コンテンツにスキップ

XDR 向け Power BI🔗

概要🔗

Microsoft Power BI は、ユーザーがダッシュボード、レポート、Power BI アプリ(関連するダッシュボードやレポートを組み合わせたコンテンツの一種)をウェブブラウザや Windows、iOS、Android 用アプリで作成・閲覧できる、セキュアなホステッドクラウドサービスです。Power BI は専用ライセンスで利用可能ですが、Office 365 E5 にも含まれているため、多くのお客様がすでに利用可能であり、全社的なレポート機能を簡単かつ統合的に実現できるオプションの一つです。

Power BI を使用して Secureworks® Taegis™ XDR のデータを要約・可視化することで、ネットワークやユーザーのアクティビティ、そしてそれらのアクティビティから発生する検出やケースについて、豊富なインサイトを得ることができます。Secureworks では、XDR 内の複数の API からデータを取得し、組織内のさまざまなレポート要件に対応できるサンプルレポートを用意しています。

ユースケース例🔗

レポーティングには多くの目的があります。XDR には、お客様のネットワークデバイスやユーザー、そしてそれらに関連するケースに関する豊富な情報が含まれており、さまざまな方法で分析・可視化することでストーリーを伝えることができます。これらのストーリーは、特定の成果のインパクトや進捗を測定するための指標を提供し、ビジネス内のさまざまなペルソナにとって重要な成果を推進するために活用できます。XDR のデータを Power BI に統合することで、XDR の検出やケースに関連するデータをもとに、お客様やパートナーは脅威の効果的かつ効率的な検知・対応能力に影響を与える傾向をより深く理解できるようになります。

以下は、Power BI がサポートできるいくつかのペルソナと、その責任および成果の例です。提供されているデータセットやレポートは出発点として用意されており、目標を支える指標が特定された後は、特定のビジネス目標に合わせて修正・拡張することができます。

  • SOC マネージャー

    • 責任: ワークロードの監視、アナリストのスキル/学習管理
    • 成果: 対応・解決時間の短縮、アナリストの効率向上、より困難な問題のトリアージ

  • セキュリティリーダーおよびアーキテクト

    • 責任: 振り返り、テクノロジーギャップ、攻撃ベクトルの傾向
    • 成果: セキュリティプログラムの進化、防御の拡大、より大きな課題への対応時間の確保

  • 脅威ハンター

    • 責任: エンティティコンテキスト、攻撃ベクトル、ギャップの分析
    • 成果: 見落とされがちな攻撃や脆弱性の発見、未知のギャップの解消、脅威の未然防止

  • セキュリティ管理者

    • 責任: デバイス管理、機密性/完全性/可用性、エージェントおよびライセンス管理
    • 成果: システムの維持、アナリストへの有用なデータ提供、コストとオーバーヘッドの削減

  • MSSP

    • 責任: ワークロードの監視、アナリストのスキル/学習管理、管理業務
    • 成果: 重要顧客の監視、アナリストの効率向上、コストとオーバーヘッドの削減

実装の詳細🔗

XDR 向け Power BI のインテグレーションは、Power BI 内のプログラミング言語である PowerQuery を介して動作します。PowerQuery は API 認証やクエリの実行、レスポンスデータの解析をサポートし、Power BI 内で利用できるようにします。XDR への認証は PowerQuery 内で行われますが、Power BI が最初に匿名認証を使って初期認証を完了するまで PowerQuery は実行できません。認証情報が平文で送信されることはなく、匿名認証のみが許可されることもありません。ただし、このサンプルテンプレートの目的上、Power BI に匿名認証を使用するよう指示し、PowerQuery スクリプトが実行できるようにします。実際の OAuth 認証は、クライアント ID とクライアントシークレットを使って XDR で行われます。

XDR の API は、データ取得に GraphQL クエリを使用します。PowerQuery スクリプトは、さまざまな XDR API エンドポイントに GraphQL クエリを送信し、検出、ケース、資産、ユーザー、データボリュームなどの情報を取得します。利用する XDR API エンドポイントによって、返される JSON データの扱い方(リストをテーブルに分割、レコードへのアクセスと特定値の取得、カラムの並び替えやリネームなど)が異なるため、各 PowerQuery スクリプトは API レスポンスごとに独自の処理を行います。

