ダッシュボードを Azure Workbooks に変換する

既存の SIEM のダッシュボードを、Azure Monitor Workbooks に変換します。この Microsoft Sentinel による Azure Monitor Workbooks の採用により、カスタム ダッシュボードを作成する際に汎用性がもたらされます。

この記事では、現在のブックを確認、計画、および Azure Monitor Workbooks に変換する方法について説明します。

現在の SIEM でダッシュボードを確認する

移行を設計する際は、次の考慮事項を確認してください。

• ダッシュボードを検出する。 デザイン、パラメーター、データ ソース、その他の詳細など、ダッシュボードに関する情報を収集します。 各ダッシュボードの目的または使用方法を特定します。
• 選択する。 考慮せずにすべてのダッシュボードを移行しないでください。 クリティカルで定期的に使用されるダッシュボードに焦点を当てます。
• アクセス許可を検討する。 ブックのターゲット ユーザーを検討します。 Microsoft Sentinel は Azure Workbooks を使用し、Azure ロールベースのアクセス制御 (RBAC) によりアクセスが制御されます。 Power BI などのレポート作成ツールを使用して、Azure の外部にダッシュボードを作成する場合。たとえば、Azure にアクセスできないビジネス エグゼクティブ向け。

ダッシュボードの変換の準備を行う

ダッシュボードを確認したら、次の手順に従ってダッシュボードの移行を準備します。

• 各ダッシュボードの視覚化をすべて確認します。 現在の SIEM のダッシュボードには、複数のグラフまたはパネルが含まれている場合があります。 最終的なダッシュボードのコンテンツを確認して、不要な視覚化やデータを排除することが重要です。
• ダッシュボードのデザインとインタラクティビティをキャプチャします。
• ユーザーにとって重要なデザイン要素を特定します。 たとえば、ダッシュボードのレイアウト、グラフの配置、グラフのフォント サイズや色などです。
• ドリルダウン、フィルター処理、Azure Monitor Workbooks に引き継ぐ必要があるその他のインタラクティビティをキャプチャします。
• 必要なパラメーターまたはユーザー入力を識別します。 ほとんどの場合、ユーザーが結果に対する検索、フィルター処理、またはスコープを実行するためのパラメーターを定義する必要があります (期間、アカウント名など)。 したがって、パラメーターに関する詳細をキャプチャすることが重要です。 パラメーター要件の収集に役立ついくつかの重要なポイントを次に示します。
  • ユーザーが選択または入力を実行するためのパラメーターの型。 たとえば、期間、テキストなどがあります。
  • ドロップダウン、テキスト ボックスなどのパラメーターの表現方法。
  • 時刻、文字列、整数など、想定される値の形式。
  • 既定値などのその他のプロパティでは、複数選択、条件付き表示などが設定可能です。

ダッシュボードを変換する

Azure Workbook と Microsoft Sentinel で次のタスクを実行して、ダッシュボードを変換します。

1. データ ソースを特定する

Azure Monitor workbooks は、多数のデータ ソースと互換性があります。 ほとんどの場合、Azure Monitor ログ データ ソースを使用し、Kusto 照会言語 (KQL) クエリで Microsoft Sentinel ワークスペースの基になるログを視覚化します。

2. KQL クエリを作成または確認する

この手順では、主に KQL を使用してデータを視覚化します。 クエリは、Azure Monitor ブックに変換する前に、Microsoft Sentinel ログ ページで作成してテストできます。 KQL クエリを終了するまで、クエリのパフォーマンスを向上させるためにクエリを常に確認して調整します。 最適化されたクエリは次のようになります。

• 実行速度が上がり、クエリ実行全体の期間が短縮されます。
• スロットルまたは拒否される可能性が低くなります。

KQL クエリを最適化する方法を確認してください。

• KQL クエリのベスト プラクティス
• Azure Monitor ログのクエリの最適化
• KQL パフォーマンスの最適化 (ウェビナー)

3. ブックを作成または更新する

最初から始める必要がないように、ブックの作成、ブックの更新、または既存のブックの複製を行います。 また、データまたは視覚化の表現、配置、グループ化の方法を指定します。 次の 2 つの一般的なデザインがあります。

• 縦置きのブック
• タブ付きのブック

4. ブックのパラメーターまたはユーザー入力を作成または更新する

この段階までに、必要なパラメーターを特定しておく必要があります。 パラメーターを使用すると、コンシューマーからの入力を収集し、ブックの他のタイルでその入力を参照できます。 この入力は、通常、結果セットのスコープ、適切な視覚化の設定を行うために使用され、対話型のレポートとエクスペリエンスを構築できます。

Workbooks では、コンシューマーにパラメーター コントロールを表示する方法を制御できます。 たとえば、コントロールをテキスト ボックスとドロップダウンのどちらとして表示するか、また単一選択と複数選択のどちらにするかを選択します。 テキスト、JSON、KQL、または Azure Resource Graph などから、使用する値を選択することもできます。

サポートされているブック パラメーターを確認します。 これらのパラメーター値は、バインドまたは値の展開を使用して、ブックの他のタイルで参照できます。

5. 視覚化を作成または更新する

ブックには、データを視覚化するための豊富な機能セットが用意されています。 各視覚化の種類の詳細な例を確認します。

• [テキスト]
• グラフ
• グリッド
• タイル
• ツリー
• グラフ
• Map
• 蜂の巣
• 複合棒グラフ

6. ブックをプレビューして保存する

ブックを保存したら、パラメーター (存在する場合) を指定し、結果を検証します。 また、自動更新や印刷機能を使用して、PDF として保存することもできます。

次の手順

この記事では、ダッシュボードを Azure ブックに変換する方法について説明しました。

SOC プロセスを更新する