Partilhar via


Criar um relatório do Power BI a partir de dados do Microsoft Sentinel

O Power BI é uma plataforma de relatórios e análises que transforma dados em visualizações coerentes, imersivas e interativas. O Power BI permite-lhe ligar-se facilmente a origens de dados, visualizar e descobrir relações e partilhar informações com quem quiser.

Você pode basear os relatórios do Power BI em dados do Microsoft Sentinel e compartilhá-los com pessoas que não têm acesso ao Microsoft Sentinel. Por exemplo, talvez você queira compartilhar informações sobre tentativas de entrada com falha com proprietários de aplicativos, sem conceder-lhes acesso ao Microsoft Sentinel. As visualizações do Power BI podem fornecer os dados rapidamente.

O Microsoft Sentinel é executado em espaços de trabalho do Log Analytics e você pode usar a KQL (Kusto Query Language) para consultar os dados.

Este artigo fornece um procedimento baseado em cenário para exibir relatórios de análise no Power BI para seus dados do Microsoft Sentinel. Para obter mais informações, consulte Conectar fontes de dados e Visualizar dados coletados.

Neste artigo, irá:

  • Exporte uma consulta KQL para uma consulta de idioma do Power BI M.
  • Use a consulta M no Power BI Desktop para criar visualizações e um relatório.
  • Publique o relatório no serviço do Power BI e compartilhe-o com outras pessoas.
  • Adicione o relatório a um canal do Teams.

As pessoas a quem concedeu acesso no serviço Power BI e os membros do canal do Teams podem ver o relatório sem necessitarem de permissões do Microsoft Sentinel.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para concluir as etapas neste artigo, você precisa:

  • Pelo menos acesso de leitura a um espaço de trabalho do Microsoft Sentinel que monitora as tentativas de entrada.
  • Uma conta do Power BI que tenha acesso de leitura ao seu espaço de trabalho do Microsoft Sentinel.
  • Power BI Desktop instalado a partir da Microsoft Store.

Exportar uma consulta do Microsoft Sentinel

Crie, execute e exporte uma consulta KQL do Microsoft Sentinel.

  1. Para criar uma consulta simples, no Microsoft Sentinel, selecione Logs. Se o seu espaço de trabalho estiver integrado ao portal do Microsoft Defender, selecione Logs Gerais>.

  2. No editor de consultas, em Nova Consulta 1, insira a seguinte consulta ou qualquer outra consulta do Microsoft Sentinel para seus dados:

    SigninLogs
    |  where TimeGenerated >ago(7d)
    | summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
    |  top 10 by Failed
    | sort by Failed
    
  3. Selecione Executar para executar a consulta e gerar resultados.

    Captura de tela mostrando a consulta KQL e os resultados.

  4. Para exportar a consulta para o formato de consulta do Power BI M, selecione Exportar e, em seguida, selecione Exportar para o Power BI (consulta M). A consulta é exportada para um arquivo de texto chamado PowerBIQuery.txt.

    Captura de ecrã a mostrar a consulta Exportar para o formato Power BI M.

  5. Copie o conteúdo do arquivo exportado.

Obter os dados no Power BI Desktop

Execute a consulta M exportada no Power BI Desktop para obter dados.

  1. Abra o Power BI Desktop e inicie sessão na sua conta do Power BI que tem acesso de leitura à sua área de trabalho do Microsoft Sentinel.

    Captura de ecrã a mostrar o início de sessão no Power BI Desktop.

  2. No friso do Power BI, selecione Obter dados e, em seguida, selecione Consulta em branco. O Editor do Power Query é aberto.

    Captura de ecrã a mostrar Consulta em branco selecionada em Obter dados no Power BI Desktop.

  3. No Editor do Power Query, selecione Editor Avançado.

  4. Cole o conteúdo copiado do arquivo de PowerBIQuery.txt exportado na janela Editor Avançado e selecione Concluído.

    Captura de ecrã a mostrar a consulta M colada no Editor Avançado do Power BI.

  5. No Editor do Power Query, mude o nome da consulta para App_signin_stats e, em seguida, selecione Fechar & Aplicar.

    Captura de ecrã a mostrar a consulta renomeada e o comando Fechar & Aplicar no Editor do Power Query.

Criar visualizações a partir dos dados

Agora que seus dados estão no Power BI, você pode criar visualizações para fornecer informações sobre os dados.

Criar um visual de tabela

Primeiro, crie uma tabela que mostre todos os resultados da consulta.

  1. Para adicionar uma visualização de tabela à tela do Power BI Desktop, selecione o ícone de tabela em Visualizações.

    Captura de ecrã a mostrar o ícone da tabela em Visualizações no Power BI Desktop.

  2. Em Campos, selecione todos os campos na consulta para que todos apareçam na tabela. Se a tabela não mostrar todos os dados, aumente a tabela arrastando suas alças de seleção.

    Captura de tela mostrando todos os campos selecionados para a visualização da tabela.

Criar um gráfico circular

Em seguida, crie um gráfico de pizza que mostre quais aplicativos tiveram mais tentativas de entrada com falha.

  1. Desmarque o visual da tabela clicando ou tocando fora dela e, em Visualizações, selecione o ícone do gráfico de pizza .

    Captura de ecrã a mostrar o ícone do gráfico circular em Visualizações no Power BI Desktop.

