新しい Microsoft Sentinel ブックを作成する
組み込みのテンプレートを使ってカスタマイズされたブックを作成するだけでなく、カスタム ブックを一から作成して、テキスト、分析クエリ、メトリック、パラメーターを含む高度に対話型のレポートを作成できます。
カスタム ブックを作成する
Microsoft Sentinel の [ブック] ページからカスタム ブックを作成できます。 ヘッダー バーの [+ ブックの追加] を選びます。 [新しいブック] ページが開きます。すぐに使用できる基本的な分析クエリが表示されます。
ヒント
作成した各ブックは、Azure portal によって Microsoft Sentinel リソース グループのブック リソースとして保存されます。
ブックの構築を始めるには、[新しいブック] ページで [編集] を選びます。 次に [編集] オプションを選んで、新しいブック テンプレートに表示されるテキストを変更します。
各ブックには、コネクタから収集されたセキュリティ データを視覚化するための豊富な機能セットが用意されています。 次の視覚化の種類と要素を使用してブックをデザインできます。
- Text
- クエリ
- パラメーター
- リンクとタブ
- メトリック
次のスクリーンショットに示すように、[+ 追加] を選択すると、ブックに新しい要素を追加できます。
テキストの視覚化
テキスト ブロックを使用して、セキュリティ データ、セクション見出し、テレメトリ データなどの情報を解釈することができます。 Markdown マークアップ言語を使用してテキストを編集することができます。見出し、フォント スタイル、ハイパーリンク、およびテーブルにさまざまな書式設定オプションが用意されています。
注意
Markdown は、プレーンテキスト ドキュメントに含まれるテキストの書式設定に使用できるマークアップ言語です。 Markdown コントロールを使用したテキストの書式設定方法の詳細については、オンラインで入手できる Markdown ガイドを参照してください。
テキストを追加したら、[プレビュー] タブを選んで、コンテンツがどのように表示されるかをプレビューします。 テキストの編集が完了したら、[編集が完了しました] オプションを選びます。
クエリ項目
ログから別のクエリを作成し、データをテキスト、グラフ、またはグリッドとして視覚化できます。 クエリは KQL を使って記述できます。 次に、以下を含むさまざまな視覚化を使ってデータの書式を設定します。
- グリッド (またはテーブル)
- 面グラフ
- 棒グラフ
- 折れ線グラフ
- 円グラフ
- 散布図
- 時間グラフ
- タイル
次のスクリーンショットに示すように、クエリを作成すると、Microsoft Sentinel によって新しい [クエリの実行] ステップがブックに追加されます。
ヘッダー バーには、クエリの出力を調整するためのオプションが用意されたいくつかのフィールドがあります。
| Name | [説明] |
|---|---|
| クエリを実行する | クエリの結果をテストするには、このオプションを使用します。 |
| サンプル | Microsoft では、ブックに追加できるサンプル クエリを含むサンプル コードを提供しています。 |
| データ ソース | クエリのデータ ソースを指定するには、このオプションを使用します。 |
| リソースの種類 | リソースの種類を選択するには、このオプションを使用します。 |
| Log Analytics ワークスペース | 複数のリソースに対してデータのクエリを実行する場合は、このオプションを使用します。 |
| 時間の範囲 | クエリで使用する時間の範囲パラメーターを指定するには、このオプションを使用します。 |
| グラフ | 特定の視覚化を選択する場合、または [Set by query](クエリで設定) を選択してデータを別の形式で表示するには、このオプションを使用します。 |
| サイズ | 視覚化要素のサイズを選択するには、このオプションを使用します。 |
[詳細設定] タブで、クエリ ステップの設定とスタイルをさらにカスタマイズすることができます。 [詳細設定] タブでは、プロパティを変更できます。 たとえば、次のスクリーンショットに示すように、[グラフのタイトル] を入力できます。
[スタイル] タブを使用して、ステップの余白とパディング要素を調整できます。 設定とスタイルのカスタマイズが完了した後、忘れずに [編集が完了しました] を選択してステップを保存してください。
グラフの視覚化
