Udostępnij za pośrednictwem

Tworzenie raportu usługi Power BI na podstawie danych usługi Microsoft Sentinel

  • Artykuł

Power BI to platforma do raportowania i analizy, która przekształca dane w spójne, immersyjne, interaktywne wizualizacje. Usługa Power BI umożliwia łatwe łączenie się ze źródłami danych, wizualizowanie i odnajdywanie relacji oraz udostępnianie szczegółowych informacji osobom, które chcesz.

Raporty usługi Power BI można opierać na danych z usługi Microsoft Sentinel i udostępniać te raporty osobom, które nie mają dostępu do usługi Microsoft Sentinel. Na przykład możesz udostępnić informacje o nieudanych próbach logowania właścicielom aplikacji bez udzielania im dostępu do usługi Microsoft Sentinel. Wizualizacje usługi Power BI mogą błyskawicznie udostępniać dane.

Usługa Microsoft Sentinel działa w obszarach roboczych usługi Log Analytics i możesz użyć język zapytań Kusto (KQL) do wykonywania zapytań dotyczących danych.

Ten artykuł zawiera procedurę opartą na scenariuszach, która umożliwia wyświetlanie raportów analizy w usłudze Power BI dla danych usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Połączenie źródła danych i Wizualizowanie zebranych danych.

W tym artykule opisano następujące zagadnienia:

  • Eksportowanie zapytania KQL do zapytania języka usługi Power BI M.
  • Użyj zapytania M w programie Power BI Desktop, aby utworzyć wizualizacje i raport.
  • Opublikuj raport w usługa Power BI i udostępnij go innym osobom.
  • Dodaj raport do kanału usługi Teams.

Osoby udzielono ci dostępu w usługa Power BI i członkach kanału usługi Teams, może zobaczyć raport bez konieczności posiadania uprawnień usługi Microsoft Sentinel.

Ważne

Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Aby wykonać kroki opisane w tym artykule, potrzebne są następujące elementy:

  • Co najmniej dostęp do odczytu do obszaru roboczego usługi Microsoft Sentinel, który monitoruje próby logowania.
  • Konto usługi Power BI z dostępem do odczytu do obszaru roboczego usługi Microsoft Sentinel.
  • Program Power BI Desktop zainstalowany ze Sklepu Microsoft.

Eksportowanie zapytania z usługi Microsoft Sentinel

Tworzenie, uruchamianie i eksportowanie zapytania KQL z usługi Microsoft Sentinel.

  1. Aby utworzyć proste zapytanie, w usłudze Microsoft Sentinel wybierz pozycję Dzienniki. Jeśli obszar roboczy jest dołączony do ujednoliconej platformy operacji zabezpieczeń, wybierz pozycję Dzienniki ogólne>.

  2. W edytorze zapytań w obszarze Nowe zapytanie 1 wprowadź następujące zapytanie lub dowolne inne zapytanie usługi Microsoft Sentinel dotyczące danych:

    SigninLogs
|  where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
|  top 10 by Failed
| sort by Failed

  3. Wybierz pozycję Uruchom , aby uruchomić zapytanie i wygenerować wyniki.

    Zrzut ekranu przedstawiający zapytanie I wyniki języka KQL.

  4. Aby wyeksportować zapytanie do formatu zapytania power BI M, wybierz pozycję Eksportuj, a następnie wybierz pozycję Eksportuj do usługi Power BI (zapytanie M). Zapytanie jest eksportowane do pliku tekstowego o nazwie PowerBIQuery.txt.

    Zrzut ekranu przedstawiający format eksportu zapytania do usługi Power BI M.

  5. Skopiuj zawartość wyeksportowanego pliku.

Pobieranie danych w programie Power BI Desktop

Uruchom wyeksportowane zapytanie języka M w programie Power BI Desktop, aby pobrać dane.

  1. Otwórz program Power BI Desktop i zaloguj się do konta usługi Power BI, które ma dostęp do odczytu do obszaru roboczego usługi Microsoft Sentinel.

    Zrzut ekranu przedstawiający logowanie do programu Power BI Desktop.

  2. Na wstążce usługi Power BI wybierz pozycję Pobierz dane , a następnie wybierz pozycję Puste zapytanie. Zostanie otwarty Edytor Power Query.

    Zrzut ekranu przedstawiający zaznaczone puste zapytanie w obszarze Pobieranie danych w programie Power BI Desktop.

  3. W Edytor Power Query wybierz pozycję Edytor zaawansowany.

  4. Wklej skopiowaną zawartość wyeksportowanego pliku PowerBIQuery.txt do okna Edytor zaawansowany, a następnie wybierz pozycję Gotowe.

    Zrzut ekranu przedstawiający zapytanie języka M wklejone w usłudze Power BI Edytor zaawansowany.

  5. W Edytor Power Query zmień nazwę zapytania na App_signin_stats, a następnie wybierz pozycję Zamknij i zastosuj.

    Zrzut ekranu przedstawiający zmienione zapytanie i zamknij i zastosuj polecenie w Edytor Power Query.

Tworzenie wizualizacji na podstawie danych

Teraz, gdy dane są dostępne w usłudze Power BI, możesz tworzyć wizualizacje, aby zapewnić wgląd w dane.

Tworzenie wizualizacji tabeli

Najpierw utwórz tabelę zawierającą wszystkie wyniki zapytania.

  1. Aby dodać wizualizację tabeli do kanwy programu Power BI Desktop, wybierz ikonę tabeli w obszarze Wizualizacje.

    Zrzut ekranu przedstawiający ikonę tabeli w obszarze Wizualizacje w programie Power BI Desktop.

  2. W obszarze Pola zaznacz wszystkie pola w zapytaniu, aby wszystkie były wyświetlane w tabeli. Jeśli tabela nie wyświetla wszystkich danych, powiększ tabelę, przeciągając uchwyty zaznaczenia.

    Zrzut ekranu przedstawiający wszystkie pola wybrane dla wizualizacji tabeli.

Tworzenie wykresu kołowego

Następnie utwórz wykres kołowy pokazujący, które aplikacje miały najbardziej nieudane próby logowania.

  1. Usuń zaznaczenie wizualizacji tabeli, klikając lub naciskając poza nią, a następnie w obszarze Wizualizacje wybierz ikonę wykresu kołowego.

    Zrzut ekranu przedstawiający ikonę wykresu kołowego w obszarze Wizualizacje w programie Power BI Desktop.

  2. Wybierz pozycję AppDisplayName w obszarze Legenda lub przeciągnij ją z okienka Pola . Wybierz pozycję Niepowodzenie w obszarze Wartości lub przeciągnij je z obszaru Pola. Wykres kołowy przedstawia teraz liczbę nieudanych prób logowania dla aplikacji.

    Zrzut ekranu przedstawiający wykres kołowy z liczbą nieudanych prób logowania dla aplikacji.

Tworzenie nowej szybkiej miary

Chcesz również pokazać, jaki procent prób logowania zakończył się niepowodzeniem dla każdej aplikacji. Ponieważ zapytanie nie ma kolumny procentowej, możesz utworzyć nową miarę, aby wyświetlić te informacje.

  1. W obszarze Wizualizacje wybierz ikonę skumulowanego wykresu kolumnowego, aby utworzyć skumulowany wykres kolumnowy.

    Zrzut ekranu przedstawiający ikonę skumulowanego wykresu kolumnowego w obszarze Wizualizacje w programie Power BI Desktop.

  2. Po wybraniu nowej wizualizacji wybierz pozycję Szybka miara na wstążce.

  3. W oknie Szybkie miary w obszarze Obliczenia wybierz pozycję Dzielenie. Przeciągnij pole Nie powiodło się z pola Licznik i przeciągnij pozycję Próby z pola do mianownika.

    Zrzut ekranu przedstawiający ustawienia w oknie Szybkie miary.

  4. Wybierz przycisk OK. Nowa miara zostanie wyświetlona w okienku Pola .

  5. Wybierz nową miarę w okienku Pola , a następnie w obszarze Formatowanie na wstążce wybierz pozycję Procent.

    Zrzut ekranu przedstawiający nową miarę wybraną w okienku Pola i Pozycję Procent wybraną w obszarze Formatowanie na wstążce.

