Report di Microsoft Defender XDR visualizzabili in dashboard di PowerBI
All’interno della community ho parlato in diversi articoli della componente di Microsoft Defender XDR, da come eseguire l’onboarding dei dispositivi Windows e Linux, a come gestirli fino a darvi evidenza di come eventualmente eseguire l’off-boarding dei vostri dispositivi.
Oggi invece vorrei parlarvi di come poter analizzare i dati raccolti dai vostri endpoint e di come renderli fruibili in modo più semplice e intuitivo, questo perché diverse volte nell’attività quotidiana mi viene chiesto come poter avere delle Dashboard personalizzabili secondo determinate esigenze.
La risposta a questa domanda, è presente con l’unione del servizio di Microsoft Defender XDR, tra le api che vengono esposto, e lo strumento di analitica di casa Redmond, ovvero PowerBI.
Cosa è PowerBI?
PowerBI è una raccolta di servizi Software, app e connettori che interagiscono tra di loro per trasformare origini di dati non correlate in informazioni dettagliata e interattive, coerenti e visivamente “accattivanti”.
I dati che powerBI può elaborare possono provenire da diversi fonti, dalle più semplici come file Excel, alle più complesse come ad esempio delle Data WareHouse residenti in Cloud o in ambienti Ibridi.
Il vantaggio di PowerBI è il connettore in modo semplice, intuitivo e veloce tutte queste fonti di dati per darvi un report visualizzabile da qualsiasi persona all’interno della vostra organizzazione.
PowerBI mette a disposizione 3 tipologie di servizi per rendere fruibile il servizio da qualsiasi tipologia di postazione:
- PowerBI Desktop: Applicazione da installare all’interno del vostro endpoint
- Servizio di PowerBI: Visualizzabile direttamente da un Browser Web
- PowerBI Applicazione Smartphone: Dashboard visualizzabili dallo smartphone installando l’applicazione proprietaria
Figura 1: Le differenti applicazioni che PowerBI mette a disposizione per la visualizzazione dei dati
Per approfondimenti sull’utilizzo di PowerBI vi lascio il link ufficiale Microsoft del servizio Che cos’è Power BI? – Power BI | Microsoft Learn
Prerequisiti
Per creare quanto andremo a vedere in questo articolo dovrete avere a disposizione:
- Licenza Microsoft Defender for Endpoint o Suite che lo contiene
- Licenza di PowerBI Pro
Nel mio caso utilizzerò un tenant con la suite Microsoft 365 E5 che contiene entrambi, vi lascio anche il link di m365maps che vi dà evidenza delle features comprese in questa suite Microsoft 365 E5 | M365 Maps
Figura 2: Licenze all’interno del tenant utilizzato per la demo
Figura 3: Device demo gestito da Microsoft Defender for Endpoint che ci fornirà i dati da visualizzare in PowerBI
Scenario
Per darvi evidenza del funzionamento di questi due servizi Microsoft, io avrò un computer chiamato “userlaptop” con sistema operativo Windows 11 gestito da Microsoft Intune protetto da Microsoft Defender for Endpoint e vedremo insieme come poter collegare le API di questo servizio verso PowerBI per visualizzare in modo grafico quanto rilevato da questa componente di sicurezza Microsoft.
