Udostępnij za pośrednictwem

Twórca raportów niestandardowych przy użyciu usługi Power BI

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Uwaga

Jeśli jesteś klientem rządowym USA, użyj identyfikatorów URI wymienionych w Ochrona punktu końcowego w usłudze Microsoft Defender dla klientów rządowych USA.

Porada

Aby uzyskać lepszą wydajność, możesz użyć serwera bliżej lokalizacji geograficznej:

  • us.api.security.microsoft.com
  • eu.api.security.microsoft.com
  • uk.api.security.microsoft.com
  • au.api.security.microsoft.com
  • swa.api.security.microsoft.com

W tej sekcji dowiesz się, jak utworzyć raport usługi Power BI na podstawie interfejsów API usługi Defender for Endpoint.

W pierwszym przykładzie pokazano, jak połączyć usługę Power BI z zaawansowanym interfejsem API wyszukiwania zagrożeń, a drugi przykład przedstawia połączenie z interfejsami API OData, takimi jak akcje maszynowe lub alerty.

Łączenie usługi Power BI z zaawansowanym interfejsem API wyszukiwania zagrożeń

  1. Otwórz usługę Microsoft Power BI.

  2. Wybierz pozycję Pobierzpuste zapytaniedotyczące danych>.

    Opcja Puste zapytanie w elemencie menu Pobierz dane

  3. Wybierz pozycję Edytor zaawansowany.

    Element menu Edytor zaawansowany

  4. Skopiuj poniższy fragment kodu i wklej go w edytorze:

        let
        AdvancedHuntingQuery = "DeviceEvents | where ActionType contains 'Anti' | limit 20",

        HuntingUrl = "https://api.securitycenter.microsoft.com/api/advancedqueries",

        Response = Json.Document(Web.Contents(HuntingUrl, [Query=[key=AdvancedHuntingQuery]])),

        TypeMap = #table(
            { "Type", "PowerBiType" },
            {
                { "Double",   Double.Type },
                { "Int64",    Int64.Type },
                { "Int32",    Int32.Type },
                { "Int16",    Int16.Type },
                { "UInt64",   Number.Type },
                { "UInt32",   Number.Type },
                { "UInt16",   Number.Type },
                { "Byte",     Byte.Type },
                { "Single",   Single.Type },
                { "Decimal",  Decimal.Type },
                { "TimeSpan", Duration.Type },
                { "DateTime", DateTimeZone.Type },
                { "String",   Text.Type },
                { "Boolean",  Logical.Type },
                { "SByte",    Logical.Type },
                { "Guid",     Text.Type }
            }),

        Schema = Table.FromRecords(Response[Schema]),
        TypedSchema = Table.Join(Table.SelectColumns(Schema, {"Name", "Type"}), {"Type"}, TypeMap , {"Type"}),
        Results = Response[Results],
        Rows = Table.FromRecords(Results, Schema[Name]),
        Table = Table.TransformColumnTypes(Rows, Table.ToList(TypedSchema, (c) => {c{0}, c{2}}))

    in Table

  5. Wybierz pozycję Gotowe.

  6. Wybierz pozycję Edytuj poświadczenia.

    Element menu Edytuj poświadczenia

  7. Wybierz pozycję Konto organizacyjne>Zaloguj się.

    Opcja Logowanie w elemencie menu konta organizacyjnego

  8. Wprowadź swoje poświadczenia i poczekaj na zalogowanie.

  9. Wybierz pozycję Połącz.

    Komunikat z potwierdzeniem logowania w elemencie menu konta organizacyjnego

Teraz wyniki zapytania są wyświetlane jako tabela i możesz zacząć tworzyć wizualizacje. Możesz zduplikować tę tabelę, zmienić jej nazwę i edytować zapytanie Zaawansowane wyszukiwanie zagrożeń wewnątrz, aby uzyskać dowolne dane.

Łączenie usługi Power BI z interfejsami API OData

Jedyną różnicą w stosunku do poprzedniego przykładu i tego przykładu jest zapytanie wewnątrz edytora.

  1. Otwórz usługę Microsoft Power BI.

  2. Wybierz pozycję Pobierzpuste zapytaniedotyczące danych>.

    Opcja Puste zapytanie w elemencie menu Pobierz dane

  3. Wybierz pozycję Edytor zaawansowany.

    Element menu Edytor zaawansowany

  4. Skopiuj następujący kod i wklej go w edytorze, aby ściągnąć wszystkie akcje maszynowe z organizacji:

        let

        Query = "MachineActions",

        Source = OData.Feed("https://api.securitycenter.microsoft.com/api/" & Query, null, [Implementation="2.0", MoreColumns=true])
    in
        Source

    Możesz to zrobić w przypadku alertów i maszyn. Możesz również użyć zapytań OData dla filtrów zapytań. Zobacz Korzystanie z zapytań OData.

Przykłady pulpitu nawigacyjnego usługi Power BI w usłudze GitHub

Zobacz szablony raportów usługi Power BI.

Przykładowe raporty

Wyświetl przykłady raportów usługi Ochrona punktu końcowego w usłudze Microsoft Defender Power BI.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.