Compartilhar via

Criar um relatório do Power BI com os dados do Microsoft Sentinel

  • Artigo

O Power BI é uma plataforma de relatórios e análise que transforma dados em visualizações coerentes, imersivas e interativas. O Power BI permite que você se conecte facilmente a fontes de dados, visualize e descubra relacionamentos e compartilhe insights com quem você quiser.

Você pode basear relatórios do Power BI em dados do Microsoft Sentinel e compartilhar esses relatórios com pessoas que não têm acesso ao Microsoft Sentinel. Por exemplo, talvez você queira compartilhar informações sobre tentativas de conexão com falha com os proprietários do aplicativo sem conceder a eles acesso ao Microsoft Sentinel. As visualizações do Power BI podem fornecer os dados rapidamente.

O Microsoft Sentinel é executado em workspaces do Log Analytics, e você pode usar a KQL (Linguagem de Consulta Kusto) para consultar os dados.

Este artigo oferece um procedimento baseado em cenário para exibir relatórios de análise no Power BI para dados do Microsoft Sentinel. Para obter mais informações, consulte Conectar fontes de dados e Visualizar dados coletados.

Neste artigo você:

  • Exporte uma consulta KQL para uma consulta na linguagem M do Power BI.
  • Use a consulta M no Power BI Desktop para criar visualizações e um relatório.
  • Publique o relatório para o serviço do Power BI e compartilhe-o com outras pessoas.
  • Adicione o relatório a um canal do Teams.

As pessoas às quais você concedeu acesso no serviço do Power BI e membros do canal do Teams podem ver o relatório sem permissões do Microsoft Sentinel.

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para concluir as etapas deste artigo, você precisa de:

Exportar uma consulta do Microsoft Sentinel

Crie, execute e exporte uma consulta KQL do Microsoft Sentinel.

  1. Para criar uma consulta simples, no Microsoft Sentinel, selecione Logs. Se o workspace estiver integrado ao portal do Microsoft Defender, escolha Geral > Logs.

  2. No editor de consultas, em Nova Consulta 1, insira a seguinte consulta ou qualquer outra consulta do Microsoft Sentinel para seus dados:

    SigninLogs
|  where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
|  top 10 by Failed
| sort by Failed

  3. Selecione Executar para executar a consulta e gerar resultados.

    Captura de tela que mostra os resultados e a consulta KQL.

  4. Para exportar a consulta para Power BI formato de consulta M, selecione Exportar e Exportar para Power BI (consulta M) . A consulta é exportada para um arquivo de texto chamado PowerBIQuery.txt.

    Captura de tela mostrando a consulta Exportar para formato M do Power BI.

  5. Copie o conteúdo do arquivo exportado.

Obter os dados no Power BI Desktop

Execute a consulta M exportada no Power BI Desktop para obter dados.

  1. Abra o Power BI Desktop e entre em sua conta do Power BI que tenha acesso de leitura ao workspace do Microsoft Sentinel.

    Captura de tela mostrando a conexão no Power BI Desktop.

  2. Na faixa de opções do Power BI, selecione Obter dados e selecione Consulta em branco. O Editor do Power Query é aberto.

    Captura de tela mostrando a consulta em branco selecionada em Obter dados no Power BI Desktop.

  3. No Editor do Power Query, selecione Editor Avançado.

  4. Cole o conteúdo copiado do arquivo PowerBIQuery.txt exportado para a janela Editor Avançado e selecione Pronto.

    Captura de tela mostrando a consulta M colada no Editor Avançado do Power BI.

  5. No Editor do Power Query, renomeie a consulta para App_signin_stats e selecione Fechar e Aplicar.

    Captura de tela mostrando a consulta renomeada e o comando Fechar e Aplicar no Editor do Power Query.

Criar visualizações com os dados

Agora que seus dados estão no Power BI, você pode criar visualizações para fornecer insights sobre os dados.

Criar uma tabela visual

Primeiro, crie uma tabela que mostre todos os resultados da consulta.

  1. Para adicionar uma visualização de tabela à tela do Power BI Desktop, selecione o ícone de tabela em Visualizações.

    Captura de tela mostrando o ícone de tabela em Visualizações no Power BI Desktop.

  2. Em Campos, selecione todos os campos em sua consulta para que todos eles apareçam na tabela. Se a tabela não mostrar todos os dados, amplie-a arrastando as alças de seleção.

    Captura de tela mostrando todos os campos selecionados para a visualização da tabela.

Crie um gráfico de pizza

Em seguida, crie um gráfico de pizza que mostra quais aplicativos tiveram as tentativas de conexão com mais falhas.

  1. Desmarque o visual da tabela clicando ou tocando fora dele e, em Visualizações, selecione o ícone de gráfico de pizza.

    Captura de tela mostrando o ícone de gráfico de pizza em Visualizações no Power BI Desktop.

