C’est un article que j’avais envie de faire depuis un petit moment déjà… Aujourd’hui, nous allons voir comment extraire des données depuis notre SIEM Microsoft Sentinel et les exporter vers Power BI afin de les exploiter, créer des graphiques – puis les mettre à disposition des collaborateurs qui en auront besoin.
Je vais volontairement partir d’un exemple simple pour que vous puissiez éventuellement le refaire sur votre infrastructure de test à la maison ! 😉
Etape 1 – Vous devez disposer d’un espace Sentinel
Evidemment, avant toute chose, vous devez avoir créé un espace Sentinel au sein d’une souscription Azure. Pour rappel, Sentinel est l’offre que Microsoft propose comme SIEM face à d’autres solutions comme QRadar d’IBM ou encore Splunk.
L’une des différences fondamentales de Sentinel par rapport à ses concurrents est que Microsoft a fait le choix de fonctionner intégralement dans le Cloud. C’est-à-dire que par rapport à des alternatives où vous devez en général déployer des infrastructures complexes composées de plusieurs VM, avec beaucoup de stockage et éventuellement du cache SSD… Avec Azure Sentinel, vous consommer un objet Log Analytics Workspace qui n’est rien d’autre qu’un puits de logs dans lequel vous allez déverser toutes les données que vous souhaitez analyser (et pour lesquelles on pourra ensuite créer des alertes / incidents dans Sentinel). Il n’y a donc aucune infrastructure à gérer ou à maintenir dans le temps – vous ne payez que la donnée qui est ingérée et les alertes que vous aurez créé.
Je ne reviens pas sur cette partie car je l’avais déjà détaillé dans un précédent article que vous pouvez retrouver sur le blog en suivant ce lien.
Etape 2 – Installation de Power BI (Desktop)
Power Bi, comme la plupart des solutions disponibles dans Office 365, est accessible soit via un client lourd soit directement en web online. Pour ma part, j’ai prévu d’utiliser le client lourd. Je vous encourage donc à le récupérer sur votre machine Windows en cliquant sur le bouton ci-dessous :
Pour info, l’outil n’existe en revanche que pour Windows. Pas de version pour Mac OS ou Linux. 🙄
Une fois installé, vous devrez vous identifier avec le compte que vous utilisez sur le Tenant où se trouve la subscription qui héberge votre espace Sentinel et Log Analytics. 😊
Etape 3 – Créer une requête Kusto
Une fois dans votre espace Sentinel, cliquez sur Logs et créez une requête KQL qui soit intéressante avec un peu de données que l’on va pouvoir retravailler. Comme indiqué précédemment, j’ai choisi de faire simple et d’utiliser les logs de connexion à Azure AD sur les 7 derniers jours.
Dans le menu supérieur, on va pouvoir exporter nos données en cliquant sur le bouton Export to Power Bi. Cela aura pour effet de démarrer le téléchargement d’un fichier TXT.
Etape 4 – Récupération des données dans Power Bi
Pour la suite c’est très simple : ouvrez votre application Power Bi et importez vos données en copiant collant le contenu du fichier TXT précédemment téléchargé. Pour ce faire, cliquez dans le bandeau supérieur Get Data puis Blank Query et ensuite Advanced Editor.
Là-dedans, copiez-collez tout le contenu du fichier que vous avez précédemment téléchargé.
Validez et appliquez. Le contenu de vos données va apparaître.
Il ne nous reste plus qu’à retravailler nos données pour en faire quelque-chose de sympa. Je vous propose un exemple dans l’étape suivante ! 😏
Etape 5 – Élaboration de mon rapport Power Bi
Il me reste maintenant à retravailler mes données. Dans l’exemple ci-dessous je commence par créer un tableau des données que j’ai importé de mon Sentinel.
Si vous connaissez Excel, le principe est très proche des tableaux croisés-dynamiques. Vous choisissez les colonnes que vous souhaitez afficher puis vous pouvez redimensionner et changer le positionnement du tableau.
J’ajoute ensuite 2 graphiques. Un graphique en « camembert » (pie-chart) et en bâtons juste en dessous.
Je vous montre les réglages que j’ai utilisé dans les captures d’écran ci-dessous. Il suffit de glisser-déposer « City » dans les sections « Legend » et « Values ».
Pour ce graphique, on glisse « Browser » dans les sections « Axis », « Legend », « Values ».
J’accepte les critiques sans problème : on est d’accord qu’il ne s’agit pas de données passionnantes mais l’idée était d’avoir un exemple simple. 😉
Ainsi, on met en lumière au travers de 2 graphiques :
- La répartition des connexions de mes comptes utilisateurs à Azure AD ;
- Le type de Browser web qui est utilisé en fonction des connexions à Azure AD ;
Et voilà, c’est terminé. 😊
Il ne vous reste maintenant plus qu’à publier votre beau dashboard dans l’espace Power Bi de votre entreprise et d’y inviter vos collègues et/ou responsables qui auraient besoin de ses superbes données. L’intérêt étant que ces dernières sont interactives et que vous pouvez cliquer sur les éléments du rapport : graphique, données dans le tableau, etc.
Pour aller plus loin, je vous encourage à consulter l’article officiel sur le site de Microsoft en suivant ce lien ou bien à consulter également l’excellent blog suivant qui traite les possibilités offertes par Power Bi.
