Microsoft Sentinel でブックを使用してデータを視覚化および監視する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel にデータ ソースを接続した後、Microsoft Sentinel のブックを使ってデータを可視化し、監視します。 Microsoft Sentinel を使用すると、データ全体のカスタム ブックを作成したり、パッケージ化されたソリューションやコンテンツ ハブのスタンドアロン コンテンツから入手できる、既存のブック テンプレートを使用できます。 これらのテンプレートを使用すると、データ ソースに接続してすぐにデータ全体の分析情報をすばやく得ることができます。

この記事では、ブックを使用して Microsoft Sentinel でデータを視覚化する方法について説明します。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。

前提条件

  • Microsoft Sentinel ワークスペースのリソース グループに対して、少なくともブックの閲覧者またはブックの共同作成者のアクセス許可が必要です。

    Microsoft Sentinel に表示されるブックは、Microsoft Sentinel ワークスペースのリソース グループ内に保存され、作成されたワークスペースごとにタグ付けされます。

  • ブック テンプレートを使用するには、ブックを含むソリューションをインストールするか、コンテンツ ハブからスタンドアロン アイテムとしてブックをインストールします。 詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。

テンプレートからブックを作成する

コンテンツ ハブからインストールされたテンプレートを使用して、ブックを作成します。

  1. Azure portal の Microsoft Sentinel では、[脅威の管理] で、[Workbooks] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威の管理]>[Workbooks] を選択します。

  2. [ブック] に移動し、[テンプレート] を選び、インストールされたブックの一覧を表示します。

    どのテンプレートが接続したデータ型に関連するかを確認するには、各ブックの必要なデータ型フィールド (使用可能な場合) を確認します。

  3. テンプレートの詳細ウィンドウから [保存] を選択し、テンプレートの JSON ファイルを保存する場所を選択します。 この操作により、関連するテンプレートに基づいて Azure リソースが作成され、データではなく、ブックの JSON ファイルが保存されます。

  4. テンプレートの詳細ペインから [保存されたブックの表示] を選択します。

  5. 必要に応じてブックをカスタマイズするには、ブックのツールバーの [編集] ボタンを選択します。

    保存されたブックを示すスクリーンショット。

    ブックを複製するには、[編集] を選択し、[名前を付けて保存] を選択します。 同じサブスクリプションとリソース グループの下に、複製を別の名前で保存します。 複製されたブックは、 [マイ ブック] タブに表示されます。

  6. 完了したら、 [保存] を選択して変更を保存します。

詳細については、「Azure Monitor ブックを使用した対話型レポートの作成」をご覧ください。

新しいブックを作成する

Microsoft Sentinel でブックを一から作成します。

  1. Azure portal の Microsoft Sentinel では、[脅威の管理] で、[Workbooks] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威の管理]>[Workbooks] を選択します。

  2. [ブックの追加] を選択します。

  3. ブックを編集するには、 [編集] を選択し、必要に応じてテキスト、クエリ、およびパラメーターを追加します。 ブックをカスタマイズする方法の詳細については、「Azure Monitor ブックを使用した対話型レポートの作成」を参照してください。

    新しいブックを示すスクリーンショット。

  4. クエリを作成するときに、[データ ソース][ログ] に、[リソース タイプ][Log Analytics] に設定してから、1 つ以上のワークスペースを選択します。

    クエリでは、組み込みのテーブルではなく、Advanced Security Information Model (ASIM) パーサーを使用することをお勧めします。 クエリにより、単一のデータ ソースではなく、現在または未来に使用する関連するデータ ソースがサポートされます。

  5. ブックを作成したら、Microsoft Sentinel ワークスペースのサブスクリプションとリソース グループの下にブックを保存します。

  6. 組織内の他のユーザーがブックを使用できるようにする場合は、 [保存先][共有レポート] を選択します。 このブックを自分だけが使用できるようにする場合は、 [個人用レポート] を選択します。

  7. ワークスペース内のブックを切り替えるには、いずれかのブックのツール バーで [開く]ブックを開くためのアイコン。 を選択します。 この画面は、切り替えることができる他のブックの一覧に切り替わります。

    開くブックを選択します。

    ブックの切り替え

ブック データの更新

ブックを更新して、更新されたデータを表示します。 ツールバーで、次のいずれかのオプションを選択します。

  • 更新して、ブックのデータを手動で更新します。

  • 自動更新は、構成された間隔で自動的に更新するようにブックを設定します。

    • サポートされる自動更新間隔の範囲は 5 分から 1 日です。

    • ブックの編集中は自動更新が一時停止します。間隔は、編集モードから表示モードに戻るたびに再起動されます。

    • データを手動で更新すると、自動更新の間隔も再起動されます。

    既定では、自動更新はオフになっています。 パフォーマンスを最適化するために、ブックを閉じるたびに自動更新がオフになります。 これは、バックグラウンドで実行されません。 次にブックを開いたときに、必要に応じて自動更新をオンにしてください。

ブックを印刷する、または PDF として保存するには、ブックのタイトルの右側にあるオプション メニューを使用します。

  1. オプション >[コンテンツを印刷する] を選択します。

  2. 印刷画面で、必要に応じて印刷設定を調整するか、 [PDF として保存] を選択してローカルに保存します。

    例: ブックを印刷する方法、または PDF として保存する方法を示すスクリーンショット。

ブックを削除する方法

保存されたブック (保存されたテンプレートまたはカスタマイズされたブック) を削除するには、削除する保存済みブックを選択し、[削除] を選択します。 この操作により、保存されたブックは削除されます。 これにより、ブック リソースだけでなく、テンプレートに対して行ったすべての変更も削除されます。 元のテンプレートは引き続き使用できます。

一般的な組み込みブックの詳細については、一般的に使用される Microsoft Sentinel ブックに関するページを参照してください。