le service Power BI, sélectionnez l’espace de travail dans lequel vous avez publié votre rapport.

  2. En regard du jeu de données du rapport, sélectionnez Autres options>Paramètres.

    Capture d’écran montrant l’option Paramètres sous Autres options dans le jeu de données de rapport Power BI.

  3. Sélectionnez Modifier les informations d’identification pour fournir les informations d’identification d’un compte disposant d’un accès en lecture à l’espace de travail Log Analytics.

  4. Sous Actualisation planifiée, définissez le curseur sur Activé et configurez une planification d’actualisation pour le rapport.

    Capture d’écran montrant les paramètres Actualisation planifiée pour le jeu de données de rapport Power BI.

Contenu connexe

Pour plus d’informations, consultez l’article suivant :