Microsoft Azure Sentinel のデータから Power BI レポートを作成する

Power BI は、データをイマーシブで一貫性のある対話型の視覚化に変えるレポートおよび分析プラットフォームです。 Power BI を使用すると、データ ソースへの接続、リレーションシップの視覚化と検出、必要に応じた分析情報の共有を簡単に実行できます。

Microsoft Sentinel からのデータに基づいて Power BI レポートを作成し、Microsoft Sentinel にアクセスできないユーザーとレポートを共有できます。 たとえば、Microsoft Azure Sentinel へのアクセスを許可することなく、失敗したサインイン試行に関する情報をアプリの所有者と共有できます。 Power BI の視覚化を使用すると、データを一目で確認できます。

Microsoft Sentinel は Log Analytics ワークスペースで実行され、Kusto クエリ言語 (KQL) を使用してデータのクエリを実行できます。

この記事では、Microsoft Sentinel のデータの分析レポートを Power BI で表示するシナリオ ベースの手順について説明します。 詳細については、「データ ソースの接続」と「収集されたデータを視覚化する」を参照してください。

この記事では、次の内容について説明します。

• KQL クエリを Power BI の M 言語クエリにエクスポートします。
• Power BI Desktop の M クエリを使用して、視覚化とレポートを作成します。
• レポートを Power BI サービスに公開して、他のユーザーと共有します。
• Teams チャネルにレポートを追加します。

Power BI サービスでアクセスが許可されたユーザーと Teams チャネルのメンバーは、Microsoft Azure Sentinel のアクセス許可を必要とすることなくレポートを表示できます。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューとして、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

前提条件

この記事の手順を完了するには、次のものが必要です。

• 少なくとも、サインイン試行を監視する Microsoft Sentinel ワークスペースへの読み取りアクセス。
• Microsoft Sentinel ワークスペースの読み取りアクセスがある Power BI アカウント。
• Microsoft Store からインストールされた Power BI Desktop。

Microsoft Sentinel からクエリをエクスポートする

Microsoft Sentinel から KQL クエリを作成、実行、エクスポートします。

1. 単純なクエリを作成するには、Microsoft Sentinel で [ログ] を選択します。 ワークスペースが Microsoft Defender ポータルにオンボードされている場合は、[全般] > [ログ] を選択します。

2. クエリ エディターの [新しいクエリ 1]で、次のクエリ、またはデータについての他の Microsoft Sentinel クエリを入力します。

   SigninLogs
   |  where TimeGenerated >ago(7d)
   | summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
   |  top 10 by Failed
   | sort by Failed
   

3. [実行] を選択してクエリを実行し、結果を生成します。

   

4. このクエリを Power BI の M クエリ形式にエクスポートするには、 [エクスポート] を選択してから、 [Power BI (M クエリ) にエクスポート] を選択します。 クエリは、PowerBIQuery.txt というテキスト ファイルにエクスポートされます。

   

5. エクスポートされたファイルの内容をコピーします。

Power BI Desktop でデータを取得する

エクスポートされた M クエリを Power BI Desktop で実行して、データを取得します。

1. Power BI Desktop を開き、Microsoft Sentinel ワークスペースへの読み取りアクセスを持つ Power BI アカウントにサインインします。

   

2. Power BI のリボンで [データの取得] を選択してから、 [空のクエリ] を選択します。 [Power Query エディター] が開きます。

   

3. [Power Query エディター] で [詳細エディター] を選択します。

4. エクスポートされた PowerBIQuery.txt ファイルをコピーした内容を [詳細エディター] ウィンドウに貼り付けて、 [完了] を選択します。

   

5. [Power Query エディター] で、クエリの名前を "App_signin_stats" に変更し、[閉じて適用] を選択します。

   

データから視覚化を作成する

データが Power BI に取得されたので、データに関する分析情報を提供する視覚化を作成できます。

テーブルの視覚化を作成する

まず、クエリのすべての結果を示すテーブルを作成します。

1. テーブルの視覚化を Power BI Desktop キャンバスに追加するには、 [視覚化] の下にあるテーブル アイコンを選択します。

   

2. [フィールド] で、クエリ内のすべてのフィールドを選択して、テーブルにすべてが表示されるようにします。 テーブルにすべてのデータが表示されない場合は、選択ハンドルをドラッグしてテーブルを拡大します。

   

円グラフを作成する

次に、サインイン試行が最も失敗したアプリケーションを示す円グラフを作成します。

1. テーブルの視覚化の外側をクリックまたはタップしてテーブルの視覚化の選択を解除し、 [視覚化] の下の円グラフ アイコンを選択します。

   

2. [凡例] ウェルで [AppDisplayName] を選択するか、 [フィールド] ペインからドラッグします。 [値] ウェルで [失敗] を選択するか、 [フィールド] からドラッグします。 円グラフに、アプリケーションごとの失敗したサインイン試行の回数が表示されるようになります。

   

新しいクイック メジャーを作成する

アプリケーションごとの失敗したサインイン試行のパーセンテージを表示することもできます。 クエリにはパーセンテージ列が含まれていないので、この情報を表示する新しいメジャーを作成できます。

1. [視覚化] で、積み上げ縦棒グラフ アイコンを選択して積み上げ縦棒グラフを作成します。

   

2. 新しい視覚化を選択して、リボンの [クイック メジャー] を選択します。

3. [クイック メジャー] ウィンドウの [計算] で、 [除算] を選択します。 [フィールド] から [分子] フィールドに [失敗] を ドラッグし、 [フィールド] から [分母] に [試行回数] をドラッグします。

   

4. [OK] を選択します。 新しいメジャーが [フィールド] ペインに表示されます。

5. [フィールド] ペインで新しいメジャーを選択し、リボンの [書式設定] で [パーセンテージ] を 選択します。

   

6. キャンバスで縦棒グラフの視覚化を選択して、 [AppDisplayName] フィールドを選択するか、 [軸] ウェルにドラッグし、新しい [失敗を試行回数で除算] メジャーを選択するか、 [値] ウェルにドラッグします。 グラフには、アプリケーションごとの失敗したサインイン試行のパーセンテージが表示されるようになります。

   

データを最新の情報に更新してレポートを保存する

1. [最新の情報に更新] を選択して、Microsoft Azure Sentinel から最新のデータを取得します。

   

2. [ファイル]>[保存] を選択して、Power BI レポートを保存します。

Power BI オンライン ワークスペースを作成する

レポートを共有するための Power BI ワークスペースを作成するには、次の手順を実行します。

1. Power BI Desktop と Microsoft Azure Sentinel の読み取りアクセスに使用するのと同じアカウントで powerbi.com にサインインします。

2. [ワークスペース] で [ワークスペースの作成] を選択します。 ワークスペースに "管理レポート" という名前を付けて、 [保存] を選択します。

   

3. ユーザーとグループにワークスペースへのアクセスを許可するには、新しいワークスペース名の横にあるその他のオプションのドットを選択し、 [ワークスペースへのアクセス] を選択します。

   

4. [ワークスペースへのアクセス] サイド ペインでは、ユーザーの電子メール アドレスを追加して、各ユーザーにロールを割り当てることができます。 ロールは、[管理者]、[メンバー]、[共同作成者]、[表示者] です。

Power BI レポートの公開

これで、Power BI Desktop を使用して Power BI レポートを公開し、他のユーザーが表示できるようにすることができるようになりました。

1. Power BI Desktop の新しいレポートで [公開] を選択します。

   

2. 公開先の [管理レポート] ワークスペースを選択し、 [選択] を選択します。

   

Microsoft Teams チャネルにレポートをインポートする

Management Teams チャネルのメンバーがレポートを表示できるようにすることもできます。 Teams チャネルにレポートを追加するには、次の手順を実行します。

1. Management Teams チャネルで + を選択してタブを追加し、[タブの追加] ウィンドウで [Power BI] を検索して選択します。

   

2. Power BI レポートの一覧から新しいレポートを選択して、 [保存] を選択します。 レポートが、Teams チャネルの新しいタブに表示されます。

   

レポート更新のスケジュールを設定する

スケジュールに基づいて Power BI レポートを最新の情報に更新すると、レポートに更新されたデータが常に表示されるようになります。

1. Power BI サービスで、レポートの公開先のワークスペースを選択します。

2. レポートのデータセットの横にあるその他のオプション>[設定] を選択します。

   

3. [資格情報の編集] を選択して、Log Analytics ワークスペースへの読み取りアクセスを持つアカウントの資格情報を指定します。

4. [スケジュールされた更新] で、スライダーを [オン] に設定し、レポートの更新スケジュールを設定します。

   

関連するコンテンツ

詳細については、以下を参照してください:

• Azure Monitor サービスの制限
• Azure Monitor ログ データを Power BI にインポートする
• Power Query M 式言語