  2. Selecione AppDisplayName na legenda ou arraste-a do painel Campos. Selecione Falha no poço Valores ou arraste-o de Campos. O gráfico de pizza agora mostra o número de tentativas de entrada com falha por aplicativo.

    Captura de ecrã a mostrar o gráfico circular com o número de tentativas de início de sessão falhadas por aplicação.

Criar uma nova medida rápida

Você também deseja mostrar qual porcentagem de tentativas de entrada falharam para cada aplicativo. Como sua consulta não tem uma coluna de porcentagem, você pode criar uma nova medida para mostrar essas informações.

  1. Em Visualizações, selecione o ícone do gráfico de colunas empilhadas para criar um gráfico de colunas empilhadas.

    Captura de ecrã a mostrar o ícone do gráfico de colunas empilhadas em Visualizações no Power BI Desktop.

  2. Com a nova visualização selecionada, selecione Medida rápida na faixa de opções.

  3. Na janela Medidas rápidas, em Cálculo, selecione Divisão. Arraste Falha de Campos para o campo Numerador e arraste Tentativas de Campos para Denominador.

    Captura de ecrã a mostrar as definições na janela Medidas rápidas.

  4. Selecione OK. A nova medida aparece no painel Campos .

  5. Selecione a nova medida no painel Campos e, em Formatação no friso, selecione Porcentagem.

    Captura de ecrã a mostrar a nova medida selecionada no painel Campos e a Percentagem selecionada em Formatação no friso.

  6. Com a visualização do gráfico de colunas selecionada na tela, selecione ou arraste o campo AppDisplayName para o poço Eixo , e a nova medida Falha dividida por Tentativas no poço Valores . O gráfico agora mostra a porcentagem de tentativas de entrada com falha para cada aplicativo.

    Captura de ecrã a mostrar o gráfico de colunas com a percentagem de tentativas falhadas para cada aplicação.

Atualizar os dados e salvar o relatório

  1. Selecione Atualizar para obter os dados mais recentes do Microsoft Sentinel.

    Captura de ecrã a mostrar o botão Atualizar no friso.

  2. Selecione Guardar Ficheiro>e guarde o seu relatório do Power BI.

Criar um espaço de trabalho online do Power BI

Para criar um espaço de trabalho do Power BI para compartilhar o relatório:

  1. Entre no powerbi.com com a mesma conta usada para o Power BI Desktop e o acesso de leitura do Microsoft Sentinel.

  2. Em Espaços de trabalho, selecione Criar um espaço de trabalho. Nomeie o espaço de trabalho Relatórios de gerenciamento e selecione Salvar.

    Captura de ecrã a mostrar Criar uma área de trabalho no serviço do Power BI.

  3. Para conceder acesso a pessoas e grupos ao espaço de trabalho, selecione os pontos Mais opções ao lado do novo nome do espaço de trabalho e selecione Acesso ao espaço de trabalho.

    Captura de tela mostrando o acesso ao espaço de trabalho no menu Mais opções do espaço de trabalho.

  4. No painel lateral Acesso ao espaço de trabalho , você pode adicionar os endereços de e-mail dos usuários e atribuir uma função a cada usuário. As funções são Administrador, Membro, Colaborador e Visualizador.

Publicar o relatório do Power BI

Agora você pode usar o Power BI Desktop para publicar seu relatório do Power BI para que outras pessoas possam vê-lo.

  1. No seu novo relatório no Power BI Desktop, selecione Publicar.

    Captura de ecrã a mostrar Publicar no friso do Power BI Desktop.

  2. Selecione o espaço de trabalho Relatórios de Gerenciamento para publicar e selecione Selecionar.

    Captura de tela que mostra a seleção do espaço de trabalho Relatórios de Gerenciamento do Power BI para publicação.

Importar o relatório para um canal do Microsoft Teams

Você também deseja que os membros do canal Equipes de gerenciamento possam ver o relatório. Para adicionar o relatório a um canal do Teams:

  1. No canal Equipas de Gestão, selecione + para adicionar um separador e, na janela Adicionar um separador, procure e selecione Power BI.

    Captura de ecrã que mostra a seleção do Power BI na janela Adicionar um separador no Teams.

  2. Selecione seu novo relatório na lista de relatórios do Power BI e selecione Salvar. O relatório aparece em uma nova guia no canal do Teams.

    Captura de ecrã a mostrar o relatório do Power BI num separador no canal do Teams.

Agendar atualização do relatório

Atualize seu relatório do Power BI em uma agenda, para que os dados atualizados sempre apareçam no relatório.

  1. No serviço do Power BI, selecione o espaço de trabalho no qual você publicou seu relatório.

  2. Ao lado do conjunto de dados do relatório, selecione Mais opções>Configurações.

    Captura de ecrã a mostrar Definições em Mais opções no conjunto de dados de relatório do Power BI.

  3. Selecione Editar credenciais para fornecer as credenciais de uma conta que tenha acesso de leitura ao espaço de trabalho do Log Analytics.

  4. Em Atualização agendada, defina o controle deslizante como Ativado e configure uma agenda de atualização para o relatório.

    Captura de ecrã a mostrar as definições de Atualização agendada para o conjunto de dados de relatório do Power BI.

Para obter mais informações, consulte: