从 Microsoft Sentinel 数据创建 Power BI 报表

Power BI 是一种报表与分析平台，可将数据转换为一致、沉浸式的交互式可视化效果。 Power BI 可使你轻松连接到数据源，可视化和发现关系，并与你想要的任何人共享见解。

你可以基于 Microsoft Sentinel 的数据创建 Power BI 报表，并与无权访问 Microsoft Sentinel 的人员共享这些报表。 例如，你可能想要与应用所有者共享登录尝试失败的信息，而不授予其 Microsoft Sentinel 访问权限。 Power BI 可视化效果可提供一目了然的数据。

Microsoft Sentinel 在 Log Analytics 工作区上运行，你可以使用 Kusto 查询语言 (KQL) 来查询数据。

本文提供了基于方案的流程，可在 Power BI 中查看 Microsoft Sentinel 数据的分析报告。 有关详细信息，请参阅连接数据源。

本文内容：

在 Power BI 服务中获得访问权限的人员和 Teams 通道的成员无需 Microsoft Sentinel 权限即可查看报表。

先决条件

若要完成本文中的步骤，需要：

• 对监视登录尝试的 Microsoft Sentinel 工作区至少拥有读取访问权限。
• 拥有 Microsoft Sentinel 工作区读取访问权限的 Power BI 帐户。
• 从 Microsoft Store 安装的 Power BI Desktop。

从 Microsoft Sentinel 导出查询

在 Microsoft Sentinel 创建、运行并从中导出 KQL 查询。

1. 若要创建简单的查询，请在 Microsoft Sentinel 中选择“日志”。

2. 在查询编辑器中，在“新建查询 1” 下，输入以下查询，或任何其他 Microsoft Sentinel 查询数据：

   SigninLogs
   | where TimeGenerated >ago(7d)
   | summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
   | top 10 by Failed
   | sort by Failed
   

   有关上述示例中使用的以下项的详细信息，请参阅 Kusto 文档：

   • where 运算符
   • summarize 运算符
   • top 运算符
   • sort 运算符
   • ago（） 函数
   • count（） 聚合函数
   • countif() 聚合函数

   有关 KQL 的更多信息，请参阅 Kusto 查询语言 (KQL) 概述。

   其他资源：

   • KQL 快速参考
   • Kusto 查询语言学习资源

3. 选择“运行”以运行查询并生成结果。

   

4. 要将查询导出为 Power BI M 查询格式，选择“导出”，然后选择“导出为 Power BI（M 查询）”。 该查询将被导出到名为 PowerBIQuery.txt 的文本文件中。

   

5. 复制导出文件的内容。

在 Power BI Desktop 中获取数据

在 Power BI Desktop 中运行导出的 M 查询，以获取数据。

1. 打开 Power BI Desktop，登录到你的 Power BI 帐户，该帐户拥有对 Microsoft Sentinel 工作区的读取访问权限。

   

2. 在 Power BI 功能区中，选择“获取数据”，然后选择“空查询”。 此时会打开“Power Query 编辑器”。

   

3. 在“Power Query 编辑器”中，选择“高级编辑器”。

4. 将导出的“PowerBIQuery.txt”文件的复制内容粘贴到“高级编辑器”窗口，然后选择“完成”。

   

5. 在“Power Query 编辑器”中，将查询重命名为“App_signin_stats”，然后选择“关闭并应用”。

   

基于数据创建可视化效果

现在，数据已在 Power BI 中，你可以创建可视化效果，以提供有关数据的见解。

创建视觉对象表

首先，创建能够显示所有查询结果的表。

1. 要将表可视化效果添加到 Power BI Desktop 画布，请选择“可视化效果”下的“表”图标 。

   

2. 在“字段”下，选择查询中的所有字段，以便它们都显示在表中。 如果表未显示所有数据，可拖动表的所选项目控点来放大表。

   

创建饼图

接下来，创建一个饼图，显示哪些应用程序的登录尝试失败次数最多。

1. 在视觉对象表外单击或点击，以取消选择视觉对象表，然后在“可视化效果”下，选择“饼图”图标。

   

2. 在“图例”选项卡井中选择“AppDisplayName”，或从“字段”窗格拖动。 在“值”选项卡井中选择“失败”，或从“字段”拖动 。 饼图现在会显示每个应用程序的登录尝试失败次数。

   

创建新的快速度量值

你还希望显示每个应用程序的登录尝试失败百分比。 由于你的查询没有百分比列，可以创建一个新度量值来显示此信息。

1. 在“可视化”下，选择“堆积柱形图”图标，以创建堆积柱形图。

   

2. 选择新的可视化效果后，请选择功能区中的“快速度量值”。

3. 在“快速度量值”窗口中，选择“计算”下的“除”。 将“字段”中的“失败次数”拖动到“分子”字段，将“字段”中的“尝试次数”拖动到“分母”。 。

   

4. 选择“确定”。 新度量值将显示在“字段”窗格中。

5. 在“字段”窗格中选择新度量值，然后在功能区的“格式设置”下，选择“百分比”。

   

6. 在画布上选择柱形图可视化效果，选择“AppDisplayName”字段或将其拖动到“轴”选项卡井中，并将新的“失败次数除以尝试次数”度量值拖动到“值”选项卡井中。 该图表现在会显示每个应用程序的登录尝试失败次数百分比。

   

刷新数据并保存报表

1. 选择“刷新”，获取来自 Microsoft Sentinel 的最新数据。

   

2. 选择“文件”“保存”，保存你的 Power BI 报表。

创建 Power BI Online 工作区

要创建 Power BI 工作区来共享报表：

1. 使用你用于 Power BI Desktop 和 Microsoft Sentinel 读取访问的同一帐户登录 powerbi.com。

2. 在“工作区”下，选择“创建工作区”。 为工作区“管理报表”命名，然后选择“保存”。

   

3. 要向用户和组授予对工作区的访问权限，请选择新工作区名称旁边的“更多选项”三点菜单，然后选择“工作区访问权限”。

   

4. 在“工作区访问权限”侧窗格中，可以添加用户的电子邮件地址，并为每位用户分配角色。 角色包括“管理员”、“成员”、“参与者”和“查看者”。

发布 Power BI 报表

现在，可以使用 Power BI Desktop 发布你的 Power BI 报表，以便其他人可以看到它。

1. 在 Power BI Desktop 的新报表中，选择“发布”。

   

2. 选择要发布到的“管理报表”工作区，然后选择“选择”。

   

将报表导入 Microsoft Teams 通道

你还希望“管理团队”通道的成员能够查看报表。 将报表添加到 Teams 通道：

1. 在“管理团队”通道中，选择 + 以添加选项卡，然后在“添加选项卡”窗口中，搜索并选择“Power BI”。

   

2. 从 Power BI 报表列表中选择你的新报表，然后选择“保存”。 该报表将显示在 Teams 通道的新选项卡中。

   

计划报表刷新

按计划刷新 Power BI 报表，以便更新后的数据始终显示在报表中。

1. 在 Power BI 服务中，选择要发布报表的工作区。

2. 在报表的数据集旁，选择“更多选项”菜单“设置”。

   

3. 选择“编辑凭据”，为拥有 Log Analytics 工作区读取访问权限的帐户提供凭据。

4. 在“计划刷新”下，将滑块设置为“开”，并设置报表的刷新计划。

   

相关内容

有关详细信息，请参阅：

• Azure Monitor 服务限制
• 将 Azure Monitor 日志数据导入到 Power BI 中
• Power Query M 公式语言