データ ソースをMicrosoft Sentinelに接続したら、Microsoft Sentinelのブックを使用してデータを視覚化して監視します。 Microsoft Sentinelブックは、Azure Monitor ブックに基づいており、ログとクエリの分析を含むテーブルとグラフを、Azureで既に使用できるツールに追加します。
Microsoft Sentinelを使用すると、データ全体でカスタム ブックを作成したり、パッケージ化されたソリューションで使用できる既存のブック テンプレートを使用したり、コンテンツ ハブのスタンドアロン コンテンツとして使用したりできます。 各ブックは他のブックと同様にAzure リソースであり、ロールベースのアクセス制御 (RBAC) Azure割り当てて、アクセスできるユーザーを定義および制限できます。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
前提条件
Microsoft Sentinel ワークスペースのリソース グループに対するブック閲覧者またはブック共同作成者のアクセス許可が少なくとも必要です。
Microsoft Sentinelに表示されるブックは、Microsoft Sentinel ワークスペースのリソース グループ内に保存され、作成されたワークスペースによってタグ付けされます。
ブック テンプレートを使用するには、ブックを含むソリューションをインストールするか、 Content Hub からスタンドアロンアイテムとしてブックをインストールします。 詳細については、「すぐに使用Microsoft Sentinelコンテンツを検出して管理する」を参照してください。
Azure Data Explorer データ ソースを使用して Defender ポータルで作業している場合は、必ず Defender ポータルからAzure Data Explorerするように構成して認証してください。
テンプレートからブックを作成する
コンテンツ ハブからインストールされたテンプレートを使用してブックを作成します。
[Microsoft Sentinel] で、[脅威の管理] > [ブック] を選択します。
[ブック] ページ で 、[ テンプレート ] タブを選択して、インストールされているブック テンプレートの一覧を表示します。 テンプレートを選択して詳細を表示します。
一部のブックでは、機能するために特定のデータ接続が必要です。 ブックを保存する前に、[必須データ型] フィールドにチェック、その種類のデータが取り込まれたことを確認します。
例:
詳細ウィンドウで [ 保存] を選択し、ブックを保存する場所を選択します。 このアクションにより、関連するテンプレートに基づいて、選択した場所にAzure リソースが作成されます。 ブックの JSON ファイルのみがこの場所に保存され、データは保存されません。
詳細ウィンドウで、[ 保存したブックの表示 ] を選択して編集用に開きます。
ブックを開き、[ 編集] を選択して、必要に応じてブックをカスタマイズします。
Defender ポータルで作業する場合、一部の視覚化はAzure portalでのみ表示できます。 このような場合は、[Azureで開く] を選択して、Azure portalでブックを開きます。
たとえば、 TimeRange フィルターを選択すると、現在の選択とは異なる時間範囲のデータが表示されます。 特定のブック領域を編集するには、[ 編集] を選択するか、省略記号 (...) を選択して要素を追加するか、領域を移動、複製、または削除します。
ブックを複製するには、[ 名前を付けて保存] を選択します。 同じサブスクリプションとリソース グループの下に、別の名前で複製を保存します。 複製されたブックは、[Microsoft Sentinel >脅威の管理] > [ブック] ページの [マイ ブック] タブにも表示されます。
完了したら、[ 編集の完了 ] を選択して変更を保存します。
詳細については、以下を参照してください:
新しいブックを作成する
Microsoft Sentinelでブックをゼロから作成します。
Microsoft Sentinelで、[脅威の管理] > [ブック] を選択し、[ブックの追加] を選択します。
ブックを編集するには、[ 編集] を選択し、必要に応じてテキスト、クエリ、パラメーターを追加します。
ブックをカスタマイズする方法の詳細については、「ブックの監視Azure使用して対話型レポートを作成する方法」を参照してください。
クエリを作成するときに、[ データ ソース ] を [ログ] に、[ リソースの種類 ] を [Log Analytics] に設定し、1 つ以上のワークスペースを選択します。
クエリでは、組み込みのテーブルではなく 、高度なセキュリティ情報モデル (ASIM) パーサー を使用することをお勧めします。 クエリでは、1 つのデータ ソースではなく、現在または将来の関連データ ソースがサポートされます。
編集が完了したら、[編集の 完了 ] を選択し、[ 保存] を選択します。 サイド ウィンドウで、ブックのわかりやすい名前を入力し、ワークスペースのサブスクリプションとリソース グループを選択します。
Azure portalで作業する場合は、ブックを開くアイコンを選択してワークスペース内のブックを切り替えます。ブックのツール バーで [
を開く] を選択します。 切り替え可能な他のブックの一覧に画面が切り替わります。開くブックを選択します。
ブックの新しいタイルを作成する
Microsoft Sentinel ブックにカスタム タイルを追加するには、まず Log Analytics でタイルを作成します。 詳細については、「 Log Analytics のビジュアル データ」を参照してください。
タイルを作成したら、[ ピン留め ] を選択し、タイルを表示するブックを選択します。
