演習 - Microsoft Sentinel ブックを使用してデータを視覚化する

  • 8 分

Contoso に勤務するセキュリティ エンジニアであるあなたは、Azure サブスクリプションの疑わしいアクティビティに気づき、Microsoft Sentinel ブックを使用してこのアクティビティを分析することにしました。

演習: Microsoft Sentinel ブックを使用してデータのクエリと視覚化を行う

あなたは、Azure アクティビティ コネクタから Microsoft Sentinel のログを分析したいと考えています。 また、このデータの視覚化をさらに実装して、カスタマイズされたブックに保存したいと考えています。

この演習では、ログと Microsoft Sentinel ブックについて調べます。 次のタスクを実行します。

  • Microsoft Sentinel の [ログ] ページでログ データを操作します。
  • カスタム ブックを作成し、編集して、重要なデータを視覚化します。

注意

この演習を完了するには、事前に「Microsoft Sentinel ブックを使用してデータのクエリと視覚化を行う」ユニットを完了している必要があります。 まだ完了していない場合は、今すぐ完了してから、この演習の手順を続行してください。

タスク 1: Microsoft Sentinel でログを使用する

  1. Azure portal で、Microsoft Azure Sentinel を検索して選択し、以前に作成した Microsoft Azure Sentinel ワークスペースを選択します。

  2. [Microsoft Sentinel] ページの [全般] セクションで、[ログ] を選びます。

    Note

    [ログ] ページを初めて開くと、[クエリ] ウィンドウにリダイレクトされる場合があります。 [クエリ] ウィンドウを閉じて、[新しいクエリ 1] セクションに戻ります。

  3. [Microsoft Sentinel | ログ] ページで、[テーブル] ペインの [グループ化: ソリューション] ドロップダウン メニューで [カテゴリ] を選びます。

  4. テーブル ペインで、テーブルの一覧から [Azure リソース] カテゴリを展開するか、カーソルを [Azure アクティビティ] テーブルに移動するか、Tab キーを使用してテーブルに移動し、[データのプレビュー] を選びます。

  5. [AzureActivity] ウィンドウで、[クエリ エディターで表示] を選択します。 このオプションを使うと、実際にクエリを実行する前にデータをプレビューして、期待どおりの結果が得られるかどうかを確認できます。

    テーブル ペインのスクリーンショット。

    [クエリ] セクションでは、クエリの構造を確認できます。 このクエリを使用すると、Azure アクティビティ ログから最新の 10 個のイベントが検索され、表示されます。 クエリの最初の行にある AzureActivity で、クエリに使用されるテーブルを指定します。 2 行目には、前日からのレコードをフィルター処理する where ステートメントが含まれています。 3 行目には、最新の 10 個のイベントのみをフィルター処理するもう 1 つのステートメントが含まれています。

    クエリの結果セクションには、クエリの結果が表示されます。 いずれかのレコードを展開して、テーブルの値を確認することができます。 任意の列で結果を並べ替えるには、その列の名前を選択します。

  6. フィルターの条件を指定するには、横にあるフィルター アイコンを選択します。 この方法はクエリにフィルター条件を追加する場合と似ていますが、クエリを再度実行すると、このフィルターはクリアされる点が異なります。 [列] ドロップダウン メニューを選ぶと、表示するテーブルの列をフィルター処理できます。 [Group columns](列のグループ化) を選択すると、特定の列でレコードをグループ化できます。

    前述の項目が強調表示されたクエリ結果のスクリーンショット。

  7. 左側のペインにある [クエリ] タブを選択します。 このペインには、クエリ ウィンドウに追加できるクエリの例が含まれています。 独自のワークスペースを使用している場合は、複数のカテゴリにさまざまなクエリが表示されます。 デモ環境を使っている場合は、1 つの [Log Analytics ワークスペース] カテゴリがのみが表示されます。

    注意

    次のデモ環境で、クエリの記述を試してみることができます。

タスク 2: Microsoft Sentinel でブックを使用する

  1. [Microsoft Sentinel] ページの [脅威の管理] セクションで [ブック] を選びます。

  2. [Microsoft Sentinel | ブック] ページで、[テンプレート] タブを選択します。

  3. 検索フィールドに「Azure アクティビティ」と入力して選択します。

  4. 詳細ペインで、テンプレートに表示されている情報を確認し、[保存] を選択します。 [ブックの保存先...] ウィンドウで、準備の演習で選択したものと同じ場所を選択し、[OK] を選択します。

  5. [Microsoft Sentinel | ブック] ページの [マイ ブック] タブを選びます。保存済みテンプレートの一覧から [Azure アクティビティ] を選びます。 次に、詳細ペインの [保存されたブックの表示] を選びます。

  6. [Azure アクティビティ - ] ページで、ブックのすべての要素を確認します。 一部の要素は、選択してブックを操作することができます。

  7. [Azure アクティビティ] テーブルに表示されるレコードに別の時間の範囲を選ぶには、[時間の範囲] フィールドを選びます。 イベントを生成するユーザーまたはサービスに基づいてレコードをフィルター処理するには、[呼び出し元] ドロップダウン メニューを選びます。 特定のリソース グループに基づいてイベントをフィルター処理するには、[リソース グループ] ドロップダウン メニューを選びます。

    前述の要素が強調表示された [Azure アクティビティ] ページのスクリーンショット。

  8. [Caller activities]\(呼び出し元のアクティビティ) テーブルまで下にスクロールします。ここには、ユーザーまたはセキュリティ プリンシパルによって実行されたアクティビティが表示されます。 列ヘッダーの矢印を選択して、各列のテーブル データを並べ替えます。

  9. [Azure Activity - ] ページのヘッダー バーまで上にスクロールします。 [編集] オプションを選択してブックを編集モードに切り替えます。 ページに表示されるさまざまな [編集] オプションを確認します。

  10. 1 つ目の [編集] オプションを選択します。 この操作で、ブックのいずれかのステップの編集ペインが表示されます。 スタイルを調整し、別の順序で並べ替えることで、要素の表示をカスタマイズできます。

  11. テキスト、ドロップダウン、複数値など、さまざまな種類の他のパラメーターを追加できます。

  12. [パラメーターの追加] を選びます。

  13. [新しいパラメーター] ページで、次の値を入力します。

    名前 説明
    パラメーター名 Level
    表示名 Level
    パラメーターの型 ドロップダウン メニューから [ドロップ ダウン] を選びます。
    必須 このチェック ボックスをオンにします。
    Allow multiple selections (複数選択を許可する) このチェック ボックスをオンにします。
    複数選択を制限します このチェックボックスはオンにしないでください。
    区切り記号 既定値のままにします。
    Quote with (使用する引用符) 既定値のままにします。
    説明 このパラメーターを使うと、レベルに基づいてイベントがフィルター処理されます。
    Hide parameter in reading mode (閲覧モードでパラメーターを非表示にする) このチェックボックスはオンにしないでください。
    データの取得元 クエリ

  14. Log Analytics ワークスペースの [ログ クエリ] セクションで次のクエリを入力し、[クエリの実行] を選択します。

    AzureActivity
|summarize by Level

  15. クエリ結果から、レベルに基づいて 2 種類のイベント [情報提供][警告] が返されることを確認します。

    新しいパラメーターを追加するステップが表示されている [新しいパラメーター] ペインのスクリーンショット。スクリーンショットでは、[保存]、[クエリ]、[クエリの実行] オプション、[AzureActivity] セクションが強調表示されています。

  16. [保存] を選んで変更をコミットして、パラメーター ステップに [レベル] というパラメーターが含まれていることを確認します。

    ヒント

    編集モードでは、[編集] オプションの横にある省略記号アイコンを選んで、新しいドロップダウン メニューを表示できます。 そのメニューから、このステップをブックのさまざまな部分に移動できます。 ステップを複製することや、ブックから削除することもできます。

  17. カスタマイズしたブックを保存するには、ヘッダー バーにある [名前を付けて保存] アイコンを選択します。

  18. [タイトル] フィールドに新しいブックの名前を入力し、[保存] を選択します。

  19. 変更が完了したら、[編集が完了しました] を選びます。

    ヒント

    新しいブックには、[Microsoft Sentinel | ブック] ペイン[マイ ブック] タブからアクセスできます。ご自分の新しいブックが一覧にない場合は、[更新] オプションを選びます。

リソースのクリーンアップ

  1. Azure portal で [リソース グループ] を検索します。
  2. [azure-sentinel-rg] を選択します。
  3. ヘッダー バーで、[リソース グループの削除] を選択します。
  4. [リソース グループ名の入力] フィールドに、リソース グループの名前「azure-sentinel-rg」を入力し、[削除] を選択します。