Report di Microsoft Defender XDR visualizzabili in dashboard di PowerBI

All’interno della community ho parlato in diversi articoli della componente di Microsoft Defender XDR, da come eseguire l’onboarding dei dispositivi Windows e Linux, a come gestirli fino a darvi evidenza di come eventualmente eseguire l’off-boarding dei vostri dispositivi.

Oggi invece vorrei parlarvi di come poter analizzare i dati raccolti dai vostri endpoint e di come renderli fruibili in modo più semplice e intuitivo, questo perché diverse volte nell’attività quotidiana mi viene chiesto come poter avere delle Dashboard personalizzabili secondo determinate esigenze.

La risposta a questa domanda, è presente con l’unione del servizio di Microsoft Defender XDR, tra le api che vengono esposto, e lo strumento di analitica di casa Redmond, ovvero PowerBI.

Cosa è PowerBI?

PowerBI è una raccolta di servizi Software, app e connettori che interagiscono tra di loro per trasformare origini di dati non correlate in informazioni dettagliata e interattive, coerenti e visivamente “accattivanti”.

I dati che powerBI può elaborare possono provenire da diversi fonti, dalle più semplici come file Excel, alle più complesse come ad esempio delle Data WareHouse residenti in Cloud o in ambienti Ibridi.

Il vantaggio di PowerBI è il connettore in modo semplice, intuitivo e veloce tutte queste fonti di dati per darvi un report visualizzabile da qualsiasi persona all’interno della vostra organizzazione.

PowerBI mette a disposizione 3 tipologie di servizi per rendere fruibile il servizio da qualsiasi tipologia di postazione:

  • PowerBI Desktop: Applicazione da installare all’interno del vostro endpoint
  • Servizio di PowerBI: Visualizzabile direttamente da un Browser Web
  • PowerBI Applicazione Smartphone: Dashboard visualizzabili dallo smartphone installando l’applicazione proprietaria

Figura 1: Le differenti applicazioni che PowerBI mette a disposizione per la visualizzazione dei dati

Per approfondimenti sull’utilizzo di PowerBI vi lascio il link ufficiale Microsoft del servizio Che cos’è Power BI? – Power BI | Microsoft Learn

Prerequisiti

Per creare quanto andremo a vedere in questo articolo dovrete avere a disposizione:

  • Licenza Microsoft Defender for Endpoint o Suite che lo contiene
  • Licenza di PowerBI Pro

Nel mio caso utilizzerò un tenant con la suite Microsoft 365 E5 che contiene entrambi, vi lascio anche il link di m365maps che vi dà evidenza delle features comprese in questa suite Microsoft 365 E5 | M365 Maps

Figura 2: Licenze all’interno del tenant utilizzato per la demo

Figura 3: Device demo gestito da Microsoft Defender for Endpoint che ci fornirà i dati da visualizzare in PowerBI

Scenario

Per darvi evidenza del funzionamento di questi due servizi Microsoft, io avrò un computer chiamato “userlaptop” con sistema operativo Windows 11 gestito da Microsoft Intune protetto da Microsoft Defender for Endpoint e vedremo insieme come poter collegare le API di questo servizio verso PowerBI per visualizzare in modo grafico quanto rilevato da questa componente di sicurezza Microsoft.

Il primo step che vi consiglio di fare e quello di eseguire il download ed installazione di PowerBI Desktop, potete trovarla direttamente dal Microsoft Store del vostro dispositivo

Figura 4: Download e Installazione di PowerBI Desktop all’interno del vostro dispositivo

Ora una volta installata avviate l’applicazione e loggatevi con l’utente con licenza di PowerBI assegnata, nel mio caso proprio il mio utente

Figura 5: Login in PowerBI Desktop con utente che ha la licenza di PowerBI Pro assegnata

Per approfondimenti relativi all’integrazione di PowerBI con Microsoft Defender for Endpoint vi riporto il link ufficiale Microsoft Microsoft Defender for Endpoint APIs connection to Power BI – Microsoft Defender for Endpoint | Microsoft Learn