  2. Selecione AppDisplayName na caixa Legenda ou arraste-o do painel Campos. Selecione Falha na área Valores ou arraste-o de Campos. O gráfico de pizza agora mostra o número de tentativas de conexão com falha por aplicativo.

    Captura de tela mostrando o gráfico de pizza com o número de tentativas de conexão com falha por aplicativo.

Criar uma medida rápida

Você também deseja mostrar qual percentual de tentativas de conexão falhou para cada aplicativo. Como a consulta não tem uma coluna percentual, você pode criar uma medida para mostrar essas informações.

  1. Em Visualizações, selecione o ícone de gráfico de colunas empilhadas para criar um gráfico de colunas empilhadas.

    Captura de tela mostrando o ícone do gráfico de colunas empilhadas em Visualizações no Power BI Desktop.

  2. Com a nova visualização selecionada, selecione Medida rápida na faixa de opções.

  3. Na janela Medidas rápidas, em Cálculo, selecione Divisão. Arraste Falha de Campos para o campo Numerador e arraste Tentativas de Campos para Denominador.

    Captura de tela mostrando as configurações na janela Medidas rápidas.

  4. Selecione OK. A nova medida aparece no painel Campos.

  5. Selecione a nova medida no painel Campos e, em Formatação na faixa de opções, selecione Percentual.

    Captura de tela mostrando a nova medida selecionada no painel Campos e Percentual selecionado em Formatação na faixa de opções.

  6. Com a visualização do gráfico de colunas selecionada na tela, selecione ou arraste o campo AppDisplayName para a caixa Eixo e a nova medida Falha dividida por Tentativas na caixa Valores. O gráfico agora mostra o percentual de tentativas de conexão com falha para cada aplicativo.

    Captura de tela mostrando o gráfico de colunas com o percentual de tentativas com falha para cada aplicativo.

Atualizar os dados e salvar o relatório

  1. Selecione Atualizar para obter os dados mais recentes Microsoft Sentinel.

    Captura de tela mostrando a botão Atualizar na faixa de opções.

  2. Selecione Arquivo>Salvar e salve o relatório do Power BI.

Criar um Workspace online do Power BI

Para criar um workspace do Power BI para compartilhar o relatório:

  1. Entre em powerbi.com usando a mesma conta usada para acesso de leitura no Power BI Desktop e no Microsoft Sentinel.

  2. Em Workspaces, selecione Criar um workspace. Dê ao workspace o nome Relatórios de Gerenciamento e selecione Salvar.

    Captura de tela mostrando Criar um workspace no serviço do Power BI.

  3. Para conceder acesso a pessoas e grupos ao workspace, selecione os pontos Mais opções ao lado do novo nome do workspace e, depois, selecione Acesso ao workspace.

    Captura de tela mostrando o acesso ao workspace no menu Mais opções do workspace.

  4. No painel lateral Acesso ao workspace, você pode adicionar os endereços de email dos usuários e atribuir uma função a cada usuário. As funções são administrador, membro, contribuidor e visualizador.

Publicar o relatório de Power BI

Agora você pode usar o Power BI Desktop para publicar seu relatório do Power BI para que outras pessoas possam vê-lo.

  1. No novo relatório no Power BI Desktop, selecione Publicar.

    Captura de tela mostrando Publicar na faixa de opções do Power BI Desktop.

  2. Selecione o workspace Relatórios de Gerenciamento para publicar e escolha Selecionar.

    Captura de tela que mostra a seleção do workspace Relatórios de Gerenciamento do Power BI em que publicar.

Importar o relatório para um canal do Microsoft Teams

Você também deseja que os membros do canal Management Teams possam ver o relatório. Para adicionar o relatório a um canal do Teams:

  1. No canal Management Teams, selecione + para adicionar uma guia e, na janela Adicionar uma guia, procure e selecione Power BI.

    Captura de tela que mostra a seleção de Power BI na janela Adicionar uma guia no Teams.

  2. Selecione o novo relatório na lista de relatório do Power BI e selecione Salvar. O relatório aparece em uma nova guia no canal do Teams.

    Captura de tela mostrando o relatório do Power BI em uma guia no canal do Teams.

Agendar atualização do relatório

Atualize seu relatório do Power BI em uma agenda para que os dados atualizados sempre apareçam no relatório.

  1. No serviço do Power BI, selecione o workspace no qual você publicou o relatório.

  2. Ao lado do conjunto de dados do relatório, selecione Mais opções>Configurações.

    Captura de tela mostrando as configurações em mais opções no conjunto de dados de relatório do Power BI.

  3. Selecione Editar credenciais para fornecer as credenciais para uma conta que tenha acesso de leitura ao workspace do Log Analytics.

  4. Em Atualização agendada, defina o controle deslizante como Ativado e configure uma agenda de atualização para o relatório.

    Captura de tela mostrando configurações de atualização agendada para o conjunto de dados de relatório do Power BI.

Conteúdo relacionado

Para saber mais, veja: