Creación de un informe de Power BI a partir de datos Microsoft Sentinel

Power BI es una plataforma de informes y análisis que convierte los datos en visualizaciones coherentes, envolventes e interactivas. Power BI le permite conectarse fácilmente a orígenes de datos, visualizar y detectar relaciones y compartir información con quien quiera.

Puede basar informes de Power BI en datos de Microsoft Sentinel y compartir esos informes con personas que no tienen acceso a Microsoft Sentinel. Por ejemplo, es posible que quiera compartir información sobre los intentos de inicio de sesión erróneos con los propietarios de la aplicación, sin concederles acceso Microsoft Sentinel. Las visualizaciones de Power BI pueden proporcionar los datos de un vistazo.

Microsoft Sentinel se ejecuta en áreas de trabajo de Log Analytics y puede usar Lenguaje de consulta Kusto (KQL) para consultar los datos.

En este artículo se proporciona un procedimiento basado en escenarios para ver los informes de análisis en Power BI para los datos de Microsoft Sentinel. Para obtener más información, consulte Conexión de orígenes de datos y Visualización de datos recopilados.

En este artículo, usted:

  • Exporte una consulta KQL a una consulta de lenguaje Power BI M.
  • Use la consulta M en Power BI Desktop para crear visualizaciones y un informe.
  • Publique el informe en el servicio Power BI y compárelo con otros usuarios.
  • Agregue el informe a un canal de Teams.

People ha concedido acceso en el servicio Power BI y los miembros del canal de Teams pueden ver el informe sin necesidad de Microsoft Sentinel permisos.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Requisitos previos

Para completar los pasos de este artículo, necesita:

  • Al menos, acceso de lectura a un área de trabajo de Microsoft Sentinel que supervisa los intentos de inicio de sesión.
  • Una cuenta de Power BI que tenga acceso de lectura al área de trabajo de Microsoft Sentinel.
  • Power BI Desktop instalado desde Microsoft Store.

Exportación de una consulta desde Microsoft Sentinel

Cree, ejecute y exporte una consulta KQL desde Microsoft Sentinel.

  1. Para crear una consulta sencilla, en Microsoft Sentinel, seleccione Registros. Si el área de trabajo se incorpora al portal de Microsoft Defender, seleccione Registros generales>.

  2. En el editor de consultas, en Nueva consulta 1, escriba la consulta siguiente o cualquier otra consulta Microsoft Sentinel para los datos:

    SigninLogs
| where TimeGenerated >ago(7d)
| summarize Attempts = count(), Failed=countif(ResultType !=0), Succeeded = countif(ResultType ==0) by AppDisplayName
| top 10 by Failed
| sort by Failed

    Vea más información sobre los siguientes elementos usados en el ejemplo anterior, en la documentación de Kusto:

    Para obtener más información sobre KQL, consulte introducción a Lenguaje de consulta Kusto (KQL).

    Otros recursos:

  3. Seleccione Ejecutar para ejecutar la consulta y generar resultados.

    Captura de pantalla que muestra la consulta Y los resultados de KQL.

  4. Para exportar la consulta al formato de consulta de Power BI M, seleccione Exportar y, a continuación, seleccione Exportar a Power BI (consulta M). La consulta se exporta a un archivo de texto denominado PowerBIQuery.txt.

    Captura de pantalla que muestra la consulta Exportar al formato de Power BI M.

  5. Copie el contenido del archivo exportado.

Obtener los datos en Power BI Desktop

Ejecute la consulta M exportada en Power BI Desktop para obtener datos.

  1. Abra Power BI Desktop e inicie sesión en la cuenta de Power BI que tenga acceso de lectura al área de trabajo de Microsoft Sentinel.

    Captura de pantalla que muestra el inicio de sesión en Power BI Desktop.

  2. En la cinta de opciones de Power BI, seleccione Obtener datos y, a continuación, seleccione Consulta en blanco. Se abre el Editor de Power Query.

    Captura de pantalla que muestra la consulta en blanco seleccionada en Obtener datos en Power BI Desktop.

  3. En el Editor de Power Query, seleccione Editor avanzado.

  4. Pegue el contenido copiado del archivo PowerBIQuery.txt exportado en la ventana Editor avanzado y, a continuación, seleccione Listo.

    Captura de pantalla que muestra la consulta M pegada en el Editor avanzado de Power BI.

  5. En el Editor de Power Query, cambie el nombre de la consulta a App_signin_stats y, a continuación, seleccione Cerrar & Aplicar.

    Captura de pantalla que muestra la consulta cuyo nombre ha cambiado y el comando Cerrar & Aplicar en el Editor de Power Query.

Creación de visualizaciones a partir de los datos

Ahora que los datos están en Power BI, puede crear visualizaciones para proporcionar información detallada sobre los datos.

Creación de un objeto visual de tabla

En primer lugar, cree una tabla que muestre todos los resultados de la consulta.

  1. Para agregar una visualización de tabla al lienzo de Power BI Desktop, seleccione el icono de tabla en Visualizaciones.

    Captura de pantalla que muestra el icono de tabla en Visualizaciones en Power BI Desktop.

  2. En Campos, seleccione todos los campos de la consulta para que aparezcan en la tabla. Si la tabla no muestra todos los datos, amplíe la tabla arrastrando sus identificadores de selección.

    Captura de pantalla que muestra todos los campos seleccionados para la visualización de la tabla.

Creación de un gráfico circular

A continuación, cree un gráfico circular que muestre qué aplicaciones han tenido los intentos de inicio de sesión con más errores.