Figura 6: Selezionare la fonte di dati partendo da una query vuota e quindi estremamente personalizzabile

Figura 7: Selezionare Editor Avanzato

Ora dovrete copiare ed incollare la query all’interno dell’editor per la query testuale recuperatela dal seguente link Microsoft Defender for Endpoint APIs connection to Power BI – Microsoft Defender for Endpoint | Microsoft Learn

Figura 8: Query da copiare all’interno dell’editor avanzato

Figura 9: Salvataggio della query che avrete appena inserito

Figura 10: Inserimento delle credenziali per il collegamento di PowerBI con Microsoft Defender for Endpoint

L’accesso dovrete eseguirlo con un account che ha assegnato la licenza di PowerBI Pro, nel mio caso il mio utente, e che abbia diritti di lettura dei report di Microsoft Defender

Figura 11: Inserimento credenziali di un utente con credenziali di lettura della componente di Microsoft Defender e con licenza di PowerBI Pro

Figura 12: Inserimento credenziali avvenuto con successo

Vedrete ora che comparirà una tabella con tutte le attività che sono state rilevate all’interno dell’endpoint di demo (nel mio caso solo uno)

Figura 13: Attività eseguite sugli endpoint che risultano protetti da Microsoft Defender for Endpoint

Vi sono numerosi template di PowerBI consigliati direttamente dalla stessa Microsoft su Github disponibili GitHub – microsoft/MicrosoftDefenderForEndpoint-PowerBI: A repo for sample MDATP Power BI Templates

Vi darò evidenza di come caricarli all’interno della PowerBI, nello specifico quello relativo alla gestione e amministrazione dei device.

Figura 14: Download del report di PowerBI sviluppato dalla community

Figura 15: Estrazione del file ZIP contenente i report di PowerBI per Microsoft Defender for Endpoint

Figura 16: Contenuto della cartella Estratta

Io vi darò evidenza di “Administration And Management”

Figura 17: Contenuto Cartella “Administration And Management”

Ora, dopo un doppio click con il tasto sinistro del Mouse, la dashboard di PowerBI, dopo avervi richiesto le credenziali di accesso al tenant si aprirà:

Figura 18: Dashboard di PowerBI con un errore

Se riscontrate l’errore evidenziato vuol dire che la visualizzazione delle mappe non è abilitata per l’organizzazione (è disabilitata di Default) per risolvere il problema recatevi all’interno dell’interfaccia amministrativa di PowerBI

Figura 19: Login Interfaccia amministrativa di PowerBI

Figura 20: Prima impostazione da Abilitare

Figura 21: Seconda impostazione da Abilitare

Figura 22: Terza Impostazione da Abilitare

Ora potrete ritornare nella vostra PowerBI Desktop, chiuderla e riaprire il file scaricato in precedenza (questa operazione è necessaria per rendere effettive le modifiche)

Figura 23: Dopo la modifica la location del device viene correttamente vista nelle mappe

Una piccola precisazione, la location viene visualizzata se nella tag del dispositivo è presente la country, nel mio caso “Bergamo”

Figura 24: Country del dispositivo configurata all’interno del portale di Microsoft Defender

Conclusioni

Come avete potuto notare con poco effort e grazie alla straordinaria integrazione tra i prodotti Microsoft si riesce in modo semplice e veloce ad avere una dashboard interattiva, che vi puoi aiutare a verificare lo stato di salute dei vostri device, infatti nella Dashboard è presente proprio la sezione dei device attivi / non attivi e addirittura tutti gli endpoint che non si collegano alla console per più di 7 giorni.

Questo permette a tutti gli IT Admin di risparmiare diverso tempo, in quanto non è necessario eseguire export in CSV ed eseguire filtri, ma è direttamente PowerBI che elabora i dati e ci fornisce un report “accattivante” e leggibile da qualsiasi persona.