Dela via

Skapa en Power BI-rapport från Microsoft Sentinel-data

  • Artikel

Power BI är en rapporterings- och analysplattform som omvandlar data till sammanhängande, uppslukande, interaktiva visualiseringar. Med Power BI kan du enkelt ansluta till datakällor, visualisera och identifiera relationer och dela insikter med vem du vill.

Du kan basera Power BI-rapporter på data från Microsoft Sentinel och dela dessa rapporter med personer som inte har åtkomst till Microsoft Sentinel. Du kanske till exempel vill dela information om misslyckade inloggningsförsök med appägare, utan att ge dem Microsoft Sentinel-åtkomst. Power BI-visualiseringar kan ge data snabbt.

Microsoft Sentinel körs på Log Analytics-arbetsytor och du kan använda Kusto-frågespråk (KQL) för att fråga efter data.

Den här artikeln innehåller en scenariobaserad procedur för att visa analysrapporter i Power BI för dina Microsoft Sentinel-data. Mer information finns i Ansluta datakällor och Visualisera insamlade data.

Den här artikeln innehåller följande avsnitt:

  • Exportera en KQL-fråga till en Power BI M-språkfråga.
  • Använd M-frågan i Power BI Desktop för att skapa visualiseringar och en rapport.
  • Publicera rapporten till Power BI-tjänst och dela den med andra.
  • Lägg till rapporten i en Teams-kanal.

Personer som du har beviljat åtkomst i Power BI-tjänst och medlemmar i Teams-kanalen kan se rapporten utan att behöva Microsoft Sentinel-behörigheter.

Viktigt!

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

För att utföra stegen i den här artikeln behöver du:

Exportera en fråga från Microsoft Sentinel

Skapa, köra och exportera en KQL-fråga från Microsoft Sentinel.

  1. Om du vill skapa en enkel fråga väljer du Loggar i Microsoft Sentinel. Om din arbetsyta är registrerad på Microsoft Defender-portalen väljer du Allmänna > loggar.

  2. I frågeredigeraren, under Ny fråga 1, anger du följande fråga eller någon annan Microsoft Sentinel-fråga för dina data:

    SigninLogs
| where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
| top 10 by Failed
| sort by Failed

    Mer information om följande objekt som används i föregående exempel finns i Kusto-dokumentationen:

    Mer information om KQL finns i översikten över Kusto-frågespråk (KQL).

    Andra resurser:

  3. Välj Kör för att köra frågan och generera resultat.

    Skärmbild som visar KQL-frågan och resultaten.

  4. Om du vill exportera frågan till Power BI M-frågeformatet väljer du Exportera och sedan Exportera till Power BI (M-fråga). Frågan exporteras till en textfil med namnet PowerBIQuery.txt.

    Skärmbild som visar frågan Exportera till Power BI M-format.

  5. Kopiera innehållet i den exporterade filen.

Hämta data i Power BI Desktop

Kör den exporterade M-frågan i Power BI Desktop för att hämta data.

  1. Öppna Power BI Desktop och logga in på ditt Power BI-konto som har läsbehörighet till din Microsoft Sentinel-arbetsyta.

    Skärmbild som visar inloggning till Power BI Desktop.

  2. I menyfliksområdet i Power BI väljer du Hämta data och väljer sedan Tom fråga. Power Query-redigeraren öppnas.

    Skärmbild som visar tom fråga som valts under Hämta data i Power BI Desktop.

  3. I Power Query-redigeraren väljer du Avancerad redigerare.

  4. Klistra in det kopierade innehållet i den exporterade PowerBIQuery.txt filen i Avancerad redigerare-fönstret och välj sedan Klar.

    Skärmbild som visar M-frågan som klistrats in i Power BI-Avancerad redigerare.

  5. I Power Query-redigeraren byter du namn på frågan till App_signin_stats och väljer sedan Stäng och tillämpa.

    Skärmbild som visar den omdöpta frågan och kommandot Stäng och tillämpa i Power Query-redigeraren.

Skapa visualiseringar från data

Nu när dina data finns i Power BI kan du skapa visualiseringar för att ge insikter om data.

Skapa ett visuellt tabellobjekt

Skapa först en tabell som visar alla resultat av frågan.

  1. Om du vill lägga till en tabellvisualisering på Power BI Desktop-arbetsytan väljer du tabellikonen under Visualiseringar.

    Skärmbild som visar tabellikonen under Visualiseringar i Power BI Desktop.

  2. Under Fält markerar du alla fält i din fråga, så att alla visas i tabellen. Om tabellen inte visar alla data förstorar du tabellen genom att dra dess markeringshandtag.

    Skärmbild som visar alla fält som valts för tabellvisualiseringen.

Skapa ett cirkeldiagram

Skapa sedan ett cirkeldiagram som visar vilka program som hade flest misslyckade inloggningsförsök.

  1. Avmarkera det visuella tabellobjektet genom att klicka eller trycka utanför det och välj sedan cirkeldiagramikonen under Visualiseringar.

    Skärmbild som visar cirkeldiagramikonen under Visualiseringar i Power BI Desktop.

