ダッシュボードを Azure Workbooks に変換する
既存のセキュリティ情報イベント管理 (SIEM) ソリューションのダッシュボードを Microsoft Sentinel の Azure ブックに変換します。 Azure ブックにより、Microsoft Sentinel のカスタム ダッシュボードを作成する際に汎用性がもたらされます。 この記事では、現在のダッシュボードを確認、計画し、Azure ブックに変換する方法について説明します。
現在の SIEM でダッシュボードを確認する
移行を設計するときは、次の手順を考慮してください。
- ダッシュボードを分析する。 デザイン、パラメーター、データ ソース、その他の詳細など、ダッシュボードに関する情報を収集します。 各ダッシュボードの目的または使用方法を特定します。
- 慎重に選択します。 考慮せずにすべてのダッシュボードを移行しないでください。 クリティカルで定期的に使用されるダッシュボードに焦点を当てます。
- アクセス許可を検討する。 ブックのターゲット ユーザーを検討します。 Azure ブックでは、Azure ロールベースのアクセス制御 (Azure RBAC) が使用されます。 詳細については、Azure ブックでのアクセスの制御に関する記事を参照してください。 Azure の外部に、たとえば Azure にアクセスできないビジネス エグゼクティブのためにダッシュボードを作成するには、Power BI などのレポート作成ツールを使用します。
ダッシュボードの変換の準備を行う
ダッシュボードを確認したら、次のタスクを実行して、ダッシュボードを移行する準備をします。
各ダッシュボードの視覚化をすべて確認します。 現在の SIEM のダッシュボードには、複数のグラフまたはパネルが含まれている場合があります。 最終的なダッシュボードのコンテンツを確認して、不要な視覚化やデータを排除することが重要です。
ダッシュボードのデザインとインタラクティビティをキャプチャします。
ユーザーにとって重要なデザイン要素を特定します。 たとえば、ダッシュボードのレイアウト、グラフの配置、グラフのフォント サイズや色などです。
ドリルダウン、フィルター処理など、Azure ブックに引き継ぐ必要があるその他のインタラクティビティをキャプチャします。
必要なパラメーターまたはユーザー入力を識別します。 ほとんどの場合、ユーザーが結果に対する検索、フィルター処理、またはスコープを実行するためのパラメーターを定義する必要があります (期間、アカウント名など)。 したがって、パラメーターに関する詳細をキャプチャすることが重要です。 収集する主要なパラメーター要件をいくつか次に示します。
- ユーザーが選択または入力を実行するためのパラメーターの型。 たとえば、期間、テキストなどがあります。
- ドロップダウン、テキスト ボックスなどのパラメーターの表現方法。
- 時刻、文字列、整数など、想定される値の形式。
- 既定値などのその他のプロパティでは、複数選択、条件付き表示などが設定可能です。
ダッシュボードを変換する
ダッシュボードを変換するには、Azure ブックと Microsoft Sentinel で次のタスクを実行します。
1. データ ソースを特定する
Azure ブックは、多数のデータ ソースと互換性があります。 詳細については、Azure ブックのデータ ソースに関する記事を参照してください。 ほとんどの場合、Azure Monitor ログ データ ソースと Kusto 照会言語 (KQL) クエリを使用して、Microsoft Sentinel ワークスペースの基になるログを視覚化します。
2. KQL クエリを作成または確認する
この手順では、主に KQL を使用してデータを視覚化します。 Microsoft Sentinel でクエリを作成し、Azure ブックに変換する前にテストできます。 Azure portal で Microsoft Sentinel からクエリをテストするには、[ログ] に移動します。 Defender ポータルの Microsoft Sentinel から、[調査と応答]>[ハンティング]>[高度なハンティング] に移動します。
KQL クエリを終了するまで、クエリのパフォーマンスを向上させるためにクエリを常に確認して調整します。 最適化されたクエリは次のようになります。
- 実行速度が上がり、クエリ実行全体の期間が短縮されます。
- スロットルまたは拒否される可能性が低くなります。
詳細については、次のリソースを参照してください。
3. ブックを作成または更新する
最初から始める必要がないように、ブックの作成、ブックの更新、または既存のブックの複製を行います。 また、データや視覚化の表現、配置、グループ化の方法を指定します。 次の 2 つの一般的なデザインがあります。
- 縦置きのブック
- タブ付きのブック
詳細については、次の記事をご覧ください。
4. ブックのパラメーターまたはユーザー入力を作成または更新する
この段階までに、ブックに必要なパラメーターを特定ました。 パラメーターを使用すると、コンシューマーからの入力を収集し、ブックの他のタイルでその入力を参照できます。 この入力は、通常、結果セットのスコープ、適切な視覚化の設定を行うために使用され、対話型のレポートとエクスペリエンスを構築できます。
Workbooks では、コンシューマーにパラメーター コントロールを表示する方法を制御できます。 たとえば、コントロールをテキスト ボックスとドロップダウンのどちらとして表示するか、また単一選択と複数選択のどちらにするかを選択します。 テキスト、JSON、KQL、または Azure Resource Graph などから、使用する値を選択することもできます。
サポートされているブック パラメーターを確認します。 これらのパラメーター値は、バインドまたは値の展開を使用して、ブックの他のタイルで参照できます。
5. 視覚化を作成または更新する
ブックには、データを視覚化するための豊富な機能セットが用意されています。 各視覚化の種類の詳細な例を確認します。
6. ブックをプレビューして保存する
ブックを保存したら、パラメーターを指定し、結果を検証します。 また、自動更新や印刷機能を使用して、PDF として保存することもできます。
次の手順
この記事では、ダッシュボードを Azure ブックに変換する方法について説明しました。