  1. Anule la selección del objeto visual de tabla haciendo clic o pulsando fuera de él y, a continuación, en Visualizaciones, seleccione el icono del gráfico circular .

    Captura de pantalla que muestra el icono del gráfico circular en Visualizaciones en Power BI Desktop.

  2. Seleccione AppDisplayName en el área Leyenda o arrástrelo desde el panel Campos . Seleccione Error en el área Valores o arrástrelo desde Campos. El gráfico circular muestra ahora el número de intentos de inicio de sesión erróneos por aplicación.

    Captura de pantalla que muestra el gráfico circular con el número de intentos de inicio de sesión erróneos por aplicación.

Creación de una nueva medida rápida

También quiere mostrar el porcentaje de intentos de inicio de sesión erróneos para cada aplicación. Dado que la consulta no tiene una columna de porcentaje, puede crear una nueva medida para mostrar esta información.

  1. En Visualizaciones, seleccione el icono de gráfico de columnas apiladas para crear un gráfico de columnas apiladas.

    Captura de pantalla que muestra el icono de gráfico de columnas apiladas en Visualizaciones en Power BI Desktop.

  2. Con la nueva visualización seleccionada, seleccione Medida rápida en la cinta de opciones.

  3. En la ventana Medidas rápidas , en Cálculo, seleccione División. Arrastre Error desde Campos hasta el campo Numerador y arrastre Intentos de Campos a Denominador.

    Captura de pantalla que muestra la configuración en la ventana Medidas rápidas.

  4. Seleccione Aceptar. La nueva medida aparece en el panel Campos .

  5. Seleccione la nueva medida en el panel Campos y, en Formato en la cinta de opciones, seleccione Porcentaje.

    Captura de pantalla que muestra la nueva medida seleccionada en el panel Campos y Porcentaje seleccionada en Formato en la cinta de opciones.

  6. Con la visualización del gráfico de columnas seleccionada en el lienzo, seleccione o arrastre el campo AppDisplayName al área Eje y la nueva medida Error dividida por intentos en el área Valores . El gráfico ahora muestra el porcentaje de intentos de inicio de sesión erróneos para cada aplicación.

    Captura de pantalla que muestra el gráfico de columnas con un porcentaje de intentos erróneos para cada aplicación.

Actualizar los datos y guardar el informe

  1. Seleccione Actualizar para obtener los datos más recientes de Microsoft Sentinel.

    Captura de pantalla que muestra el botón Actualizar de la cinta de opciones.

  2. Seleccione Guardar archivo> y guarde el informe de Power BI.

Creación de un área de trabajo en línea de Power BI

Para crear un área de trabajo de Power BI para compartir el informe:

  1. Inicie sesión en powerbi.com con la misma cuenta que usó para Power BI Desktop y Microsoft Sentinel acceso de lectura.

  2. En Áreas de trabajo, seleccione Crear un área de trabajo. Asigne al área de trabajo el nombre Informes de administración y seleccione Guardar.

    Captura de pantalla que muestra Crear un área de trabajo en el servicio Power BI.

  3. Para conceder acceso a personas y grupos al área de trabajo, seleccione los puntos Más opciones junto al nuevo nombre del área de trabajo y, a continuación, seleccione Acceso al área de trabajo.

    Captura de pantalla que muestra el acceso al área de trabajo en el menú Más opciones.

  4. En el panel lateral Acceso al área de trabajo, puede agregar las direcciones de correo electrónico de los usuarios y asignar un rol a cada usuario. Los roles son Administración, Miembro, Colaborador y Visor.

Publicación del informe de Power BI

Ahora puede usar Power BI Desktop para publicar el informe de Power BI para que otros usuarios puedan verlo.

  1. En el nuevo informe de Power BI Desktop, seleccione Publicar.

    Captura de pantalla que muestra Publicar en la cinta de opciones de Power BI Desktop.

  2. Seleccione el área de trabajo Informes de administración en la que publicar y seleccione Seleccionar.

    Captura de pantalla en la que se muestra cómo seleccionar el área de trabajo Informes de administración de Power BI en la que publicar.

Importación del informe a un canal de Microsoft Teams

También quiere que los miembros del canal de Management Teams puedan ver el informe. Para agregar el informe a un canal de Teams:

  1. En el canal de Management Teams, seleccione + para agregar una pestaña y, en la ventana Agregar una pestaña , busque y seleccione Power BI.

    Captura de pantalla que muestra cómo seleccionar Power BI en la ventana Agregar una pestaña en Teams.

  2. Seleccione el nuevo informe en la lista de informes de Power BI y seleccione Guardar. El informe aparece en una nueva pestaña en el canal de Teams.

    Captura de pantalla que muestra el informe de Power BI en una pestaña del canal de Teams.

Programar la actualización de informes

Actualice el informe de Power BI según una programación, por lo que los datos actualizados siempre aparecen en el informe.

  1. En el servicio Power BI, seleccione el área de trabajo en la que publicó el informe.

  2. Junto al conjunto de datos del informe, seleccione Más opciones>Configuración.

    Captura de pantalla que muestra la configuración en Más opciones en el conjunto de datos del informe de Power BI.

  3. Seleccione Editar credenciales para proporcionar las credenciales de una cuenta que tenga acceso de lectura al área de trabajo de Log Analytics.

  4. En Actualización programada, establezca el control deslizante en Activado y configure una programación de actualización para el informe.

    Captura de pantalla que muestra la configuración de actualización programada para el conjunto de datos del informe de Power BI.

Contenido relacionado

Para más información, vea:

  • Last updated on