Springe zum Inhalt

SoftEd Blog

In unserem SoftEd-Blog informieren wir Sie regelmäßig zu neuen Themen der Branche und Aktuellem aus Gesellschaft und Leben.

Blog abonnieren
SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 1
| | IT-Infrastruktur, IT-Security, SQL Server & BI

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI

Wie können die SMB1 Zugriffe im Unternehmen zentral gesammelt und ausgewertet werden? In Part 1 unserer Blogpost-Reihe haben wir uns mit den Vorbereitungen in der eigenen Umgebung befasst. Im zweiten Teil ging es um die Einrichtung des LogAnalytic Workspaces. Im heutigen 3. Teil soll es nun um die Auswertung und Gestaltung des PowerBI Dashboards gehen.

Für die spätere Auswertung ist für uns eigentlich nur die Quelle und das Ziel wichtig. Diese Daten sendet der Agent an den Workspace und wir müssen diese noch normalisieren. Der Rechner, auf den zugegriffen wurde, ist sauber als Eintrag erfasst. Jedoch versteckt sich das Quellsystem in der Eventlog Beschreibung.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 2
Datenauswertung

Um hier den Namen oder die IP Adresse zu extrahieren, gehen wir oben auf die drei Punkte und wählen “Extract field from Event”.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 3
Datenauswertung

Im Editor für Custom Fields suchen wir uns im Field Name die RenderedDescription. Im Value markieren wir die Client Address oder den Namen, vergeben dem Feld einen Namen und klicken auf Extract.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 4
Datenauswertung

In den Search Results finden wir nun alle Vorschläge der Extrahierung über alle vorhandenen Einträge. Es kann vorkommen, dass Clients mit dem Namen oder der IP Adresse in der Ereignisbeschreibung stehen.

Wir prüfen, ob die Vorschläge für uns passen und klicken “Save extraction”.
Nun werden alle neuen Log Einträge mit dem Custom Field gefüllt. Alle vorhandenen Einträge werden nicht aktualisiert.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 5
Datenauswertung

Die neuen Events werden nun mit dem neuen Filter und Custom Field in die Datenbank eingetragen.
Bauen wir uns nun die Query mit den notwendigen Feldern zusammen.

Event
| where TimeGenerated  > ago(30d)
| where EventID == 3000
| project Computer, TimeGenerated, SourceClient_CF
| sort by TimeGenerated asc
SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 6
Datenauswertung

Wenn wir alle notwendigen Informationen haben, können wir die Query für PowerBI exportieren.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 7
Datenauswertung
SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 8
Datenauswertung

Integriert wird die Query in PowerBI über Get Data und einer Blank Query. Im Advanced Editor fügen wir die Query ein und bestätigen mit Done.

Im letzten Schritt müssen wir noch einmal die Credentials für unseren Log Analytics Workspace eingeben. Mit Close & Apply bitte den Editor schließen.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 9
Datenauswertung
SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 10
SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 11
Datenauswertung

Sobald wir die Informationen in einem Dashboard visualisiert haben, können wir das Dashboard in unseren Workspace veröffentlichen und täglich aktualisieren. Notwendig ist dafür eine PowerBI Pro Lizenz.

Beginnen wir nun mit der gezielten Abschaltung auf den Quellsystemen.
Das Schöne an den Dashboards ist, dass sobald wir einen Wert anklicken, automatisch alle weiteren Visualisierungen auf diesen Wert angepasst werden.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 12
Datenauswertung

Nachdem das Dashboard veröffentlicht ist, gehen wir über unseren Arbeitsbereich in die Einstellungen, um die geplante Aktualisierung einzustellen. Et voilà – Wir haben es geschafft.

SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 13
Datenauswertung
SMB1 Zugriffe im Unternehmen protokollieren und auswerten – so geht’s! Part 3: Datenauswertung mit PowerBI 14
Datenauswertung

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht.

2 × 2 =