Compartilhar via


Adicionar dados do Defender para Nuvem ao Power BI

Ao conectar os dados do Microsoft Defender para Nuvem ao Microsoft Power BI, você pode monitorar e analisar facilmente suas métricas de segurança. A integração permite que você visualize insights de segurança e identifique rapidamente possíveis ameaças e vulnerabilidades. Este artigo orienta você pelas etapas para conectar dados do Defender para Nuvem ao Power BI, ajudando você a transformar informações de segurança complexas em insights claros e acionáveis.

Pré-requisitos

Conectar o Power BI ao Azure Resource Graph

Antes de conectar os dados do Defender para Nuvem ao Power BI, você deve primeiro conectar o Power BI ao Azure Resource Graph.

  1. Na área de trabalho, abra o Power BI Desktop.

  2. Selecione Relatório em branco.

  3. Selecione Obter dados>mais.

    Captura de tela da tela principal do Power BI Desktop que mostra onde o botão obter dados está localizado e a opção mais.

  4. Pesquise por Azure Resource Graph e selecione-o.

  5. Selecione Conectar.

Consultar dados do Defender para Nuvem no Power BI

Depois que o Power BI Desktop estiver conectado ao Azure Resource Graph, você poderá usar o Azure Resource Graph para consultar várias fontes de dados do Defender para Nuvem no Power BI.

As consultas fornecidas nesta página são exemplos que fornecem resultados. O Azure Resource Graph permite que você consulte uma ampla variedade de dados que você pode criar e personalizar para retornar resultados que atendam aos seus requisitos específicos.

  1. Copie e cole uma das consultas fornecidas no editor de consultas no Power BI Desktop.

    Essa consulta recupera recomendações de segurança por risco do MDC, permitindo que você analise avaliações e identifique áreas que precisam de atenção.

    securityresources 
            | where type =~ "microsoft.security/assessments"
            | extend assessmentType = iff(type == "microsoft.security/assessments", tostring(properties.metadata.assessmentType), dynamic(null))
            | where (type == "microsoft.security/assessments" and (assessmentType in~ ("BuiltIn", "CustomerManaged")))
            | extend assessmentTypeSkimmed = iff(type == "microsoft.security/assessments", case(
                        tostring(properties.metadata.assessmentType) == "BuiltIn", "BuiltIn",
                        tostring(properties.metadata.assessmentType) == "BuiltInPolicy", "BuiltIn",
                        tostring(properties.metadata.assessmentType) == "CustomPolicy", "Custom",
                        tostring(properties.metadata.assessmentType) == "CustomerManaged", "Custom",
                        tostring(properties.metadata.assessmentType) == "ManualCustomPolicy", "Custom",
                        tostring(properties.metadata.assessmentType) == "ManualBuiltInPolicy", "BuiltIn",
                        dynamic(null)
                    ), dynamic(null))
            | extend assessmentId = tolower(id)
            | extend assessmentKey = iff(type == "microsoft.security/assessments", name, dynamic(null))
            | extend source = iff(type == "microsoft.security/assessments", trim(' ', tolower(tostring(properties.resourceDetails.Source))), dynamic(null))
            | extend statusCode = iff(type == "microsoft.security/assessments", tostring(properties.status.code), dynamic(null))
            | extend resourceId = iff(type == "microsoft.security/assessments", trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
                (type == "microsoft.security/assessments" and (source =~ "aws" and isnotempty(tostring(properties.resourceDetails.ConnectorId)))), properties.resourceDetails.Id,
                (type == "microsoft.security/assessments" and (source =~ "gcp" and isnotempty(tostring(properties.resourceDetails.ConnectorId)))), properties.resourceDetails.Id,
                source =~ "aws", properties.resourceDetails.AzureResourceId,
                source =~ "gcp", properties.resourceDetails.AzureResourceId,
                extract("^(?i)(.+)/providers/Microsoft.Security/assessments/.+$",1,id)
                )))), dynamic(null))
            | extend resourceName = iff(type == "microsoft.security/assessments", tostring(coalesce(properties.resourceDetails.ResourceName, properties.additionalData.CloudNativeResourceName, properties.additionalData.ResourceName, properties.additionalData.resourceName, split(resourceId, '/')[-1], extract(@"(.+)/(.+)", 2, resourceId))), dynamic(null))
            | extend resourceType = iff(type == "microsoft.security/assessments", tolower(properties.resourceDetails.ResourceType), dynamic(null))
            | extend riskLevelText = iff(type == "microsoft.security/assessments", tostring(properties.risk.level), dynamic(null))
            | extend riskLevel = iff(type == "microsoft.security/assessments", case(riskLevelText =~ "Critical", 4,
                      riskLevelText =~ "High", 3,
                      riskLevelText =~ "Medium", 2,
                      riskLevelText =~ "Low", 1,
                      0), dynamic(null))
            | extend riskFactors = iff(type == "microsoft.security/assessments", iff(isnull(properties.risk.riskFactors), dynamic([]), properties.risk.riskFactors), dynamic(null))
            | extend attackPaths = array_length(iff(type == "microsoft.security/assessments", iff(isnull(properties.risk.attackPathsReferences), dynamic([]), properties.risk.attackPathsReferences), dynamic(null)))           
            | extend displayName = iff(type == "microsoft.security/assessments", tostring(properties.displayName), dynamic(null))
            | extend statusCause = iff(type == "microsoft.security/assessments", tostring(properties.status.cause), dynamic(null))
            | extend isExempt = iff(type == "microsoft.security/assessments", iff(statusCause == "Exempt", tobool(1), tobool(0)), dynamic(null))
            | extend statusChangeDate = tostring(iff(type == "microsoft.security/assessments", todatetime(properties.status.statusChangeDate), dynamic(null)))
            | project assessmentId,
                        statusChangeDate,
                        isExempt,
                        riskLevel,
                        riskFactors,
                        attackPaths,
                        statusCode,
                        displayName,
                        resourceId,               
                        assessmentKey,
                        resourceType,
                        resourceName,
                        assessmentTypeSkimmed               
                | join kind=leftouter (
                    securityresources
                    | where type == 'microsoft.security/assessments/governanceassignments'
                    | extend assignedResourceId = tolower(iff(type == "microsoft.security/assessments/governanceassignments", tostring(properties.assignedResourceId), dynamic(null)))
                    | extend dueDate = iff(type == "microsoft.security/assessments/governanceassignments", todatetime(properties.remediationDueDate), dynamic(null))
                    | extend owner = iff(type == "microsoft.security/assessments/governanceassignments", iff(isempty(tostring(properties.owner)), "unspecified", tostring(properties.owner)), dynamic(null))
                    | extend governanceStatus = iff(type == "microsoft.security/assessments/governanceassignments", case(
                                isnull(todatetime(properties.remediationDueDate)), "NoDueDate",
                                todatetime(properties.remediationDueDate) >= bin(now(), 1d), "OnTime",
                                "Overdue"
                            ), dynamic(null))
                    | project assignedResourceId, dueDate, owner, governanceStatus
                ) on $left.assessmentId == $right.assignedResourceId
                | extend completionStatusNumber = case(governanceStatus == "Overdue", 5,
                                                           governanceStatus == "OnTime", 4,
                                                           statusCode == "Unhealthy", 3, 
                                                           isExempt, 7,
                                                           1)
                    | extend completionStatus = case(completionStatusNumber == 5, "Overdue",
                                                     completionStatusNumber == 4, "OnTime",
                                                     completionStatusNumber == 3, "Unassigned",
                                                     completionStatusNumber == 7, "Exempted",
                                                     "Completed")
                | where completionStatus in~ ("OnTime","Overdue","Unassigned")
                | project-away assignedResourceId, governanceStatus, isExempt
                           | order by riskLevel desc, attackPaths desc, displayName
    
  2. Selecione Ok.

    Captura de tela que mostra onde inserir a consulta do Azure Resource Graph e onde o botão Ok está localizado.

    Observação

    Por padrão, o Resource Graph limita qualquer consulta a retornar apenas 1000 registros. Esse controle protege você e o serviço de consultas não intencionais que resultariam em grandes conjuntos de dados. Se você quiser que os resultados da consulta não sejam truncados pelo limite de 1000 registros, defina o valor da "Opção Avançada - $resultTruncated (opcional)" como FALSE.

    Captura de tela que mostra onde as opções avançadas estão localizadas e como defini-las como falsas.

  3. Selecione Carregar.

Com o Azure Resource Graph, você tem a flexibilidade de recuperar e analisar todos os dados disponíveis em seu ambiente do Defender para Nuvem, garantindo insights abrangentes e personalizados. Depois que seus dados forem adicionados ao Power BI, você poderá criar visualizações e dashboards para monitorar e gerenciar sua postura de segurança com eficiência.

Próxima etapa