ブックを使用してデータ レイクMicrosoft Sentinelデータを視覚化する

Microsoft Sentinel データ レイク データに基づいてMicrosoft Sentinelブックを実行すると、SOC チームは、データを複製または変換することなく、KQL (Kusto 照会言語) を使用して、レイクから直接セキュリティ データを視覚化および監視できます。 ブック内Sentinelデータ ソースとして data lake を選択することで、アナリストは調査とハンティングに使用されるのと同じ分析クエリを実行できます。 これらは、操作の監視とレポートのために対話型のグラフとテーブルとしてレンダリングできます。 Sentinel データ レイクをブック データ ソースとして使用すると、クエリ間で一貫性のある分析が可能になり、より長いデータ保持がサポートされ、大量の履歴データを使用してスケーリングできます。 これにより、ブックは高度な脅威ハンティング、傾向分析、エグゼクティブ ダッシュボードに最適です。

この記事では、データ ソースとして data lake を使用するためのブックMicrosoft Sentinel作成するプロセスについて説明します。 Sentinelでブックを使用する方法の詳細については、「Microsoft Sentinelでブックを使用してデータを視覚化および監視する」を参照してください。

Sentinelデータ レイクをブックのデータ ソースとして使用する場合は、ブックの視覚化で自動参照と繰り返し実行できるため、クエリパフォーマンスの重要性に注意してください。 クエリの範囲は、適切な時間フィルター、要約、プロジェクションを使用して、レイク内の過剰な履歴データをスキャンしないようにする必要があります。 適切な範囲のクエリを使用すると、分析に長期的で大量のデータを引き続き使用しながら、ダッシュボードの応答性が維持されます。

Microsoft Sentinel データ レイクをデータ ソースとして使用してブックを作成する

  1. Defender ポータルで、[Microsoft Sentinel>Threat management>Workbooks] に移動します。

  2. 右上隅にあるキューブ アイコンを選択して、ブックを保存するワークスペースを選択します。

  3. [ ブックの追加] を選択します

    クエリ エディターが開いている編集モードのブックのスクリーンショット。

    新しいブックが開き、基本的なクエリと同等のグラフ ビジュアルが表示されます。

  4. [編集] を選択します

    基本的なクエリとグラフビジュアルを含む新しいブックのスクリーンショット。

  5. グラフの下で [ 追加] を選択し、[ データ ソースと視覚化の追加] を選択します。

    Microsoft Sentinel ブックの [データ ソースと視覚化の追加] ボタンのスクリーンショット。

  6. データ ソースとして [data lake Sentinel] を選択します。

  7. データ レイク内の SignInLogs テーブルを含むワークスペースを選択します。

  8. 次の KQL をクエリ エディターに貼り付けます。

    AWSCloudTrail
| where isnotempty(ErrorCode)
| summarize FailedEvents = count()
    by bin(TimeGenerated, 1h), SourceIpAddress, UserIdentityPrincipalid
| where FailedEvents > 3
| summarize FailedEvents = sum(FailedEvents) by UserIdentityPrincipalid
| top 10 by FailedEvents

  9. [ 視覚化] で [ 横棒グラフ] を選択します。

  10. [ クエリの実行 ] を選択して結果を視覚化します。

  11. [ 編集の完了] を選択して編集モードを 終了し、ビジュアルを表示します。

    新しいクエリと視覚化の編集を示すスクリーンショット。

    このビジュアルは、AWSCloudTrail ログで失敗した API 呼び出しの最大数を生成する上位 10 個の AWS プリンシパル ID を示しています。 失敗したイベントは集計され、フィルター処理され、エラーが繰り返される ID が強調表示されます。 このグラフは、アナリストが異常な障害パターンを生み出す疑わしい ID や正しく構成されていない ID をすばやく特定するのに役立ちます。

    注:

    クエリによって設定される視覚化の種類はサポートされていません。

    > ago(10d) などの相対時間範囲は、最大 90 日間サポートされます。 絶対時間範囲は、データ保持ポリシーに従ってサポートされます。

  12. ブック ページで、[ 編集の完了] を選択します。

  13. [ 保存] を 選択してブックをライブラリに保存し、ブックに名前と場所を指定します。

  14. 保存したブックをブックの一覧で表示し、それを選択して、作成した視覚化を表示できます。 また、ブックをいつでも編集して、クエリまたはビジュアルを更新することもできます。

Microsoft Sentinelに保存されたブックの一覧を示すスクリーンショット。

関連コンテンツ

  • Last updated on