いくつかの基本クエリは、XDR から検出やケースに関するデータセットを取得します。また、エンドポイントやテナントユーザーに関する情報を取得する補助クエリもあり、これらは他のデータセットのフィルタやエンリッチメント用のルックアップテーブルとして使用されます。モデル内で検出やケースとこれらのルックアップとの関連付けが設定されています。すべてのクエリとその関連性は、Power BI の モデルビュー で確認できます。

デプロイ手順🔗

API URL リージョン🔗

地域

XDR APIにアクセスするためのURLは、お客様の環境が展開されているリージョンによって異なる場合があります。

  • US1— https://api.ctpx.secureworks.com
  • US2— https://api.delta.taegis.secureworks.com
  • US3— https://api.foxtrot.taegis.secureworks.com
  • EU1— https://api.echo.taegis.secureworks.com
  • EU2— https://api.golf.taegis.secureworks.com

このXDR APIドキュメントの例では、https://api.ctpx.secureworks.com を使用しています。別のリージョンをご利用の場合は、適切なURLに置き換えてください。

Power BI テンプレートのインポート🔗

これらのレポートをデプロイするには、Power BI Desktop(Microsoft から入手)に .pbit テンプレートファイルをインポートする必要があります。手順に進む前に、Microsoft から Power BI ライセンスを取得していることを確認してください。ライセンスオプションは Microsoft のウェブサイト を参照してください。このテンプレートファイルの利用はユーザーの裁量に委ねられており、Secureworks はその利用や提供データの解釈について一切の責任を負いません。

  1. API 認証 の手順に従い、テナント監査役(Tenant Auditor)ロールで XDR API クライアントを作成します。

    • Taegis 環境 用の API URL ドメイン(例: api.delta.taegis.secureworks.com)を必ず置き換えてください。
    • コマンドの出力内容は安全かつ非公開の場所に保存してください。これは機密性の高い認証情報であり、組織内の Power BI のみで使用してください。Power BI テンプレートには client_id と client_secret が必要です。

  2. Microsoft から Power BI Desktop をダウンロードしてインストールします。

ヒント

Power BI の公式 RAM 推奨値は 4 GB ですが、最適なシステムパフォーマンスのためには 8 GB を推奨します。

  1. powerbi_for_taegisxdr.pbit テンプレートファイルをこちらからダウンロードします: powerbi_for_taegisxdr.pbit
  2. ダウンロードした .pbit ファイルを開きます。組織のアクセス方針によっては、Microsoft アカウント認証のプロンプトが表示される場合があります。レポートを Power BI ワークスペースに公開するには、Microsoft への認証が必要です。

  3. ファイルを開くと、パラメータ入力用のポップアップウィンドウが表示されます。以下を実施してください。

    • ステップ 1 で作成した API 認証情報の client_idclient_secret を入力します。
    • XDR Environment パラメータには、Taegis 環境 URL を選択します。
    • XDR のテナント ID(XDR 内のテナント設定 → サブスクリプションページで確認可能)を入力します。
    • 結果の上限や期間など、デフォルトのしきい値を必要に応じて調整します(90日以内)。
    • Load をクリックします。

パラメータの入力

  1. Access Web content ウィンドウで認証を求められたら、デフォルトの Anonymous アクセスを使用し、Connect をクリックします。

Web コンテンツへのアクセス

  1. Privacy Levels のポップアップで、すべての URL に対して Organizational プライバシーを選択します。これは匿名認証の事前チェックを成功させるために必要です。

組織のプライバシーを選択

  1. すべてが正常に完了すると、クエリが実行され、モデルに行がロードされます。レポートが表示され、さまざまなビジュアルが確認できます。ビジュアルが表示されない、またはエラーメッセージが表示された場合は、本ドキュメントの 既知の問題 セクションを参照してください。

インポート成功

レポートを Power BI Web に公開🔗

すべてのレポートをオンラインの Power BI ワークスペースに公開するには:

  1. Power BI ウィンドウ上部の Home タブの一番右にある Publish をクリックします。ローカルにファイルを保存するよう求められるので、名前と保存場所を選択して保存します。
  2. 保存後、まだ Microsoft アカウントにログインしていない場合は、ログインを求められます。

  3. ログイン後、利用可能なワークスペースの一覧が表示されます。自分やチームに適したワークスペース(「My workspace」など)を選択し、Select をクリックします。

