収集されたデータを視覚化する

この記事では、Microsoft Sentinel を使用して、環境全体で何が発生しているのかを素早く表示および監視できるようにする方法について説明します。 データ ソースを Microsoft Sentinel に接続すると、すぐにデータを視覚化して分析できるため、接続されているすべてのデータ ソースで発生していることを把握できます。 Microsoft Sentinel には、Azure で既に使用できるツールをフルに活用できるブックと、ログとクエリの分析機能を提供するために組み込まれているテーブルとグラフが用意されています。 ブック テンプレートを使用するか、最初から、または既存のブックに基づいて新しいブックを簡単に作成できます。

視覚化する

環境で発生していること視覚化して分析するには、まず概要ダッシュボードを見て、組織のセキュリティ体制を把握します。 ノイズを減らし、確認および調査する必要があるアラートの数を最小限に抑えるために、Microsoft Sentinel は融合手法を使用してアラートをインシデントに関連付けます。 インシデントは、調査して解決できる対応可能なインシデントをまとめた、関連するアラートのグループです。

Azure portal で Microsoft Sentinel を選択してから、監視するワークスペースを選択します。

ダッシュボードのすべてのセクションのデータを更新する場合は、ダッシュボードの上部にある [更新] を選択します。 パフォーマンスを向上させるために、ダッシュボードの各セクションのデータが事前に計算され、各セクションの上部に更新時間が表示されます。

インシデント データを表示する

[インシデント] には、さまざまな種類のインシデント データが表示されます。

• 左上には、過去 24 時間の新規、アクティブ、およびクローズされたインシデントの数が表示されます。
• 右上には、重大度別に整理されたインシデントと、クローズされたインシデント (分類別) が表示されます。
• 左下のグラフには、作成時間ごと (4 時間間隔) のインシデントの状態が表示されます。
• 右下には、インシデントが確認されるまでの平均時間とクローズされるまでの平均時間が表示され、SOC 効率ブックへのリンクが表示されます。

オートメーション データを表示する

[オートメーション] には、さまざまな種類のオートメーション データが表示されます。

• 上部には、オートメーション ルール アクティビティの概要が表示されます (オートメーションによってクローズされたインシデント、オートメーションによって保存された時刻、関連するプレイブックの正常性)。
• 概要の下には、オートメーションによって実行されたアクションの数が、アクションの種類別に集計されて表示されます。
• 下部には、アクティブなオートメーション ルールの数と、オートメーション ブレードへのリンクが表示されます。

データ レコード、データ コレクター、脅威インテリジェンスの状態を表示する

[データ] には、データ レコード、データ コレクター、脅威インテリジェンスに関するさまざまな種類のデータが表示されます。

• 左側のグラフには、過去 24 時間に Microsoft Sentinel で収集されたレコードの数が、その前の 24 時間と比較して表示され、その期間に検出された異常が表示されます。
• 右上には、データ コネクタの状態の概要が表示されます (異常なコネクタとアクティブなコネクタ)。 [異常なコネクタ] は、エラーがあるコネクタの数を示します。 [アクティブなコネクタ] は、Microsoft Sentinel へのデータ ストリーミングがあるコネクタです (コネクタに含まれるクエリによって測定されます)。
• 右下には、Microsoft Sentinel の脅威インテリジェンス レコードが、侵害のインジケーター別に表示されます。

分析データを表示する

[分析] には、分析ルールのデータが表示されます。

Microsoft Sentinel の分析ルールの数は、有効、無効、または自動無効化の状態別に表示されます。

ブック テンプレート を使用する

ブック テンプレートには、接続されたデータ ソースから統合されたデータが表示されるので、そのようなサービスで生成されたイベントを詳しく調べることができます。 ブック テンプレートには、Microsoft Entra ID、Azure アクティビティ イベント、およびオンプレミスのデータが表示されます。これには、サーバーからの Windows イベントのデータ、ファースト パーティ アラートのデータ、ファイアウォール トラフィック ログ、Office 365、Windows イベントに基づく安全ではないプロトコルを含むサード パーティからのデータなどがあります。 ブックは Azure Monitor Workbooks に基づいており、独自のブックを設計する際のカスタマイズ性と柔軟性が強化されています。 詳細については、ブックに関する記事を参照してください。

1. [設定] で [ブック] を選択します。 [マイ ブック] では保存したすべてのブックを表示できます。 [テンプレート] ではインストールされているブック テンプレートを表示できます。 その他のブック テンプレートを表示するには、Microsoft Sentinel の [Content hub](コンテンツ ハブ) に移動して、製品ソリューションまたはスタンドアロン コンテンツをインストールします。
2. 特定のブックを検索して、各オファーの一覧全体と説明を確認してください。
3. Microsoft Entra ID を使用する場合、Microsoft Sentinel を使い始めるには、Microsoft Sentinel 用の Microsoft Entra ソリューションをインストールし、次のブックを使用することをお勧めします：

