Delen via

Een Power BI-rapport maken op basis van Microsoft Sentinel-gegevens

  • Artikel

Power BI is een rapportage- en analyseplatform waarmee gegevens worden omgezet in coherente, meeslepende, interactieve visualisaties. Met Power BI kunt u eenvoudig verbinding maken met gegevensbronnen, relaties visualiseren en ontdekken en inzichten delen met de gewenste personen.

U kunt Power BI-rapporten baseren op gegevens van Microsoft Sentinel en deze rapporten delen met personen die geen toegang hebben tot Microsoft Sentinel. U kunt bijvoorbeeld informatie delen over mislukte aanmeldingspogingen met app-eigenaren, zonder hen Microsoft Sentinel-toegang te verlenen. Power BI-visualisaties kunnen de gegevens in één oogopslag bieden.

Microsoft Sentinel wordt uitgevoerd op Log Analytics-werkruimten en u kunt Kusto-querytaal (KQL) gebruiken om een query uit te voeren op de gegevens.

Dit artikel bevat een procedure op basis van scenario's voor het weergeven van analyserapporten in Power BI voor uw Microsoft Sentinel-gegevens. Zie Verbinding maken met gegevensbronnen en Verzamelde gegevens visualiseren voor meer informatie.

In dit artikel leert u het volgende:

  • Een KQL-query exporteren naar een Power BI M-taalquery.
  • Gebruik de M-query in Power BI Desktop om visualisaties en een rapport te maken.
  • Publiceer het rapport naar het Power BI-service en deel het met anderen.
  • Voeg het rapport toe aan een Teams-kanaal.

Personen die u toegang hebt verleend in de Power BI-service en leden van het Teams-kanaal, kunnen het rapport zien zonder dat u Microsoft Sentinel-machtigingen nodig hebt.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

U hebt het volgende nodig om de stappen in dit artikel te voltooien:

Een query exporteren uit Microsoft Sentinel

Een KQL-query maken, uitvoeren en exporteren vanuit Microsoft Sentinel.

  1. Als u een eenvoudige query wilt maken, selecteert u logboeken in Microsoft Sentinel. Als uw werkruimte is toegevoegd aan de Microsoft Defender-portal, selecteert u Algemene > logboeken.

  2. Voer in de queryeditor onder Nieuwe query 1 de volgende query of een andere Microsoft Sentinel-query in voor uw gegevens:

    SigninLogs
|  where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
|  top 10 by Failed
| sort by Failed

  3. Selecteer Uitvoeren om de query uit te voeren en resultaten te genereren.

    Schermopname van de KQL-query en -resultaten.

  4. Als u de query wilt exporteren naar de Power BI M-queryindeling, selecteert u Exporteren en selecteert u Exporteren naar Power BI (M-query). De query wordt geëxporteerd naar een tekstbestand met de naam PowerBIQuery.txt.

    Schermopname van query exporteren naar Power BI M-indeling.

  5. Kopieer de inhoud van het geëxporteerde bestand.

De gegevens ophalen in Power BI Desktop

Voer de geëxporteerde M-query uit in Power BI Desktop om gegevens op te halen.

  1. Open Power BI Desktop en meld u aan bij uw Power BI-account met leestoegang tot uw Microsoft Sentinel-werkruimte.

    Schermopname van aanmelden bij Power BI Desktop.

  2. Selecteer gegevens ophalen in het Power BI-lint en selecteer vervolgens Lege query. De Power Query-editor wordt geopend.

    Schermopname van lege query geselecteerd onder Gegevens ophalen in Power BI Desktop.

  3. Selecteer Geavanceerde editor in de Power Query-editor.

  4. Plak de gekopieerde inhoud van het geëxporteerde PowerBIQuery.txt-bestand in het Geavanceerde editor venster en selecteer Vervolgens Gereed.

    Schermopname van de M-query die is geplakt in de Power BI-Geavanceerde editor.

  5. Wijzig in de Power Query-editor de naam van de query in App_signin_stats en selecteer vervolgens Sluiten en toepassen.

    Schermopname van de hernoemde query en de opdracht Sluiten en toepassen in de Power Query-editor.

Visualisaties maken op basis van de gegevens

Nu uw gegevens zich in Power BI bevindt, kunt u visualisaties maken om inzicht te krijgen in de gegevens.

Een tabelvisual maken

Maak eerst een tabel waarin alle resultaten van de query worden weergegeven.

  1. Als u een tabelvisualisatie wilt toevoegen aan het Power BI Desktop-canvas, selecteert u het tabelpictogram onder Visualisaties.

    Schermopname van het tabelpictogram onder Visualisaties in Power BI Desktop.

  2. Selecteer onder Velden alle velden in uw query, zodat ze allemaal in de tabel worden weergegeven. Als in de tabel niet alle gegevens worden weergegeven, vergroot u de tabel door de selectiegrepen te slepen.

    Schermopname van alle velden die zijn geselecteerd voor de tabelvisualisatie.

Een cirkeldiagram maken

Maak vervolgens een cirkeldiagram waarin wordt weergegeven welke toepassingen de meest mislukte aanmeldingspogingen hadden.

  1. Hef de selectie van de tabelvisual op door erbuiten te klikken of tikken en selecteer vervolgens onder Visualisaties het cirkeldiagrampictogram .

    Schermopname van het cirkeldiagrampictogram onder Visualisaties in Power BI Desktop.