セキュリティ データをグラフとして表示するクエリを作成する場合、次の要素をカスタマイズできます。
- [高さ]
- 幅
- [色パレット]
- 凡例
- タイトル
- 軸の種類と系列
次の例では、すべてのセキュリティ アラートをカウントし、それらを円グラフで視覚化します。
SecurityAlert
| where TimeGenerated \>= ago(180d)
| summarize Count=count() by AlertSeverity
| render piechart
前の例では、クエリによってデータの視覚化の種類が示されました。 また、render パラメーターを含めずにクエリを使うこともできます。 [視覚化] ドロップダウン メニューを使って、表示された視覚化の種類のいずれかを選びます。
グリッドの視覚化
[視覚化] ドロップダウン メニューの [グリッド] 視覚化オプションを使って、テーブル内のデータを表示することができます。レポート用に充実した UI が用意されています。 [列の設定] オプションを選び、テーブルに表示する列を指定して、必要に応じて列ラベルを指定することができます。
[列の設定の編集] タブでは、ヒートマップ、バー、スパーク領域などの別の列レンダラーを選択できます。 [カスタムの書式設定] を選択すると、数値の単位、スタイル、書式設定オプションを設定できます。
パラメーター
対話型のブックでパラメーターを使用すると、クエリの結果をさまざまな方法で操作することができます。 [新しいパラメーター] を選ぶと、[新しいパラメーター] ページが開き、パラメーターに必要な名前やその他の入力を指定できます。
次のパラメーターの種類を作成できます。
- Text。 任意のテキストを入力できます。
- ドロップダウン。 クエリ ステップの外観を変更して、一連の値から値を選択できるドロップダウン メニューを含めることができます。 このパラメーターの種類では、KQL クエリまたは JSON 文字列を入力して、ドロップダウン リストの選択肢を指定できます。
- [時間の範囲の選択]。 事前に用意されている時間の範囲から選択するか、カスタムの範囲を選択できます。
- [リソースの選択]。 1 つ以上の Azure リソースを選択できます。
- [サブスクリプションの選択]。 1 つ以上の Azure サブスクリプション リソースを選択できます。
- [リソースの種類の選択]。 1 つ以上の Azure リソースの種類値を選択できます。
- [場所の選択]。 1 つ以上の Azure の場所値を選択できます。
- [オプション グループ]。 複数のプロパティをグループ化することができます。
- [タブ]。
- [複数値]。
バインドを使用するか、値の展開を使用して、ブックの他の部分のパラメーター値を参照できます。
[新しいパラメーター] ペインの [プレビュー] セクションで、クエリ コードに表示および使用される変数を確認できます。
リンクとタブ
リンクとタブのステップを追加して、タブ、リスト、段落、または箇条書きリストを使用してブック内のナビゲーションをカスタマイズできます。 新しいリンクとタブのステップを追加するときに、次の入力を指定できます。
- [リンク前のテキスト]。 リンクが選択される前にテキストを表示するには、このオプションを使用します。
- [リンク テキスト]。 リンクに表示される実際のテキストを指定するには、このオプションを使用します。
- [リンクの後のテキスト]。 リンクが選択された後に表示されるテキストを指定するには、このオプションを使用します。
- アクション。 リンクを選んだときに実行されるアクションを指定するには、このオプションを使います。たとえば、[URL]、[パラメーター値を設定します]、[ステップにスクロールします] などです。
- 値。 リンクの値を指定するには、このオプションを使用します。
- [設定]。 リンクの種類に基づいて特定の設定を構成し、パラメーター構文をサポートするには、このオプションを使います。
- [コンテキスト ペイン?]。 全画面表示ではなく、横に新しいコンテキスト パネルを開くには、このオプションを使用します。
- [スタイル]。 [リンク]、[ボタン (プライマリ)]、[ボタン (セカンダリ)] スタイルのいずれかを選ぶには、このオプションを使います。
メトリック ステップ
メトリック ステップを使用すると、ブックの結果をさまざまな Azure リソースのメトリックと組み合わせることができます。 ブックに対するすべてのカスタムの変更を完了した後、忘れずに [編集が完了しました] を選択してブックを保存してください。