Creare un report di Power BI dai dati di Microsoft Sentinel
Power BI è una piattaforma di report e analisi che trasforma i dati in visualizzazioni coerenti, immersive e interattive. Power BI consente di connettersi facilmente a origini dati, visualizzare e individuare le relazioni e condividere informazioni dettagliate con chiunque si desideri.
È possibile basare i report di Power BI sui dati di Microsoft Sentinel e condividere i report con persone che non hanno accesso a Microsoft Sentinel. Ad esempio, è possibile condividere informazioni sui tentativi di accesso non riusciti con i proprietari delle app, senza concedere loro l'accesso a Microsoft Sentinel. Le visualizzazioni di Power BI possono fornire i dati in breve.
Microsoft Sentinel viene eseguito nelle aree di lavoro Log Analytics ed è possibile usare il linguaggio di query Kusto (KQL) per eseguire query sui dati.
Questo articolo fornisce una procedura basata su scenari per visualizzare i report di analisi in Power BI per i dati di Microsoft Sentinel. Per altre informazioni, vedere Connettere le origini dati e Visualizzare i dati raccolti.
In questo articolo si apprenderà come:
- Esportare una query KQL in una query del linguaggio M di Power BI.
- Usare la query M in Power BI Desktop per creare visualizzazioni e un report.
- Pubblicare il report nel servizio Power BI e condividerlo con altri utenti.
- Aggiungere il report a un canale di Teams.
Gli utenti a cui è stato concesso l'accesso nel servizio Power BI e i membri del canale di Teams possono visualizzare il report senza dover disporre delle autorizzazioni di Microsoft Sentinel.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Prerequisiti
Per completare i passaggi di questo articolo sono necessari:
- Almeno l'accesso in lettura a un'area di lavoro di Microsoft Sentinel che monitora i tentativi di accesso.
- Un account Di Power BI con accesso in lettura all'area di lavoro di Microsoft Sentinel.
- Power BI Desktop installato da Microsoft Store.
Esportare una query da Microsoft Sentinel
Creare, eseguire ed esportare una query KQL da Microsoft Sentinel.
Per creare una query semplice, in Microsoft Sentinel selezionare Log. Se l'area di lavoro è stata eseguita l'onboarding nel portale di Microsoft Defender, selezionare Log generali>.
Nell'editor di query, in Nuova query 1immettere la query seguente o qualsiasi altra query di Microsoft Sentinel per i dati:
SigninLogs | where TimeGenerated >ago(7d) | summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName | top 10 by Failed | sort by Failed
Selezionare Esegui per eseguire la query e generare i risultati.
Per esportare la query in formato di query M di Power BI, selezionare Esporta e quindi selezionare Esporta in Power BI (query M). La query viene esportata in un file di testo denominato PowerBIQuery.txt.
Copiare il contenuto del file esportato.
Ottenere i dati in Power BI Desktop
Eseguire la query M esportata in Power BI Desktop per ottenere i dati.
Aprire Power BI Desktop e accedere all'account Power BI con accesso in lettura all'area di lavoro di Microsoft Sentinel.
Nella barra multifunzione di Power BI selezionare Recupera dati e quindi selezionare Query vuota. Verrà visualizzato l’editor di Power Query.
Nell'editor di Power Query selezionare Editor avanzato.
Incollare il contenuto copiato del file PowerBIQuery.txt esportato nella finestra Editor avanzato e quindi selezionare Fine.
Nell'editor di Power Query, rinominare la query in App_signin_stats e quindi selezionare Chiudi e applica.
Creare visualizzazioni dai dati
Ora che i dati si trovano in Power BI, è possibile creare visualizzazioni per fornire informazioni dettagliate sui dati.
Creare un oggetto visivo tabella
Creare prima di tutto una tabella che mostra tutti i risultati della query.
Per aggiungere una visualizzazione tabella all'area di disegno di Power BI Desktop, selezionare l'icona tabella in Visualizzazioni.
In Campi selezionare tutti i campi nella query, in modo che vengano visualizzati tutti nella tabella. Se la tabella non mostra tutti i dati, ingrandirla trascinandone i punti di selezione.
Creare un grafico a torta
Quindi, creare un grafico a torta che mostri quali applicazioni hanno avuto il maggior numero di tentativi di accesso falliti.
Deselezionare l'oggetto visivo tabella facendo clic o toccandolo all'esterno e quindi in Visualizzazioni selezionare l'icona grafico a torta.
Selezionare AppDisplayName nell'area legenda o trascinarla dal riquadro Campi. Selezionare Non riuscito nell'area Valori oppure trascinarlo da Campi. Il grafico a torta mostra ora il numero di tentativi di accesso non riusciti per applicazione.
Crea una nuova misura rapida
Si vuole anche visualizzare la percentuale di tentativi di accesso non riusciti per ogni applicazione. Poiché la query non ha una colonna percentuale, è possibile creare una nuova misura per visualizzare queste informazioni.
In Visualizzazioniselezionare l'icona istogramma in pila per crearne uno.
Con la nuova visualizzazione selezionata, selezionare Misura rapida nella barra multifunzione.
Nella finestra Misure rapide, in Calcolo selezionare Divisione. Trascinare Non riuscito da Campi di nel campo Numeratore e trascinare Tentativi da Campi a Denominatore.
Seleziona OK. La nuova misura viene visualizzata nel riquadro Campi.
Selezionare la nuova misura nel riquadro Campi e in Formattazione nella barra multifunzione selezionare Percentuale.
Con la visualizzazione dell'istogramma selezionata nell'area di disegno, selezionare o trascinare il campo AppDisplayName nell'area Asse e la nuova misura Processi non riusciti divisi per tentativi nell’area Valori. Il grafico mostra ora la percentuale di tentativi di accesso non riusciti per ogni applicazione.
Aggiornare i dati e salvare il report
Selezionare Aggiorna per ottenere i dati più recenti da Microsoft Sentinel.
Selezionare File>Salva e salvare il report di Power BI.
Creare un'area di lavoro di Power BI online
Per creare un'area di lavoro di Power BI per la condivisione del report:
Accedere a powerbi.com con lo stesso account usato per Power BI Desktop e l'accesso in lettura a Microsoft Sentinel.
Selezionare Aree di lavoro e quindi Crea un'area di lavoro. Denominare l'area di lavoro Report di gestione e selezionare Salva.
Per concedere a utenti e gruppi l'accesso all'area di lavoro, selezionare i puntini Altre opzioni accanto al nuovo nome dell'area di lavoro e quindi selezionare Accesso all'area di lavoro.
Nel riquadro laterale Accesso all'area di lavoro è possibile aggiungere gli indirizzi di posta elettronica degli utenti e assegnare a ogni utente un ruolo. I ruoli sono Admin, Membro, Collaboratore e Spettatore.
Pubblicare il report Power BI
È ora possibile usare Power BI Desktop per pubblicare il report di Power BI in modo che altri utenti possano visualizzarlo.
Nel nuovo report in Power BI Desktop selezionare Pubblica.
Selezionare l'area di lavoro Report di gestione in cui eseguire la pubblicazione e selezionare Seleziona.
Importare il report in un canale di Microsoft Teams
Si vuole anche che i membri del canale di Gestione di Teams siano in grado di visualizzare il report. Per aggiungere il report a un canale di Teams:
Nel canale Gestione di Teams selezionare + per aggiungere una scheda e nella finestra Aggiungi una scheda cercare e selezionare Power BI.
Selezionare il nuovo report dall'elenco dei report di Power BI e selezionare Salva. Il report viene visualizzato in una nuova scheda nel canale Teams.
Pianificare l'aggiornamento del report
Aggiornare il report di Power BI in base a una pianificazione, in modo che i dati aggiornati vengano sempre visualizzati nel report.
Nel servizio Power BI selezionare l'area di lavoro in cui è stato pubblicato il report.
Accanto al set di dati del report selezionare Altre opzioni>Impostazioni.
Selezionare Modifica credenziali per fornire le credenziali per un account con accesso in lettura all'area di lavoro Log Analytics.
In Aggiornamento pianificato, impostare il dispositivo di scorrimento su One configurare una pianificazione di aggiornamento per il report.
Contenuto correlato
Per altre informazioni, vedi: