從 Microsoft Sentinel 資料建立 Power BI 報表

Power BI 是一款報告及分析平台，可將資料轉換為一致、沉浸式、互動式的視覺效果。 Power BI 可讓您輕鬆連結資料來源、視覺化及探索關聯性，並與任何人員共享見解。

您可根據 Microsoft Sentinel 的資料建立 Power BI 報表，並與無法存取 Microsoft Sentinel 的人員共用這些報表。 例如，您可能希望與應用程式擁有者共用嘗試登入失敗的相關資訊，而不授與其 Microsoft Sentinel 存取權。 Power BI 視覺效果可提供一目了然的資料。

Microsoft Sentinel 會在 Log Analytics 工作區上執行，而且您可以使用 Kusto 查詢語言 (KQL) 查詢資料。

本文提供案例式程序：在 PowerBI 中檢視 Microsoft Sentinel 資料的分析報告。 如需詳細資訊，請參閱連線資料來源和將收集的資料視覺化。

在本文章中，您將：

您已授與 Power BI 服務存取權的人員及 Teams 頻道的成員皆可看到報表，而不需要 Microsoft Sentinel 權限。

必要條件

若要完成本文的步驟，您需要：

• 至少可監視登入嘗試的 Microsoft Sentinel 工作區讀取權限。
• 具備 Microsoft Sentinel 工作區讀取權限的 Power BI 帳戶。
• 從 Microsoft Store 安裝 Power BI Desktop。

從 Microsoft Sentinel Microsoft 匯出查詢

從 Microsoft Sentinel Microsoft 建立、執行及匯出 KQL 查詢。

1. 若要建立簡單的查詢，請在 Microsoft Sentinel 中，選取 [記錄]。 如果您的工作區已上線至 Microsoft Defender 入口網站，請選取 [ 一般 > 記錄]。

2. 在查詢編輯器中，於 [新增查詢 1] 底下，輸入下列查詢，或任何其他 Microsoft Sentinel 查詢資料：

   SigninLogs
   |  where TimeGenerated >ago(7d)
   | summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
   |  top 10 by Failed
   | sort by Failed
   

3. 選取 [執行] 執行查詢，並產生結果。

   

4. 若要將查詢匯出為 Power BI M 查詢格式，請選取 [匯出]，接著選取 [匯出至 Power BI (M 查詢)]。 查詢會匯出為文字檔，名稱為 PowerBIQuery.txt。

   

5. 複製匯出檔案的內容。

取得 Power BI Desktop 中的資料

執行 Power BI Desktop 中已匯出的 M 查詢，以取得資料。

1. 開啟 Power BI Desktop，並登入具備 Microsoft Sentinel 工作區讀取權限的 Power BI 帳戶。

   

2. 在 [Power BI] 功能區中，選取 [取得資料]，並選取 [空白查詢]。 隨即開啟 Power Query 編輯器。

   

3. 在 Power Query 編輯器 中，選取 [進階編輯器]。

4. 將已匯出 PowerBIQuery.txt 檔案的複製內容貼至 [進階編輯器] 視窗，並選取 [完成]。

   

5. 在 Power Query 編輯器中，將查詢重新命名為 App_signin_stats，並選取 [關閉並套用]。

   

從資料建立視覺效果

您的資料已位於 Power BI，現在即可建立視覺效果，以提供資料的深入解析。

建立資料表視覺效果

首先，建立可顯示所有查詢結果的資料表。

1. 若要將資料表視覺效果新增至 Power BI Desktop 畫布，請選取 [視覺效果] 下的資料表圖示。

   

2. 在 [欄位] 下，選取查詢中的所有欄位，以便全部顯示於資料表。 若資料表未顯示所有資料，請拖曳資料表的選取控點以放大資料表。

   

建立圓形圖

接著建立圓形圖，以顯示嘗試登入失敗最多次的應用程式。

1. 按一下資料表視覺效果或點選圖表外部以取消選取，並在 [視覺效果] 下選取圓形圖圖示。

   

2. 選取 [圖例] 中的 [AppDisplayName]，或從 [欄位] 窗格拖曳。 選取 [值] 中的 [失敗]，或從 [欄位] 拖曳。 圓形圖隨即顯示各應用程式嘗試登入失敗的次數。

   

建立新的快速量值

您可能也希望顯示各應用程式嘗試登入失敗的百分比。 由於查詢沒有百分比資料行，因此您可建立新的量值以顯示此資訊。

1. 在 [視覺效果] 下選取堆疊直條圖圖示，以建立堆疊直條圖。

   

2. 選取新的視覺效果後，選取功能區中的 [快速量值]。

3. 在 [快速量值] 視窗的 [計算] 下，選取 [除法]。 將 [欄位] 中的 [失敗] 拖曳至 [分子] 欄位，並將 [欄位] 中的 [嘗試] 拖曳至 [分母]。

   

4. 選取 [確定]。 隨即在 [欄位] 窗格中顯示新的量值。

5. 在 [欄位] 窗格中選取新的量值，並在功能區中選取 [格式化] 下的 [百分比]。

   

6. 畫布上已選取直條圖視覺效果，請選取 [AppDisplayName] 欄位或將其拖曳至 [軸]，並將新的 [嘗試除以失敗] 量值拖曳至 [值]。 圖表隨即顯示各應用程式嘗試登入失敗的百分比。

   

重新整理資料並儲存報表

1. 選取 [重新整理]，從 Microsoft Sentinel 取得最新的資料。

   

2. 選取 [檔案]>[儲存]，並儲存您的Power BI 報表。

建立 Power BI 線上工作區

若要建立 Power BI 工作區以共用報表：

1. 以 Power BI Desktop 和 Microsoft Sentinel 讀取權限所使用的相同帳戶登入 powerbi.com。

2. 選取 [工作區] 下的 [建立工作區]。 將工作區命名為 [管理報表]，並選取 [儲存]。

   

3. 若要為人員與群組授與工作區的存取權，請選取新工作區名稱旁的 [更多選項] 點，並選取 [工作區存取]。

   

4. 在 [工作區存取] 側邊窗格中，您可新增使用者的電子郵件地址，並為每位使用者指派一個角色。 這些角色為「系統管理員」、「成員」、「參與者」和「檢視者」。

發行 Power BI 報表

現在您可使用 Power BI Desktop 來發佈您的 Power BI 報表，以便其他人員查看。

1. 在 Power BI Desktop 的新報表中，選取 [發佈]。

   

2. 選取發佈目標的 [管理報表] 工作區，並選取 [選取]。

   

將報表匯入至 Microsoft Teams 頻道

您可能也希望「管理 Teams」頻道的成員可查看報表。 若要將報表新增至 Teams 頻道：

1. 在 [管理 Teams] 頻道中，選取 + 以新增索引標籤，並在 [新增索引標籤] 視窗中搜尋及選取 [Power BI]。

   

2. 從 Power BI 報表清單中選取新報表，並選取 [儲存]。 隨即在 Teams 頻道的新索引標籤中顯示報表。

   

排程報表重新整理

依排程重新整理您的 Power BI 報表，以便讓報表一律顯示更新資料。

1. 在 Power BI 服務中，選取報表發佈的目標工作區。

2. 在報表的資料集旁，選取 [更多選項]>[設定]。

   

3. 選取 [編輯認證]，為具備 Log Analytics 工作區讀取權限的帳戶提供認證。

4. 在 [排程的重新整理] 下將滑桿設為 [開啟]，並設定報表的重新整理排程。

   

相關內容

如需詳細資訊，請參閱

• Azure 監視器服務限制
• 將 Azure 監視器記錄資料匯入 Power BI
• Power Query M 公式語言