  2. Selecteer AppDisplayName in de legendabron of sleep deze vanuit het deelvenster Velden . Selecteer Mislukt in de bron Waarden of sleep deze vanuit Velden. In het cirkeldiagram ziet u nu het aantal mislukte aanmeldingspogingen per toepassing.

    Schermopname van het cirkeldiagram met het aantal mislukte aanmeldingspogingen per toepassing.

Een nieuwe snelle meting maken

U wilt ook weergeven welk percentage aanmeldingspogingen is mislukt voor elke toepassing. Omdat uw query geen percentagekolom heeft, kunt u een nieuwe meting maken om deze informatie weer te geven.

  1. Selecteer onder Visualisaties het pictogram van het gestapelde kolomdiagram om een gestapeld kolomdiagram te maken.

    Schermopname van het pictogram gestapeld kolomdiagram onder Visualisaties in Power BI Desktop.

  2. Selecteer Snelle meting op het lint terwijl de nieuwe visualisatie is geselecteerd.

  3. Selecteer In het venster Snelle metingen onder Berekening de optie Delen. Sleep Mislukt van Velden naar het veld Teller en sleep Pogingen van Velden naar Noemer.

    Schermopname van de instellingen in het venster Snelle metingen.

  4. Selecteer OK. De nieuwe meting wordt weergegeven in het deelvenster Velden .

  5. Selecteer de nieuwe meting in het deelvenster Velden en selecteer onder Opmaak op het lint percentage.

    Schermopname van de nieuwe meting die is geselecteerd in het deelvenster Velden en Percentage geselecteerd onder Opmaak op het lint.

  6. Selecteer of sleep met de visualisatie van het kolomdiagram op het canvas het veld AppDisplayName naar de bron As en de nieuwe meting Mislukt gedeeld door pogingen in de bron Waarden . In de grafiek ziet u nu het percentage mislukte aanmeldingspogingen voor elke toepassing.

    Schermopname van het kolomdiagram met het percentage mislukte pogingen voor elke toepassing.

Vernieuw de gegevens en sla het rapport op

  1. Selecteer Vernieuwen om de meest recente gegevens van Microsoft Sentinel op te halen.

    Schermopname van de knop Vernieuwen op het lint.

  2. Selecteer Bestand>opslaan en sla uw Power BI-rapport op.

Een online Power BI-werkruimte maken

Een Power BI-werkruimte maken voor het delen van het rapport:

  1. Meld u aan bij powerbi.com met hetzelfde account dat u hebt gebruikt voor Leestoegang van Power BI Desktop en Microsoft Sentinel.

  2. Selecteer onder Werkruimten de optie Een werkruimte maken. Geef de werkruimtebeheerrapporten een naam en selecteer Opslaan.

    Schermopname van Een werkruimte maken in de Power BI-service.

  3. Als u personen en groepen toegang wilt verlenen tot de werkruimte, selecteert u de puntjes Meer opties naast de naam van de nieuwe werkruimte en selecteert u vervolgens Werkruimtetoegang.

    Schermopname van werkruimtetoegang in het menu Meer opties voor werkruimte.

  4. In het zijvenster voor toegang tot werkruimte kunt u e-mailadressen van gebruikers toevoegen en elke gebruiker een rol toewijzen. De rollen zijn Beheerder, Lid, Inzender en Viewer.

Het Power BI-rapport publiceren

U kunt nu Power BI Desktop gebruiken om uw Power BI-rapport te publiceren, zodat anderen het kunnen zien.

  1. Selecteer Publiceren in uw nieuwe rapport in Power BI Desktop.

    Schermopname van Publiceren op het lint van Power BI Desktop.

  2. Selecteer de werkruimte Beheerrapporten om naar te publiceren en selecteer Selecteren.

    Schermopname van het selecteren van de werkruimte Power BI-beheerrapporten waarnaar u wilt publiceren.

Het rapport importeren in een Microsoft Teams-kanaal

U wilt ook dat leden van het Management Teams-kanaal het rapport kunnen zien. Het rapport toevoegen aan een Teams-kanaal:

  1. Selecteer + in het beheer teams-kanaal om een tabblad toe te voegen en zoek en selecteer Power BI in het venster Een tabblad toevoegen.

    Schermopname van het selecteren van Power BI in het venster Een tabblad toevoegen in Teams.

  2. Selecteer uw nieuwe rapport in de lijst met Power BI-rapporten en selecteer Opslaan. Het rapport wordt weergegeven op een nieuw tabblad in het Teams-kanaal.

    Schermopname van het Power BI-rapport op een tabblad in het Teams-kanaal.

Rapport vernieuwen plannen

Vernieuw uw Power BI-rapport volgens een planning, zodat bijgewerkte gegevens altijd in het rapport worden weergegeven.

  1. Selecteer in de Power BI-service de werkruimte waarnaar u het rapport hebt gepubliceerd.

  2. Selecteer Naast de gegevensset van het rapport meer opties.>

    Schermopname van Instellingen onder Meer opties in de Power BI-rapportgegevensset.

  3. Selecteer Referenties bewerken om de referenties op te geven voor een account met leestoegang tot de Log Analytics-werkruimte.

  4. Stel onder Geplande vernieuwing de schuifregelaar in op Aan en stel een vernieuwingsschema voor het rapport in.

    Schermopname van de instellingen voor gepland vernieuwen voor de Power BI-rapportgegevensset.

Gerelateerde inhoud

Zie voor meer informatie: