Scopri come organizzare ed ottimizzare i report di Microsoft Sentinel utilizzando Dashboard Hub e Power BI per una gestione efficiente dei dati.
Microsoft Sentinel rappresenta una soluzione avanzata per la gestione della sicurezza informatica, offrendo una vasta gamma di workbooks preconfigurati. Questi strumenti sono essenziali per la visualizzazione dei dati e per migliorare l’efficienza operativa. In questo contesto, organizzare i workbooks in dashboard attraverso il Dashboard Hub può semplificare notevolmente l’accesso ai dati per i vari stakeholder.
Quando si gestiscono più workbooks, è importante identificarne quelli cruciali e determinare quali stakeholder necessitano di accesso per le loro attività quotidiane. Una soluzione efficace è il pin di workbooks nei dashboard, che possono essere privati o condivisi. Mentre un dashboard privato è accessibile solo dall’utente che lo ha creato, un dashboard condiviso è un risorsa di Azure salvata in un gruppo di risorse, con accesso governato dal controllo basato sui ruoli (RBAC).
Nel nostro caso specifico, ci concentreremo sui dashboard condivisi. Per aggiungere un workbook a un dashboard condiviso, è sufficiente selezionare l’opzione “Pin” e scegliere il dashboard desiderato. Qualora il dashboard condiviso non fosse già disponibile, si può creare un nuovo dashboard che verrà ospitato in un gruppo di risorse.
Per esempio, un dashboard condiviso creato per il monitoraggio SecOps consente di accedere rapidamente ai workbooks necessari, configurando un intervallo di aggiornamento automatico adeguato e determinando i permessi di accesso attraverso RBAC. In questo modo, è possibile evitare di navigare costantemente tra le varie sezioni di Microsoft Sentinel per trovare i workbooks di interesse, poiché saranno tutti disponibili in un unico luogo centralizzato.
Utilizzo di Power BI per Report Personalizzati
Power BI rappresenta uno strumento potente per elaborare e condividere report personalizzati partendo dai dati di Microsoft Sentinel. Creare un report in Power BI richiede l’utilizzo di logiche KQL (Kusto Query Language). Un esempio pratico potrebbe essere la creazione di un report per monitorare la tabella Syslog, focalizzandosi sulla colonna ProcessName.
Requisiti:
- Accesso in lettura a un workspace di Microsoft Sentinel.
- Un account Power BI con accesso in lettura al workspace di Microsoft Sentinel.
- Applicazione desktop Power BI.
Passaggi dettagliati:
- Accedere a Microsoft Sentinel e navigare alla sezione Logs.
- Scrivere e eseguire la query KQL desiderata. Ad esempio:
Syslog | summarize count() by ProcessName - Esportare la query come M query per Power BI.
- Aprire l’app desktop Power BI, accedere con un account che abbia almeno accesso in lettura al workspace di Microsoft Sentinel e creare un nuovo report vuoto.
- Nell’editor di Power Query, incollare la query esportata e autenticarsi se richiesto.
- Applicare le modifiche e creare visualizzazioni come tabelle o grafici a torta per rappresentare i dati.
- Pubblicare il report scegliendo uno spazio di lavoro appropriato, per esempio, un workspace dedicato al monitoraggio SOC.
Puoi gestire i permessi di accesso al workspace attraverso l’opzione di “Workspace access”. Inoltre, è raccomandato configurare il refresh automatico del report per assicurarsi che i dati siano sempre aggiornati.
Questa combinazione di strumenti – Microsoft Sentinel, Dashboard Hub e Power BI – offre un metodo completo e flessibile per monitorare e visualizzare i dati di sicurezza, migliorando significativamente l’efficienza e la trasparenza del processo di monitoraggio.