Il primo step che vi consiglio di fare e quello di eseguire il download ed installazione di PowerBI Desktop, potete trovarla direttamente dal Microsoft Store del vostro dispositivo
Figura 4: Download e Installazione di PowerBI Desktop all’interno del vostro dispositivo
Ora una volta installata avviate l’applicazione e loggatevi con l’utente con licenza di PowerBI assegnata, nel mio caso proprio il mio utente
Figura 5: Login in PowerBI Desktop con utente che ha la licenza di PowerBI Pro assegnata
Per approfondimenti relativi all’integrazione di PowerBI con Microsoft Defender for Endpoint vi riporto il link ufficiale Microsoft Microsoft Defender for Endpoint APIs connection to Power BI – Microsoft Defender for Endpoint | Microsoft Learn
Figura 6: Selezionare la fonte di dati partendo da una query vuota e quindi estremamente personalizzabile
Figura 7: Selezionare Editor Avanzato
Ora dovrete copiare ed incollare la query all’interno dell’editor per la query testuale recuperatela dal seguente link Microsoft Defender for Endpoint APIs connection to Power BI – Microsoft Defender for Endpoint | Microsoft Learn
Figura 8: Query da copiare all’interno dell’editor avanzato
Figura 9: Salvataggio della query che avrete appena inserito
Figura 10: Inserimento delle credenziali per il collegamento di PowerBI con Microsoft Defender for Endpoint
L’accesso dovrete eseguirlo con un account che ha assegnato la licenza di PowerBI Pro, nel mio caso il mio utente, e che abbia diritti di lettura dei report di Microsoft Defender
Figura 11: Inserimento credenziali di un utente con credenziali di lettura della componente di Microsoft Defender e con licenza di PowerBI Pro
Figura 12: Inserimento credenziali avvenuto con successo
Vedrete ora che comparirà una tabella con tutte le attività che sono state rilevate all’interno dell’endpoint di demo (nel mio caso solo uno)
Figura 13: Attività eseguite sugli endpoint che risultano protetti da Microsoft Defender for Endpoint
Vi sono numerosi template di PowerBI consigliati direttamente dalla stessa Microsoft su Github disponibili GitHub – microsoft/MicrosoftDefenderForEndpoint-PowerBI: A repo for sample MDATP Power BI Templates
Vi darò evidenza di come caricarli all’interno della PowerBI, nello specifico quello relativo alla gestione e amministrazione dei device.
Figura 14: Download del report di PowerBI sviluppato dalla community
Figura 15: Estrazione del file ZIP contenente i report di PowerBI per Microsoft Defender for Endpoint
Figura 16: Contenuto della cartella Estratta
Io vi darò evidenza di “Administration And Management”
Figura 17: Contenuto Cartella “Administration And Management”
Ora, dopo un doppio click con il tasto sinistro del Mouse, la dashboard di PowerBI, dopo avervi richiesto le credenziali di accesso al tenant si aprirà:
Figura 18: Dashboard di PowerBI con un errore
Se riscontrate l’errore evidenziato vuol dire che la visualizzazione delle mappe non è abilitata per l’organizzazione (è disabilitata di Default) per risolvere il problema recatevi all’interno dell’interfaccia amministrativa di PowerBI
Figura 19: Login Interfaccia amministrativa di PowerBI
Figura 20: Prima impostazione da Abilitare
Figura 21: Seconda impostazione da Abilitare
Figura 22: Terza Impostazione da Abilitare
Ora potrete ritornare nella vostra PowerBI Desktop, chiuderla e riaprire il file scaricato in precedenza (questa operazione è necessaria per rendere effettive le modifiche)
Figura 23: Dopo la modifica la location del device viene correttamente vista nelle mappe
Una piccola precisazione, la location viene visualizzata se nella tag del dispositivo è presente la country, nel mio caso “Bergamo”
Figura 24: Country del dispositivo configurata all’interno del portale di Microsoft Defender
Conclusioni
Come avete potuto notare con poco effort e grazie alla straordinaria integrazione tra i prodotti Microsoft si riesce in modo semplice e veloce ad avere una dashboard interattiva, che vi puoi aiutare a verificare lo stato di salute dei vostri device, infatti nella Dashboard è presente proprio la sezione dei device attivi / non attivi e addirittura tutti gli endpoint che non si collegano alla console per più di 7 giorni.
Questo permette a tutti gli IT Admin di risparmiare diverso tempo, in quanto non è necessario eseguire export in CSV ed eseguire filtri, ma è direttamente PowerBI che elabora i dati e ci fornisce un report “accattivante” e leggibile da qualsiasi persona.