  2. Välj AppDisplayName i området Förklaring eller dra det från fönstret Fält . Välj Misslyckades i brunnen Värden eller dra den från Fält. Cirkeldiagrammet visar nu antalet misslyckade inloggningsförsök per program.

    Skärmbild som visar cirkeldiagrammet med antalet misslyckade inloggningsförsök per program.

Skapa ett nytt snabbmått

Du vill också visa vilken procentandel av inloggningsförsöken som misslyckades för varje program. Eftersom frågan inte har någon procentkolumn kan du skapa ett nytt mått för att visa den här informationen.

  1. Under Visualiseringar väljer du ikonen för staplat stapeldiagram för att skapa ett staplat stapeldiagram.

    Skärmbild som visar stapeldiagramikonen under Visualiseringar i Power BI Desktop.

  2. När den nya visualiseringen har valts väljer du Snabbmått i menyfliksområdet.

  3. I fönstret Snabbmått går du till Beräkning och väljer Division. Dra Misslyckades från fält till täljarfältet och dra Försök från fält till Nämnare.

    Skärmbild som visar inställningarna i fönstret Snabbmått.

  4. Välj OK. Det nya måttet visas i fönstret Fält .

  5. Välj det nya måttet i fönstret Fält och välj Procent under Formatering i menyfliksområdet.

    Skärmbild som visar det nya måttet som valts i fönstret Fält och Procent valt under Formatering i menyfliksområdet.

  6. När visualiseringen för kolumndiagram har valts på arbetsytan väljer eller drar du fältet AppDisplayName till axelbrunn och det nya måttet Misslyckades dividerat med Försök i brunnen Värden. Diagrammet visar nu procentandelen misslyckade inloggningsförsök för varje program.

    Skärmbild som visar stapeldiagrammet med procentandelen misslyckade försök för varje program.

Uppdatera data och spara rapporten

  1. Välj Uppdatera för att hämta de senaste data från Microsoft Sentinel.

    Skärmbild som visar knappen Uppdatera i menyfliksområdet.

  2. Välj Spara fil och spara din Power BI-rapport>.

Skapa en Power BI Online-arbetsyta

Så här skapar du en Power BI-arbetsyta för att dela rapporten:

  1. Logga in på powerbi.com med samma konto som du använde för Läsåtkomst till Power BI Desktop och Microsoft Sentinel.

  2. Under Arbetsytor väljer du Skapa en arbetsyta. Namnge arbetsytans hanteringsrapporter och välj Spara.

    Skärmbild som visar Skapa en arbetsyta i Power BI-tjänst.

  3. Om du vill ge personer och grupper åtkomst till arbetsytan väljer du punkterna Fler alternativ bredvid det nya arbetsytans namn och väljer sedan Åtkomst till arbetsyta.

    Skärmbild som visar åtkomst till arbetsyta på menyn Fler alternativ för arbetsytan.

  4. I fönstret Åtkomst till arbetsyta kan du lägga till användarnas e-postadresser och tilldela varje användare en roll. Rollerna är Admin, Member, Contributor och Viewer.

Publicera Power BI-rapporten

Nu kan du använda Power BI Desktop för att publicera din Power BI-rapport så att andra kan se den.

  1. I den nya rapporten i Power BI Desktop väljer du Publicera.

    Skärmbild som visar Publicera i menyfliksområdet i Power BI Desktop.

  2. Välj arbetsytan Hanteringsrapporter att publicera till och välj Välj.

    Skärmbild som visar hur du väljer arbetsytan Power BI-hanteringsrapporter att publicera till.

Importera rapporten till en Microsoft Teams-kanal

Du vill också att medlemmar i Management Teams-kanalen ska kunna se rapporten. Så här lägger du till rapporten i en Teams-kanal:

  1. I kanalen Hanteringsteam väljer du + att lägga till en flik och i fönstret Lägg till en flik söker du efter och väljer Power BI.

    Skärmbild som visar hur du väljer Power BI i fönstret Lägg till en flik i Teams.

  2. Välj din nya rapport i listan över Power BI-rapporter och välj Spara. Rapporten visas på en ny flik i Teams-kanalen.

    Skärmbild som visar Power BI-rapporten på en flik i Teams-kanalen.

Schemalägga rapportuppdatering

Uppdatera Power BI-rapporten enligt ett schema, så uppdaterade data visas alltid i rapporten.

  1. I Power BI-tjänst väljer du den arbetsyta som du publicerade rapporten till.

  2. Bredvid rapportens datauppsättning väljer du Fler alternativ>Inställningar.

    Skärmbild som visar Inställningar under Fler alternativ i Power BI-rapportdatauppsättningen.

  3. Välj Redigera autentiseringsuppgifter för att ange autentiseringsuppgifterna för ett konto som har läsbehörighet till Log Analytics-arbetsytan.

  4. Under Schemalagd uppdatering ställer du in skjutreglaget på På och konfigurerar ett uppdateringsschema för rapporten.

    Skärmbild som visar schemalagda uppdateringsinställningar för Power BI-rapportdatauppsättningen.

Relaterat innehåll

Mer information finns i: