はじめに
Microsoft Enterprise Mobility + Security (EMS)と関連するSIEMサービスである、Microsoft Sentinelについて、KQLでログを引っ張ってくるところを、Power BIのPower Query エディターに連携する、というところの概要を説明します。
リファレンス
Power BIへエクスポート(M Query)
ログのクエリを実行します。そして、エクスポートのメニューから「Power BIへエクスポート(M Query)」を選択すると、クエリがのテキストファイルがダウンロードされます。
そのテキストの内容をクリップボードに持っておきます。
Power BI Desktopでの読み込み
Power Query エディターを起動します。
「空のクエリ」を呼び出して
「詳細エディター」を呼び出し
全部を、テキストの内容に置き換えてください。
認証が必要になった場合は、実行してください。
このように読み込まれます。あとのビジュアル作りは通常と同じです。
Power BI Serviceのデータフローでの読み込み
データフローを起動し、新しいテーブルの定義をします。
Power BI Desktopと同様に「空のクエリ」を選択し、全部をエクスポートした内容で書き換えます。そして[次へ]
コメントの部分のスクリプトで同意画面がでましたが、OKであれば[同意]を
データが読みこまれました。
Power BIに慣れている方は、Sentinelのデータをこのように容易に取得することができます。
おわりに
日本のサイト、まだ旧名 Azure Sentinelですね。そして、QiitaのタグもAzureSentinelを皆さん使われていますね。製品名が変わると、タグはどうしたらいいんだ、というところは悩ましいですね。
でも悩んでもしょうがないので新しいのを作って加えました。