   • Microsoft Entra ID: 次のいずれかまたは両方を使用します:

     • Microsoft Entra サインインは、時間の経過と共にサインインを分析し、異常があるかどうかを表示します。 このブックには、アプリケーション、デバイス、および場所ごとに失敗したサインインが表示されるため、異常が発生した場合は一目でわかります。 複数の失敗したサインインに注意してください。
     • Microsoft Entra 監査ログでは、ユーザーの変更 (追加、削除など)、グループの作成、変更などの管理アクティビティを分析します。

   • 適切なソリューションをインストールして、ファイアウォール用のブックを追加します。 たとえば、Microsoft Sentinel 用の Palo Alto ファイアウォール ソリューションをインストールして、Palo Alto ブックを追加します。 このブックでは、ファイアウォールのトラフィックを分析し、ファイアウォールのデータと脅威イベントの間の相関関係を表示し、エンティティ全体の疑わしいイベントを強調表示します。 ブックには、トラフィックの傾向に関する情報が表示され、結果をドリル ダウンしてフィルター処理することができます。

     

メイン クエリ を編集してブックをカスタマイズできます。 ボタン をクリックして Log Analytics に移動し、そこでクエリを編集できます。また、省略記号 (...) を選択し、[タイル データのカスタマイズ] を選択して、メイン タイム フィルターを編集したり、ブックから特定のタイルを削除したりすることができます。

クエリの使用方法の詳細については、「チュートリアル:Log Analytics でのデータの視覚化」を参照してください

新しいタイルを追加する

新しいタイルを追加する場合は、既存のブック (自分で作成したブックまたは Microsoft Sentinel の組み込みのブック) に追加できます。

1. Log Analytics で、Log Analytics でのデータの視覚化に関する記事の手順に従ってタイルを作成します。
2. タイルが作成されたら、 [ピン留め] でタイルを表示するブックを選択します。

新しいブックを作成する

新しいブックを最初から作成するか、ブック テンプレートを新しいブックのベースとして使用することができます。

1. 新しいブックを最初から作成するには、 [ブック] 、 [+New workbook](+ 新しいブック) の順に選択します。
2. ブックを作成したサブスクリプションを選択し、わかりやすい名前を付けます。 各ブックは他のブックと同様に Azure リソースであり、アクセスできるユーザーを定義および制限するためにロールを割り当てることができます (Azure RBAC)。
3. ブックに表示して視覚化をピン留めできるようにするには、共有する必要があります。 [共有] 、 [ユーザーの管理] の順にクリックします。
4. 他の Azure リソースと同様に、 [Check access](アクセスの確認) および [ロールの割り当て] を使用します。 詳細については、Azure RBAC を使用した Azure ブックの共有に関する記事を参照してください。

新しいブックの例

次のサンプル クエリを使用すると、数週間にわたるトラフィックの傾向を比較できます。 クエリを実行するデバイスの製造元とデータ ソースを簡単に切り替えることができます。 この例では Windows の SecurityEvent を使用していますが、他のファイアウォールの AzureActivity または CommonSecurityLog に対して実行するために切り替えることができます。

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

複数のソースからのデータを組み込んだクエリを作成することをお勧めします。 作成されたばかりの新しいユーザーの Microsoft Entra 監査ログを確認し、Azure ログをチェックして作成後 24 時間以内にユーザーがロールの割り当てを変更し始めたかどうかを確認するクエリを作成できます。 その疑わしいアクティビティは、このダッシュボードに表示されます。

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

データを見るユーザーのロール必要なものに基づいて、さまざまなブックを作成できます。 たとえば、ファイアウォール データを含むネットワーク管理者用のブックを作成できます。 また、確認する頻度、毎日確認することがあるかどうか、1 時間に 1 回確認する必要がある項目などに基づいてブックを作成することもできます。たとえば、Microsoft Entra のサインを毎時確認し、異常を検索することができます。

新しい検出を作成する

Microsoft Sentinel に接続したデータ ソースに対し、組織内の脅威を調査するための検出を生成します。

新しい検出を作成する際は、Microsoft のセキュリティ研究員によって作成された検出を活用しましょう。接続先のデータ ソースに合わせてカスタマイズされています。

インストールされた難しい設定が不要な検出機能を表示するには、[Analytics]、[ルール テンプレート] の順に選択します。 このタブには、インストールされたすべての Microsoft Sentinel ルール テンプレートが含まれています。 その他のルール テンプレートを表示するには、Microsoft Sentinel の [Content hub](コンテンツ ハブ) に移動して、製品ソリューションまたはスタンドアロン コンテンツをインストールします。

難しい設定の要らない検出機能を取得する方法の詳細については、組み込みの分析の取得に関する記事を参照してください。

次のステップ

難しい設定なしで脅威を検出し、カスタム脅威検出ルールを作成して脅威への対応を自動化します。