    ワークスペースの選択

  4. レポートは Power BI web で公開・閲覧できます。

    レポートの公開

  5. データのリフレッシュ間隔(セマンティックモデルと呼ばれます)を設定するには、セマンティックモデルの横にある Schedule refresh アイコンをクリックします。モデルの設定画面が開きます。

    スケジュールリフレッシュの選択

  6. Refresh 設定を展開し、リフレッシュスケジュールを有効にします。希望するタイムゾーンとリフレッシュ間隔を選択し、Apply をクリックします。これで、レポートが指定した間隔で自動的に更新されます。

    リフレッシュの設定

レポート例🔗

以下は実現可能な例です。お客様は、必要な指標に応じて独自のダッシュボードを作成・拡張することを推奨します。

ケース概要🔗

ケース概要レポート例

アナリストパフォーマンス詳細🔗

アナリストパフォーマンス詳細レポート例

検出エンティティブラウザー🔗

検出エンティティブラウザーレポート例

データボリューム概要🔗

データボリューム概要レポート例

既知の問題🔗

エラーが発生する、または「We couldn’t authenticate with the credentials provided」という黄色いバナーが表示される🔗

  1. Power BI クエリエディタウィンドウ上部の Home タブで Data Source Settings ボタンをクリックします。

    Home タブから Data Source Settings を選択

  2. ウィンドウ上部で Data sources in current file ラジオボタンを選択します。

  3. リスト内の各 URL について、ウィンドウ下部の Edit permissions をクリックし、以下を実施します。

    • Credentials Type の下にある Edit をクリックします。

      Credentials Type の編集

    • Anonymous を選択し、Save をクリックします。

    • OK を選択します。

  4. ウィンドウ上部で Global permissions ラジオボタンを選択します。

  5. リスト内の各 URL についても、"Data sources in current file" の設定と一致しない場合は同様に権限編集を繰り返します。
  6. Data Source Settings ウィンドウを閉じます。

  7. Home タブの Refresh Preview ボタンをクリックします。

    Refresh Preview のクリック

  8. 選択したクエリが正常にリフレッシュされます。クエリを編集したりデータをプレビューしたい場合は、リスト内の各クエリについて手動で Refresh Preview をクリックする必要がある場合があります。

データが読み込まれない🔗

考えられる原因はいくつかあります:

  • XDR API 認証情報が無効です。XDR の API 認証手順 に従い、テナント監査役ロールで API クライアントを作成してください。

    無効な認証情報エラー

  • ファイルのデータプライバシー設定が Organizational または Public になっていません。Privacy Levels で Organizational を選択してください。詳細は 「We couldn’t authenticate with the credentials provided」という黄色いバナーが表示される場合 を参照してください。

  • 組織が XDR API URL へのアウトバウンドアクセスを許可していません。これは XDR のウェブインターフェースも動作しないことを意味するため可能性は低いですが、Power BI を利用する場所によってはホストやネットワークレベルのポリシーでアクセスが制限されている場合があります。組織のネットワークチームと連携し、これが原因かどうかを確認してください。

変更履歴🔗

1.1.1🔗

修正・改善🔗

  • 新しい認証プロバイダーに対応するためユーザー ID の関連付けを更新
  • テナント環境パラメータを統合
  • 軽微なレポート調整

1.1.0🔗

機能🔗

  • 新規レポート: セキュリティ概要
  • 新規レポート: アナリストパフォーマンス詳細
  • 検出、ケース、データボリュームクエリの期間調整が可能に
  • テナント ID 選択により、マルチテナント API クライアントで複数の子テナントのレポート実行が可能に

修正・改善🔗

  • 検出およびケースのページネーションを修正
  • クエリ構造を親(BASE_)クエリ利用に再構成し、クエリパフォーマンスと API 負荷を改善
  • 検出ベースクエリを拡張し、カスタム検出を含めるように
    • カスタム検出が多すぎると結果上限に早く到達し、有益な非カスタム検出が読み込まれなくなる場合があるため、カスタム検出ルールを必ず確認し、必要に応じて検出ベースクエリから除外してください。
  • フィールドマッピングを改善し、関連付けの競合を回避
  • テナントにデプロイ済みエンドポイントがない場合のデータロード失敗を修正
  • 軽微なレポート調整

1.0.0🔗

機能🔗

  • 初回リリース