ブック データを更新する
ブックを更新して、更新されたデータを表示します。 ツール バーで、次のいずれかのオプションを選択します。
ブック データを手動で更新するには、更新します。
ブックを構成された間隔で自動的に更新するように設定する自動更新。サポートされている自動更新間隔の範囲は 5 分 から 1 日です。
ブックの編集中に自動更新が一時停止され、編集モードからビュー モードに戻るたびに間隔が再起動されます。
データを手動で更新すると、自動更新間隔も再起動されます。
既定では、自動更新はオフになっています。 自動更新をオンにした場合は、ノートブックを閉じてパフォーマンスを最適化し、バックグラウンドで実行されないようにするたびに、再びオフになります。 次回ブックを開いた場合は、必要に応じて自動更新をオンに戻します。
ブックを印刷するか PDF として保存する (Azure portalのみ)
ブックを印刷したり、PDF として保存したりするには、ブック タイトルの右側にあるオプション メニューを使用します。 これらのオプションは、Azure portalでのみ使用できます。 Defender ポータルで作業している場合は、[Azureで開く] を選択して、Azure portalでブックを開きます。
[コンテンツの印刷] >
オプションを選択します。印刷画面で、必要に応じて印刷設定を調整するか、[ PDF として保存] を選択してローカルに保存します。
例:
1 つ以上のブックを削除する
[マイ ブック] タブから、保存したテンプレートとカスタマイズされた ブックの両方を 削除できます。テンプレート自体は削除できません。
ブックを削除するには、[マイ ブック] タブで ブックを 選択し、[削除] を選択 します。 このアクションにより、ブック リソースとテンプレートに加えた変更が削除されます。 元のテンプレートは引き続き使用できます。
ブックの推奨事項
このセクションでは、Microsoft Sentinelでブックを使用するための基本的な推奨事項について説明します。
ブックMicrosoft Entra ID追加する
Microsoft SentinelでMicrosoft Entra IDを使用する場合は、Microsoft Sentinel用のMicrosoft Entra ソリューションをインストールし、次のブックを使用することをお勧めします。
- Microsoft Entraサインインでは、時間の経過に伴うサインインが分析され、異常があるかどうかを確認します。 このブックでは、アプリケーション、デバイス、場所によって失敗したサインインが提供されるため、異常なことが発生した場合に一目でわかります。 失敗した複数のサインインに注意してください。
- Microsoft Entra監査ログは、ユーザーの変更 (追加、削除など)、グループの作成、変更などの管理アクティビティを分析します。
ファイアウォール ブックを追加する
コンテンツ ハブから適切なソリューションをインストールして、ファイアウォール用のブックを追加することをお勧めします。
たとえば、Microsoft Sentinel用の Palo Alto ファイアウォール ソリューションをインストールして Palo Alto ブックを追加します。 ブックはファイアウォール トラフィックを分析し、ファイアウォール データと脅威イベントの間の相関関係を提供し、エンティティ間の疑わしいイベントを強調表示します。
さまざまな用途で異なるブックを作成する
ペルソナのロールと目的に基づいて、ブックを使用するペルソナの種類ごとに異なる視覚化を作成することをお勧めします。 たとえば、ファイアウォール データを含むネットワーク管理者用のブックを作成します。
または、ブックを表示する頻度、毎日確認するものがあるかどうか、1 時間に 1 回チェックするその他のアイテムに基づいてブックを作成します。 たとえば、1 時間おきにMicrosoft Entraサインインを確認して異常を検索できます。
数週間にわたるトラフィックの傾向を比較するためのサンプル クエリ
次のクエリを使用して、数週間にわたるトラフィックの傾向を比較する視覚化を作成します。 環境に応じて、クエリを実行するデバイス ベンダーとデータ ソースを切り替えます。
次のサンプル クエリでは、Windows の SecurityEvent テーブルを使用します。 AzureActivity テーブルまたは CommonSecurityLog テーブル、その他のファイアウォールで実行するように切り替えることができます。
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
複数のソースからのデータを含むサンプル クエリ
複数のソースからのデータを組み込んだクエリを作成することもできます。 たとえば、作成された新しいユーザー Microsoft Entra監査ログを確認し、Azure ログを確認して、ユーザーが作成から 24 時間以内にロールの割り当てを変更し始めたかどうかを確認するクエリを作成します。 その疑わしいアクティビティは、次のクエリを使用して視覚化に表示されます。
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
前の例で使用した次の項目の詳細については、Kusto のドキュメントを参照してください。
- where 演算子
- extend 演算子
- project 演算子
- project-away 演算子
- join 演算子
- summarize 演算子
- ago() 関数
- bin() 関数
- iff() 関数
- tostring() 関数
- count() 集計関数
KQL の詳細については、「Kusto 照会言語 (KQL) の概要」を参照してください。
その他のリソース:
関連記事
詳細については、以下を参照してください: