コンテンツにスキップ

XDR 向け Power BI🔗

概要🔗

Microsoft Power BI は、ユーザーがダッシュボード、レポート、Power BI アプリ(関連するダッシュボードやレポートを組み合わせたコンテンツの一種)をウェブブラウザや Windows、iOS、Android 向けアプリで作成・閲覧できる、セキュアなホスト型クラウドサービスです。Power BI は専用ライセンスで利用できますが、Office 365 E5 にも含まれているため、多くのお客様がすでに利用可能であり、全社的なレポーティング機能を簡単かつ統合的に実現できる選択肢の一つです。

Power BI を利用して Secureworks® Taegis™ XDR のデータを集約・可視化することで、ネットワークやユーザーのアクティビティ、またそれに起因する検出やケースについて、豊富なインサイトを得ることができます。Secureworks では、XDR 内の複数の API からデータを取得し、組織内のさまざまなレポート要件に対応できるサンプルレポートを用意しています。

ユースケース例🔗

レポーティングは多様な目的に活用できます。XDR にはネットワークデバイスやユーザー、そしてそれらに関連するケースに関する豊富な情報が含まれており、さまざまな方法で分析・可視化することでストーリーを伝えることができます。これらのストーリーは、特定の成果のインパクトや進捗を測定するための指標を提供し、ビジネス内のさまざまな役割にとって重要な成果を推進するために活用できます。XDR のデータを Power BI に統合することで、XDR の検出やケースに関連するデータをもとに、お客様やパートナーは脅威の効果的かつ効率的な検知・対応能力に影響を与える傾向をより深く理解できます。

以下は、Power BI がサポートできるいくつかのペルソナと、その想定される責任や成果例です。提供されるデータセットやレポートは出発点としてご利用いただけます。ビジネス目標を支える指標が特定できれば、それに応じて自由に修正・拡張が可能です。

  • SOC マネージャー

    • 責任: ワークロードの監視、アナリストのスキル・学習管理
    • 成果: 対応・解決時間の短縮、アナリストの効率向上、より難易度の高い問題のトリアージ

  • セキュリティリーダーおよびアーキテクト

    • 責任: 振り返り、テクノロジーギャップ、攻撃ベクトルの傾向分析
    • 成果: セキュリティプログラムの進化、防御の拡充、より大きな課題への対応時間の確保

  • 脅威ハンター

    • 責任: エンティティコンテキスト、攻撃ベクトル、ギャップの分析
    • 成果: 見落とされがちな攻撃や脆弱性の発見、未知のギャップの解消、脅威の未然防止

  • セキュリティ管理者

    • 責任: デバイス管理、機密性・完全性・可用性の維持、エージェントおよびライセンス管理
    • 成果: システムの維持、アナリストへの有用なデータ提供、コストとオーバーヘッドの削減

  • MSSP

    • 責任: ワークロードの監視、アナリストのスキル・学習管理、管理業務
    • 成果: 重要顧客の監視、アナリストの効率向上、コストとオーバーヘッドの削減

実装の詳細🔗

XDR 向け Power BI 連携は、Power BI 内のプログラミング言語である PowerQuery を利用して動作します。PowerQuery は API 認証やクエリの実行、レスポンスデータの解析をサポートし、Power BI 内で利用できる形に変換します。XDR への認証は PowerQuery 内で行われますが、Power BI の初回認証(匿名認証)完了後でなければ PowerQuery は実行できません。認証情報が平文で送信されることはなく、匿名認証のみでの利用も許可されていません。ただし、このサンプルテンプレートでは、PowerQuery スクリプトを実行するために Power BI に匿名認証を利用するよう指示し、実際の OAuth 認証は client ID と client secret を用いて XDR 側で行われます。

XDR の API は GraphQL クエリを利用してデータを取得します。PowerQuery スクリプトは、さまざまな XDR API エンドポイントに GraphQL クエリを送信し、検出、ケース、資産、ユーザー、データボリュームなどの情報を取得します。利用する XDR API エンドポイントによって、返される JSON データの扱い方(リストのテーブル化、レコードの深掘りや値の取得、カラムの並び替えやリネームなど)が異なるため、各 PowerQuery スクリプトごとに API レスポンスの処理方法が定義されています。

いくつかの基本クエリは、XDR から検出やケースに関するデータセットを取得します。また、エンドポイントやテナントユーザーに関する補助クエリもあり、これらは他のデータセットのフィルタやエンリッチメント用のルックアップテーブルとして利用されます。モデル内で検出やケースとこれらのルックアップを関連付けるリレーションシップが構成されています。すべてのクエリとそのリレーションシップは、Power BI の モデルビュー で確認できます。

デプロイ手順🔗

API URL リージョン🔗

地域

XDR APIにアクセスするためのURLは、お客様の環境が展開されているリージョンによって異なる場合があります。

  • US1— https://api.ctpx.secureworks.com
  • US2— https://api.delta.taegis.secureworks.com
  • US3— https://api.foxtrot.taegis.secureworks.com
  • EU1— https://api.echo.taegis.secureworks.com
  • EU2— https://api.golf.taegis.secureworks.com

このXDR APIドキュメントの例では、https://api.ctpx.secureworks.com を使用しています。別のリージョンをご利用の場合は、適切なURLに置き換えてください。

Power BI テンプレートのインポート🔗

これらのレポートをデプロイするには、Microsoft から入手できる Power BI Desktop に .pbit テンプレートファイルをインポートする必要があります。手順に進む前に、Microsoft から Power BI ライセンスを取得していることをご確認ください。ライセンスオプションは Microsoft のウェブサイト をご参照ください。このテンプレートファイルの利用はユーザーの裁量に委ねられており、Secureworks はその利用や提供データの解釈について一切の責任を負いません。

  1. API 認証 の手順に従い、テナント監査役ロールを持つ XDR API クライアントを作成します。

    • Taegis 環境(例: api.delta.taegis.secureworks.com)に合わせて API URL ドメインを必ず置き換えてください。
    • コマンドの出力内容は安全かつ非公開の場所に保存してください。これには Power BI でのみ利用すべき機密認証情報が含まれています。Power BI テンプレートには client_id と client_secret が必要です。

  2. Microsoft から Power BI Desktop をダウンロードし、インストールします。

ヒント

Power BI の公式 RAM 推奨値は 4 GB ですが、最適なパフォーマンスのため 8 GB を推奨します。

  1. powerbi_for_taegisxdr.pbit テンプレートファイルをこちらからダウンロードします: powerbi_for_taegisxdr.pbit
  2. ダウンロードした .pbit ファイルを開きます。組織のアクセス方針によっては Microsoft アカウント認証のプロンプトが表示される場合があります。Power BI ワークスペースにレポートを公開するには Microsoft への認証が必要です。

  3. ファイルを開くと、パラメータ入力用のポップアップウィンドウが表示されます。以下を実施してください。

    • ステップ 1 で作成した API 認証情報の client_idclient_secret を入力します。
    • XDR Environment パラメータで Taegis 環境 URL を選択します。
    • XDR テナント ID(XDR 内の テナント設定サブスクリプション ページで確認可能)を入力します。
    • 結果件数や期間のデフォルトしきい値は必要に応じて調整します(90日以内)。
    • 読み込み をクリックします。

パラメータの入力

  1. Web コンテンツへのアクセス認証を求められたら、デフォルトの匿名アクセスを選択し、接続 をクリックします。

Web コンテンツへのアクセス

  1. プライバシーレベルのポップアップで、すべての URL に対して 組織 のプライバシーを選択します。これは匿名認証の事前チェックを成功させるために必要です。

組織のプライバシーを選択

  1. すべてが正常に完了すると、クエリが実行され、モデルにデータがロードされます。レポートが表示され、さまざまなビジュアルが確認できます。ビジュアルが表示されない、またはエラーメッセージが表示された場合は、本ドキュメントの 既知の問題 セクションをご参照ください。

インポート成功

レポートを Power BI Web に公開🔗

すべてのレポートをオンラインの Power BI ワークスペースに公開するには:

  1. Power BI ウィンドウ上部のホームタブ最右端にある 公開 をクリックします。ローカル PC へのファイル保存を求められるので、任意の名前と場所を指定して保存します。
  2. 保存後、まだ Microsoft アカウントにログインしていない場合はログインを求められます。

  3. ログイン後、利用可能なワークスペース一覧が表示されます。ご自身やチームに適したワークスペース(「マイ ワークスペース」など)を選択し、選択 をクリックします。

    ワークスペースの選択

  4. レポートは Power BI web で公開・閲覧できます。

    レポートの公開

  5. データのリフレッシュ間隔(セマンティックモデル)を設定するには、セマンティックモデル横の スケジュール更新 アイコンをクリックします。モデルの設定画面が開きます。

    スケジュール更新の選択

  6. 更新設定を展開し、リフレッシュスケジュールを有効化します。希望するタイムゾーンと更新間隔を選択し、適用 をクリックします。これでレポートが指定した間隔で自動更新されます。

    リフレッシュ設定

レポート例🔗

以下は実現可能な例です。お客様ご自身で、必要な指標に応じてダッシュボードを自由に作成・拡張してください。

ケース概要🔗

ケース概要レポート例

アナリストパフォーマンス詳細🔗

アナリストパフォーマンス詳細レポート例

検出エンティティブラウザー🔗

検出エンティティブラウザーレポート例

データボリューム概要🔗

データボリューム概要レポート例

既知の問題🔗

エラーが発生する、または「We couldn’t authenticate with the credentials provided」という黄色いバナーが表示される🔗

  1. Power BI クエリエディターウィンドウ上部のホームタブで データソースの設定 ボタンをクリックします。

    ホームタブからデータソースの設定を選択

  2. ウィンドウ上部で 現在のファイルのデータソース ラジオボタンを選択します。

  3. リスト内の各 URL について、ウィンドウ下部の アクセス許可の編集 をクリックし、以下を実施します。

    • 資格情報の種類の下にある 編集 をクリックします。

      資格情報タイプの編集

    • 匿名 を選択し、保存 をクリックします。

    • OK を選択します。

  4. ウィンドウ上部で グローバルアクセス許可 ラジオボタンを選択します。

  5. 「現在のファイルのデータソース」と一致しない場合は、リスト内の各 URL についても同様にアクセス許可の編集を繰り返します。
  6. データソースの設定ウィンドウを閉じます。

  7. ホームタブの プレビューの更新 ボタンをクリックします。

    プレビューの更新

  8. 選択したクエリが正常に更新されます。クエリを編集したりデータをプレビューしたい場合は、リスト内の各クエリについて手動で プレビューの更新 をクリックする必要がある場合があります。

データが読み込まれない🔗

考えられる原因はいくつかあります:

  • XDR API 認証情報が無効です。XDR の API 認証手順 に従い、テナント監査役ロールを持つ API クライアントを作成してください。

    無効な認証情報エラー

  • ファイルのデータプライバシー設定が 組織 または 公開 になっていません。プライバシーレベルで 組織 を選択してください。詳細は 「We couldn’t authenticate with the credentials provided」という黄色いバナーが表示される場合 をご参照ください。

  • 組織が XDR API URL へのアウトバウンドアクセスを許可していません。これは XDR の Web インターフェースも利用できないことを意味するため可能性は低いですが、Power BI を利用する場所によってはホストやネットワークレベルのポリシーでアクセスが制限されている場合があります。ネットワークチームと連携し、これが原因かどうかを確認してください。

変更履歴🔗

1.1.1🔗

修正・改善🔗

  • 新しい認証プロバイダーに対応するためユーザーIDのリレーションシップを更新
  • テナント環境パラメータを統合
  • 軽微なレポート調整

1.1.0🔗

機能追加🔗

  • 新規レポート: セキュリティ概要
  • 新規レポート: アナリストパフォーマンス詳細
  • 検出・ケース・データボリュームクエリの期間調整機能
  • マルチテナントAPIクライアントで複数の子テナント向けレポート実行を可能にするテナントID選択

修正・改善🔗

  • 検出およびケースのページネーション修正
  • クエリ構造を親(BASE_)クエリ利用に再構成し、クエリパフォーマンスとAPI負荷を改善

  • 検出ベースクエリを拡張し、カスタム検出を含めるように対応

    • カスタム検出が多すぎる場合、結果上限に早期到達し、インサイトのある非カスタム検出が読み込まれなくなる可能性があるため、カスタム検出ルールを必ずご確認ください。必要に応じて検出ベースクエリから除外してください。

  • フィールドマッピングを改善し、リレーションシップの競合を回避

  • エンドポイント未導入テナントでのデータロード失敗を修正
  • 軽微なレポート調整

1.0.0🔗

機能🔗

  • 初回リリース