  6. Po wybraniu wizualizacji wykresu kolumnowego na kanwie zaznacz lub przeciągnij pole AppDisplayName do obszaru Oś , a nowa miara Niepowodzenie podzielona przez miarę Próby do obszaru Wartości . Wykres przedstawia teraz procent nieudanych prób logowania dla każdej aplikacji.

    Zrzut ekranu przedstawiający wykres kolumnowy z procentem nieudanych prób dla każdej aplikacji.

Odświeżanie danych i zapisywanie raportu

  1. Wybierz pozycję Odśwież , aby pobrać najnowsze dane z usługi Microsoft Sentinel.

    Zrzut ekranu przedstawiający przycisk Odśwież na wstążce.

  2. Wybierz pozycję Plik>Zapisz i zapisz raport usługi Power BI.

Tworzenie obszaru roboczego usługi Power BI w trybie online

Aby utworzyć obszar roboczy usługi Power BI do udostępniania raportu:

  1. Zaloguj się do powerbi.com przy użyciu tego samego konta, które zostało użyte na potrzeby dostępu do odczytu w programie Power BI Desktop i usłudze Microsoft Sentinel.

  2. W obszarze Obszary robocze wybierz pozycję Utwórz obszar roboczy. Nadaj obszarowi roboczego nazwę Raporty zarządzania, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający tworzenie obszaru roboczego w usługa Power BI.

  3. Aby udzielić osobom i grupom dostępu do obszaru roboczego, wybierz pozycję Więcej opcji obok nowej nazwy obszaru roboczego, a następnie wybierz pozycję Dostęp do obszaru roboczego.

    Zrzut ekranu przedstawiający dostęp do obszaru roboczego w menu Więcej opcji.

  4. W okienku po stronie dostępu do obszaru roboczego możesz dodać adresy e-mail użytkowników i przypisać każdemu użytkownikowi rolę. Role są Administracja, członek, współautor i osoba przeglądająca.

Publikowanie raportu usługi Power BI

Teraz możesz użyć programu Power BI Desktop do opublikowania raportu usługi Power BI, aby inni użytkownicy mogli go zobaczyć.

  1. W nowym raporcie w programie Power BI Desktop wybierz pozycję Publikuj.

    Zrzut ekranu przedstawiający pozycję Publikuj na wstążce programu Power BI Desktop.

  2. Wybierz obszar roboczy Raporty zarządzania do opublikowania, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający wybieranie obszaru roboczego Raporty zarządzania usługi Power BI do opublikowania.

Importowanie raportu do kanału usługi Microsoft Teams

Chcesz również, aby członkowie kanału usługi Teams zarządzania mogli wyświetlać raport. Aby dodać raport do kanału usługi Teams:

  1. W kanale Zarządzania zespołami wybierz + kartę, a następnie w oknie Dodawanie karty wyszukaj i wybierz pozycję Power BI.

    Zrzut ekranu przedstawiający wybieranie usługi Power BI w oknie Dodawanie karty w aplikacji Teams.

  2. Wybierz nowy raport z listy raportów usługi Power BI, a następnie wybierz pozycję Zapisz. Raport zostanie wyświetlony na nowej karcie w kanale usługi Teams.

    Zrzut ekranu przedstawiający raport usługi Power BI na karcie w kanale usługi Teams.

Planowanie odświeżania raportu

Odśwież raport usługi Power BI zgodnie z harmonogramem, więc zaktualizowane dane są zawsze wyświetlane w raporcie.

  1. W usługa Power BI wybierz obszar roboczy, do którego opublikowano raport.

  2. Obok zestawu danych raportu wybierz pozycję Więcej opcji> Ustawienia.

    Zrzut ekranu przedstawiający Ustawienia w obszarze Więcej opcji w zestawie danych raportu usługi Power BI.

  3. Wybierz pozycję Edytuj poświadczenia , aby podać poświadczenia dla konta z dostępem do odczytu do obszaru roboczego usługi Log Analytics.

  4. W obszarze Zaplanowane odświeżanie ustaw suwak na . i skonfiguruj harmonogram odświeżania raportu.

    Zrzut ekranu przedstawiający ustawienia zaplanowanego odświeżania dla zestawu danych raportu usługi Power BI.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz: