Как создать пользовательскую панель безопасности и угроз в Power BI
26 июля 2023 г.Во многих отношениях Microsoft Power BI можно рассматривать как следующее поколение Excel. И, как и Excel, он полезен не только для бизнес-аналитиков и инженеров по обработке данных; ИТ-специалисты могут воспользоваться этим для понимания больших объемов данных. Если инструменты безопасности, которые вы используете, не имеют подходящих панелей мониторинга и отчетов, которые помогут вам сразу увидеть, что происходит с вашими системами, вы можете создать их самостоятельно в Power BI — и вам не нужно быть экспертом в области аналитики, чтобы создать что-то полезное.
Например, вы можете использовать Microsoft Power BI для объединения данных из многих инструментов безопасности, используемых большинством организаций, чтобы вы могли видеть, что происходит во всех различных системах, которые будут исследовать злоумышленники — электронная почта, идентификационные данные, конечные точки, приложения и т. д. — и определять различные этапы атаки.
ПОСМОТРЕТЬ: Загрузите нашу памятку по Microsoft 365.
Пользовательские панели безопасности
Преимущество Power BI заключается в том, насколько легко создавать именно те отчеты и визуализации, которые важны для вас, а также использовать аналитику на основе ИИ, которая находит и выделяет аномалии и выбросы в данных. Имея бесконечный список дел, команды безопасности всегда заняты и всегда ищут способы расставить приоритеты по наиболее важным проблемам, над которыми они должны работать.
«При очень небольшом обучении мы видели, как люди создают подробные и интерактивные отчеты, которые действительно помогают с отчетами о соответствии, аудите и безопасности», — сказал TechRepublic Амир Нетц, технический сотрудник и главный технический директор Microsoft Fabric.
Вы можете делать мобильные версии своих отчетов, чтобы их было легко проверить, есть ли инцидент в нерабочее время, который вам нужно быстро оценить.
Сделать панель обновлений безопасности Windows
Существуют пакеты содержимого Power BI для различных инструментов безопасности, а некоторые инструменты безопасности Microsoft имеют API-интерфейсы, поэтому вы можете перенести эту информацию в Power BI для визуализации. Microsoft Defender for Endpoint имеет API-интерфейсы для доступа к данным об угрозах и уязвимостях для инвентаризации программного обеспечения, уязвимостей программного обеспечения и устройств, которые были обнаружены как неправильно настроенные, включая отсутствующие обновления безопасности Windows (рис. A).
Рисунок А
Таким образом, вы можете следить за тем, скольким CVE подвергается ваша организация, видеть, сколько нового программного обеспечения устанавливается в вашей организации, получать приоритетный список незащищенных устройств или смотреть, какие версии ОС работают на уязвимых устройствах — любые показатели и проблемы, которые вам нужно иметь под рукой.
ПОСМОТРЕТЬ: Воспользуйтесь набором для найма разработчиков Microsoft Power BI от TechRepublic Premium.
Выберите, что отображать на панели инструментов
Нетц предлагает использовать древовидную карту, чтобы быстро увидеть сравнительное количество устройств и проблем, или даже простую гистограмму, ранжирующую различные ключевые показатели.
«Они с первого взгляда показывают относительную величину воздействия», — сказал Нетц. «Визуальная карта Bing также может быть очень эффективной для отображения географического распределения определенных действий».
Вы можете добавить срезы, чтобы быстро отфильтровать то, что вас интересует, например, по операционной системе, и визуальные элементы будут обновляться, чтобы отображать только эти данные (рис. B).
Рисунок Б
Другие способы настройки панели мониторинга Power BI включают:
- Вам может понадобиться подробный отчет с большим количеством визуальных элементов или просто некоторые ключевые цифры, которые вы можете быстро проверить на своем телефоне.
Команда Microsoft Defender запускает репозиторий полезных шаблонов отчетов Power BI Defender, который включает макеты брандмауэра, сети, поверхности атаки и управления угрозами.
Если у вас большое количество устройств, уделите время анализу запросов для их оптимизации, чтобы ваши отчеты Power BI не замедлялись из-за того, что они извлекают больше данных, чем вам действительно нужно.
Вы можете получить полный моментальный снимок или только те изменения, которые произошли с момента последнего извлечения данных, в зависимости от того, хотите ли вы оглянуться на данные безопасности с течением времени, чтобы увидеть шаблоны и посмотреть, влияют ли введенные вами политики безопасности, или вам нужен такой же обзор в реальном времени, который Power BI может предоставить вам для устройств IoT.
Вы также можете подключиться к API расширенного поиска из Microsoft Defender 365 в API безопасности Microsoft Graph в запросе в Power BI Desktop.
«Некоторые клиенты довольны тем, что находятся в более реактивной позиции и просматривают ежедневные/еженедельные снимки, в то время как другим требуется более тщательный мониторинг в режиме реального времени», — сказал Нетц. Microsoft Power BI позволяет быстро собрать отчет любого типа, когда вам это нужно.
Мониторинг Power BI с помощью Power BI
Поскольку Microsoft Power BI может подключаться практически к любому источнику данных в вашей организации, вы, вероятно, захотите отслеживать, кто получает доступ к данным и визуализациям, и убедиться, что только те люди, которым вы ожидаете, будут иметь доступ к важной или конфиденциальной бизнес-информации.
Доступ на основе ролей, встроенный в Microsoft Power BI, обеспечит доступ к информации только нужным сотрудникам, как и Microsoft Purview Information Protection, если вы настроили обнаружение, классификацию и метки конфиденциальности.
Но роль администратора Fabric позволяет администраторам отслеживать, кто просматривает информационные панели, отчеты и наборы данных, не будучи глобальным администратором. По словам Нетца, мониторинг прав доступа пользователей к рабочему пространству и артефактам Power BI означает, что ИТ-отдел может быть уверен, что пользователи соблюдают требования аудита и безопасности.
Вы можете сделать то же самое для любых важных корпоративных активов благодаря интеграции Power BI с Microsoft Defender для облачных приложений. С помощью Defender для облачных приложений вы можете создавать политики условного доступа, которые можно применять в режиме реального времени с помощью Microsoft Entra ID (новое название Azure Active Directory). На портале Defender for Cloud Apps вы можете устанавливать политики и получать оповещения, которые позволят вам:
- Не позволяйте пользователям копировать и вставлять данные из конфиденциального отчета.
Ищите людей, которые понижают уровень конфиденциальности для нескольких документов.
Ищите людей, которые делятся большим количеством отчетов или делятся конфиденциальным отчетом с новым внешним адресом электронной почты, на который они раньше не отправляли отчеты.
«Microsoft Defender для облачных приложений позволяет организациям отслеживать и контролировать в режиме реального времени рискованные сеансы Power BI, такие как доступ пользователей с неуправляемых устройств, — сказал Нетц. «Администраторы безопасности могут определять политики для управления действиями пользователей, такими как загрузка отчетов с конфиденциальной информацией. Благодаря интеграции Power BI вы можете установить политику мониторинга и обнаружения аномалий, а также дополнить активность пользователей Power BI журналом активности».
Это поможет вам найти такие шаблоны, как злонамеренный инсайдер, который использует данные Power BI, чтобы найти критически важные бизнес-системы для эксфильтрации данных с помощью другого инструмента.
«Мы предоставляем необработанные данные журнала аудита за последние 30 дней через API и через центр соответствия Microsoft 365», — сказал Нетц.
Таким образом, если вы обнаружите что-то подозрительное на одной из своих настраиваемых панелей управления безопасностью, вы сможете вернуться и посмотреть, что еще происходило в то же время.
Оригинал