Power BI 是一种报表与分析平台,可将数据转换为一致、沉浸式的交互式可视化效果。 Power BI 可使你轻松连接到数据源,可视化和发现关系,并与你想要的任何人共享见解。
你可以基于 Microsoft Sentinel 的数据创建 Power BI 报表,并与无权访问 Microsoft Sentinel 的人员共享这些报表。 例如,你可能想要与应用所有者共享登录尝试失败的信息,而不授予其 Microsoft Sentinel 访问权限。 Power BI 可视化效果可提供一目了然的数据。
Microsoft Sentinel 在 Log Analytics 工作区上运行,你可以使用 Kusto 查询语言 (KQL) 来查询数据。
本文提供了基于方案的流程,可在 Power BI 中查看 Microsoft Sentinel 数据的分析报告。 有关详细信息,请参阅连接数据源。
本文内容:
- 将 KQL 查询导出到 Power BI M 语言查询。
- 使用 Power BI Desktop 中的 M 查询创建可视化效果和报表。
- 将报表发布到 Power BI 服务,并与他人共享。
- 将报表添加到 Teams 通道。
在 Power BI 服务中获得访问权限的人员和 Teams 通道的成员无需 Microsoft Sentinel 权限即可查看报表。
若要完成本文中的步骤,需要:
- 对监视登录尝试的 Microsoft Sentinel 工作区至少拥有读取访问权限。
- 拥有 Microsoft Sentinel 工作区读取访问权限的 Power BI 帐户。
- 从 Microsoft Store 安装的 Power BI Desktop。
在 Microsoft Sentinel 创建、运行并从中导出 KQL 查询。
若要创建简单的查询,请在 Microsoft Sentinel 中选择“日志”。
在查询编辑器中,在“新建查询 1” 下,输入以下查询,或任何其他 Microsoft Sentinel 查询数据:
SigninLogs | where TimeGenerated >ago(7d) | summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName | top 10 by Failed | sort by Failed选择“运行”以运行查询并生成结果。
要将查询导出为 Power BI M 查询格式,选择“导出”,然后选择“导出为 Power BI(M 查询)”。 该查询将被导出到名为 PowerBIQuery.txt 的文本文件中。
复制导出文件的内容。
在 Power BI Desktop 中运行导出的 M 查询,以获取数据。
打开 Power BI Desktop,登录到你的 Power BI 帐户,该帐户拥有对 Microsoft Sentinel 工作区的读取访问权限。
在 Power BI 功能区中,选择“获取数据”,然后选择“空查询”。 此时会打开“Power Query 编辑器”。
在“Power Query 编辑器”中,选择“高级编辑器”。
将导出的“PowerBIQuery.txt”文件的复制内容粘贴到“高级编辑器”窗口,然后选择“完成”。
在“Power Query 编辑器”中,将查询重命名为“App_signin_stats”,然后选择“关闭并应用”。
现在,数据已在 Power BI 中,你可以创建可视化效果,以提供有关数据的见解。
首先,创建能够显示所有查询结果的表。
要将表可视化效果添加到 Power BI Desktop 画布,请选择“可视化效果”下的“表”图标 。
在“字段”下,选择查询中的所有字段,以便它们都显示在表中。 如果表未显示所有数据,可拖动表的所选项目控点来放大表。
接下来,创建一个饼图,显示哪些应用程序的登录尝试失败次数最多。
在视觉对象表外单击或点击,以取消选择视觉对象表,然后在“可视化效果”下,选择“饼图”图标。
在“图例”选项卡井中选择“AppDisplayName”,或从“字段”窗格拖动。 在“值”选项卡井中选择“失败”,或从“字段”拖动 。 饼图现在会显示每个应用程序的登录尝试失败次数。
你还希望显示每个应用程序的登录尝试失败百分比。 由于你的查询没有百分比列,可以创建一个新度量值来显示此信息。
在“可视化”下,选择“堆积柱形图”图标,以创建堆积柱形图。
选择新的可视化效果后,请选择功能区中的“快速度量值”。
在“快速度量值”窗口中,选择“计算”下的“除”。 将“字段”中的“失败次数”拖动到“分子”字段,将“字段”中的“尝试次数”拖动到“分母”。 。
选择“确定”。 新度量值将显示在“字段”窗格中。
在“字段”窗格中选择新度量值,然后在功能区的“格式设置”下,选择“百分比”。
在画布上选择柱形图可视化效果,选择“AppDisplayName”字段或将其拖动到“轴”选项卡井中,并将新的“失败次数除以尝试次数”度量值拖动到“值”选项卡井中。 该图表现在会显示每个应用程序的登录尝试失败次数百分比。
选择“刷新”,获取来自 Microsoft Sentinel 的最新数据。
选择“文件”>“保存”,保存你的 Power BI 报表。
要创建 Power BI 工作区来共享报表:
使用你用于 Power BI Desktop 和 Microsoft Sentinel 读取访问的同一帐户登录 powerbi.com。
在“工作区”下,选择“创建工作区”。 为工作区“管理报表”命名,然后选择“保存”。
要向用户和组授予对工作区的访问权限,请选择新工作区名称旁边的“更多选项”三点菜单,然后选择“工作区访问权限”。
在“工作区访问权限”侧窗格中,可以添加用户的电子邮件地址,并为每位用户分配角色。 角色包括“管理员”、“成员”、“参与者”和“查看者”。
现在,可以使用 Power BI Desktop 发布你的 Power BI 报表,以便其他人可以看到它。
在 Power BI Desktop 的新报表中,选择“发布”。
选择要发布到的“管理报表”工作区,然后选择“选择”。
你还希望“管理团队”通道的成员能够查看报表。 将报表添加到 Teams 通道:
在“管理团队”通道中,选择 + 以添加选项卡,然后在“添加选项卡”窗口中,搜索并选择“Power BI”。
从 Power BI 报表列表中选择你的新报表,然后选择“保存”。 该报表将显示在 Teams 通道的新选项卡中。
按计划刷新 Power BI 报表,以便更新后的数据始终显示在报表中。
在 Power BI 服务中,选择要发布报表的工作区。
在报表的数据集旁,选择“更多选项”菜单>“设置”。
选择“编辑凭据”,为拥有 Log Analytics 工作区读取访问权限的帐户提供凭据。
在“计划刷新”下,将滑块设置为“开”,并设置报表的刷新计划。
有关详细信息,请参阅: