Wie können die SMB1 Zugriffe im Unternehmen zentral gesammelt und ausgewertet werden? In Part 1 unserer Blogpost-Reihe haben wir uns mit den Vorbereitungen in der eigenen Umgebung befasst. Im zweiten Teil ging es um die Einrichtung des LogAnalytic Workspaces. Im heutigen 3. Teil soll es nun um die Auswertung und Gestaltung des PowerBI Dashboards gehen.
- Part 1 – Vorbereitungen
- Part 2 – Einrichtung LogAnalytics Workspace
- Part 3 – Datenauswertung
Für die spätere Auswertung ist für uns eigentlich nur die Quelle und das Ziel wichtig. Diese Daten sendet der Agent an den Workspace und wir müssen diese noch normalisieren. Der Rechner, auf den zugegriffen wurde, ist sauber als Eintrag erfasst. Jedoch versteckt sich das Quellsystem in der Eventlog Beschreibung.
Um hier den Namen oder die IP Adresse zu extrahieren, gehen wir oben auf die drei Punkte und wählen „Extract field from Event“.
Im Editor für Custom Fields suchen wir uns im Field Name die RenderedDescription. Im Value markieren wir die Client Address oder den Namen, vergeben dem Feld einen Namen und klicken auf Extract.
In den Search Results finden wir nun alle Vorschläge der Extrahierung über alle vorhandenen Einträge. Es kann vorkommen, dass Clients mit dem Namen oder der IP Adresse in der Ereignisbeschreibung stehen.
Wir prüfen, ob die Vorschläge für uns passen und klicken „Save extraction“.
Nun werden alle neuen Log Einträge mit dem Custom Field gefüllt. Alle vorhandenen Einträge werden nicht aktualisiert.
Die neuen Events werden nun mit dem neuen Filter und Custom Field in die Datenbank eingetragen.
Bauen wir uns nun die Query mit den notwendigen Feldern zusammen.
Event
| where TimeGenerated > ago(30d)
| where EventID == 3000
| project Computer, TimeGenerated, SourceClient_CF
| sort by TimeGenerated asc
Wenn wir alle notwendigen Informationen haben, können wir die Query für PowerBI exportieren.
Integriert wird die Query in PowerBI über Get Data und einer Blank Query. Im Advanced Editor fügen wir die Query ein und bestätigen mit Done.
Im letzten Schritt müssen wir noch einmal die Credentials für unseren Log Analytics Workspace eingeben. Mit Close & Apply bitte den Editor schließen.
Sobald wir die Informationen in einem Dashboard visualisiert haben, können wir das Dashboard in unseren Workspace veröffentlichen und täglich aktualisieren. Notwendig ist dafür eine PowerBI Pro Lizenz.
Beginnen wir nun mit der gezielten Abschaltung auf den Quellsystemen.
Das Schöne an den Dashboards ist, dass sobald wir einen Wert anklicken, automatisch alle weiteren Visualisierungen auf diesen Wert angepasst werden.
Nachdem das Dashboard veröffentlicht ist, gehen wir über unseren Arbeitsbereich in die Einstellungen, um die geplante Aktualisierung einzustellen. Et voilà – Wir haben es geschafft.
