既定の Microsoft Sentinel ブックを使用する
Microsoft Sentinel には、すぐに使用できるいくつかのテンプレートが用意されています。 これらのテンプレートを使用して独自のブックを作成し、Contoso の必要に応じてそれらを変更できます。
Microsoft Sentinel ブック
Microsoft Sentinel によるデータの取り込みに使用されるほとんどのデータ コネクタには、独自のブックが付属しています。 テーブルや視覚化 (棒グラフや円グラフなど) を使うと、取り込んでいるデータを分析できます。 定義済みのテンプレートを使用するのではなく、一から独自のブックを作成することもできます。
[ブック] ページ
Microsoft Sentinel のナビゲーション ウィンドウから [ブック] ページにアクセスできます。 [ブック] ページでは、新しいブックを追加し、使用できる保存済みのブックとテンプレートを確認できます。
既存のブック テンプレートには、[テンプレート] タブでアクセスできます。簡単にアクセスできるように一部のブックを保存することができます。 これらは [マイ ブック] タブに表示されます。
[テンプレート] タブから既存のブックを選んで、テンプレートの追加情報を含む詳細ウィンドウを表示することができます。 詳細ペインには、Microsoft Sentinel に接続する必要のある必須のデータ型とデータ コネクタに関する情報も含まれています。 レポートがどのように表示されるかを確認することもできます。
既存のブック テンプレートを確認する
前述のように、Contoso では ID の侵害が懸念されています。 セキュリティ管理者であれば、[テンプレート] セクションでそのテンプレートを選択することで、既存の Microsoft Entra サインイン ログ ブックを調査できます。 次に、詳細ウィンドウの [テンプレートの表示] を選びます。
Microsoft Entra サインイン ログ ブックには、Microsoft Entra ID でのサインイン アクティビティに関する重要な分析情報を提供する定義済みのチャート、グラフ、表が含まれています。 ユーザーのサインインと場所、メール アドレス、およびユーザーの IP アドレスに関する情報を確認できます。 失敗したアクティビティと失敗の原因となったエラーに関する情報を確認することもできます。
[Microsoft Entra サインイン ログ] ページでは、時間の範囲を広げたり、Microsoft Entra ID 内でサインイン特権を持つアプリとユーザーのフィルター処理を行うことができます。 たとえば、Contoso では、Azure portal にサインインできるユーザーを特定し、以下のようにデータをフィルター処理できるようにする必要があります。
![Azure portal にサインインするユーザーのフィルター処理を含む [Sign-in Analysis]\(サインイン分析\) を表示するスクリーンショット。](../../wwl-sci/query-data-sentinel/media/05-filter-users.png)
Contoso は、サインインに失敗した試行を特定することに関心があります。 このようなアカウントを表示するには、情報タイルを選びます。次にタイルまたは行を選ぶと、次のような詳細情報が表示されます。
- [Sign-ins by location](場所別のサインイン)。 このセクションには、ユーザーが Microsoft Entra ID にサインインした場所が表示されます。
- [Location Sign-in details](サインインの場所の詳細)。 このセクションには、ユーザー、ユーザーのサインイン状態、およびサインイン試行の時刻が表示されます。
- [Sign-ins by Device](デバイス別のサインイン)。 このセクションには、ユーザーが Microsoft Entra ID へのサインインに使用したデバイスが一覧表示されます。
- [Device Sign-in details](デバイスのサインインの詳細)。 このセクションには、特定のデバイスにサインインしたユーザーと、サインインした時刻が表示されます。
バックグラウンドにあるこの情報タイルは、クエリを実行し、Microsoft Entra コネクタから収集されたデータをフィルター処理するように構成されています。 次に、テーブルを使って収集されたデータは Microsoft Sentinel によって視覚化されて提示されます。これはわかりやすい形式であり、ユーザーのサインイン試行について有益な分析情報が表示されます。
ブックには、条件付きアクセスを使用してサインインしたユーザーを示すその他のタイルが含まれています。 [Conditional access status] (条件付きアクセス状態) テーブルからは、自分の身元の正当性を示すには多要素認証を実行する必要があるユーザーを確認できます。
このページのその他の部分には、対話型の表とグラフもあります。 行またはタイルの一部を選ぶと、表示されるデータをフィルター処理することができます。 次のスクリーンショットに示すように、一部のテーブルは、対応するログへのリンクを使用して作成されています。
Note
プライベートまたは共有のダッシュボードにクエリ ステップをピン留めして、すばやく取得することもできます。
ブックからクエリを編集する
たとえば、Contoso は、失敗したユーザー サインインを示す詳細情報をログから検索することを検討しているとします。 Azure Data Explorer にリダイレクトされ、そこで Microsoft Sentinel によってログ クエリが実行され、情報がフィルター処理されます。
保存されたブックを探索する
[テンプレート] ページからいずれかのテンプレートを選択し、[保存] を選択することで、既存のテンプレートからブックを保存できます。ブックをどこに保存するかを示す場所を指定する必要があります。 これのプロセスにより、テンプレートの JSON ファイルを含むテンプレートに基づいて Azure リソースが作成されます。
保存したブックは、[マイ ブック] タブに表示されます。ここでカスタマイズすることもできます。 [保存されたブックの表示] を選択すると、保存されたブックを開くことができます。 この操作で、テンプレート ブック ページと同じページが開きますが、Contoso の要件に基づいてこのページをカスタマイズできます。
[編集] を選び、編集モードでブックを開きます。 項目を追加または削除して、さらにカスタマイズすることができます。 編集モードでは、読み取りモードでは非表示になるステップやパラメーターなど、ブック内のすべてのコンテンツが表示されます。
編集モードのヘッダー バーには、次のスクリーンショットに示すいくつかのオプションが表示されます。
![[保存]、[名前を付けて保存]、[設定]、[最新の情報に更新]、[共有]、[ヘルプ] などのさまざまな編集オプションが表示された編集モードのスクリーンショット。](../../wwl-sci/query-data-sentinel/media/05-editing-options.png)
編集モードに切り替えると、ブックの個々の側面に対応するいくつかの [編集] オプションが表示されます。 これらの編集オプションのいずれかを選択すると、対応するログからデータをフィルター処理するために Microsoft Sentinel によって使用されるクエリを調べることができます。
設定アイコンを選択すると、[設定] ページが開き、ブックで使用する他のリソースを指定できます。 ブックのスタイルを変更する、タグを付ける、ブック内の項目をピン留めすることもできます。
![[設定] ページのスクリーンショット。](../../wwl-sci/query-data-sentinel/media/05-settings.png)
[ピン留めオプションを表示します] を選択すると、ブック内のさまざまなテーブルの配置を変更することができます。
高度なカスタマイズの場合は、[詳細エディター] を選択して現在のブックの JSON 表現を開き、テキスト エディターでさらにカスタマイズすることができます。 変更を既存のブックに保存することや、別のブックとして保存することもできます。 すべてのカスタマイズが完了したら、[編集が完了しました] を選択して編集モードを終了できます。
GitHub で Microsoft Sentinel リポジトリを探索する
Microsoft Sentinel リポジトリには、すぐに使用できる検出、探索クエリ、ハンティング クエリ、ブック、プレイブックなどが含まれており、環境をセキュリティで保護して脅威を検出するのに役立ちます。 Microsoft と Microsoft Sentinel コミュニティは、このリポジトリに貢献しています。
このリポジトリには、検出クエリなど、Microsoft Sentinel 機能のいくつかの領域に提供されたコンテンツを含むフォルダーが含まれています。 これらのクエリのコードを使用して、Microsoft Sentinel ワークスペースにカスタム クエリを作成できます。