ダッシュボードをAzureブックに変換する

ダッシュボードを既存のセキュリティ情報とイベント管理 (SIEM) ソリューションからMicrosoft Sentinel用のAzure ブックに変換します。 Azureブックは、Microsoft Sentinel用のカスタム ダッシュボードを作成するための汎用性を提供します。 この記事では、現在のダッシュボードを確認、計画、変換してブックをAzureする方法について説明します。

現在の SIEM のダッシュボードを確認する

移行を設計するときは、次の手順を検討してください。

• ダッシュボードを分析します。 設計、パラメーター、データ ソース、その他の詳細など、ダッシュボードに関する情報を収集します。 各ダッシュボードの目的または使用状況を特定します。
• 選択的である。 考慮せずにすべてのダッシュボードを移行しないでください。 重要で定期的に使用されるダッシュボードに焦点を当てます。
• アクセス許可を検討してください。 ブックのターゲット ユーザーを検討します。 Azureブックでは、ロールベースのアクセス制御 (Azure RBAC) Azure使用されます。 詳細については、「Azure ブックのコントロールを評価する」を参照してください。 Azureの外部にダッシュボードを作成する (たとえば、Azureアクセス権のないビジネスエグゼクティブの場合) には、Power BI などのレポート ツールを使用します。

ダッシュボード変換の準備

ダッシュボードを確認したら、次のタスクを完了してダッシュボードの移行に備えます。

• 各ダッシュボードのすべての視覚化を確認します。 現在の SIEM のダッシュボードには、複数のグラフまたはパネルが含まれている場合があります。 不要な視覚化やデータを排除するには、短い一覧のダッシュボードの内容を確認することが重要です。

• ダッシュボードの設計と対話機能をキャプチャします。

• ユーザーにとって重要な設計要素を特定します。 たとえば、ダッシュボードのレイアウト、グラフの配置、グラフのフォント サイズや色などです。

• ドリルダウン、フィルター処理など、Azureブックに引き継ぐ必要があるその他の対話機能をキャプチャします。

• 必要なパラメーターまたはユーザー入力を特定します。 ほとんどの場合、ユーザーが結果 (日付範囲、アカウント名など) を検索、フィルター処理、またはスコープを実行するためのパラメーターを定義する必要があります。 そのため、パラメーターに関する詳細をキャプチャすることが重要です。 収集する主要なパラメーター要件の一部を次に示します。

  • ユーザーが選択または入力を実行するためのパラメーターの種類。 たとえば、日付範囲、テキストなどです。
  • ドロップダウン、テキスト ボックス、その他のパラメーターの表現方法。
  • 時刻、文字列、整数など、想定される値の形式。
  • 既定値などのその他のプロパティでは、複数選択、条件付き可視性などを許可します。

ダッシュボードの変換

ダッシュボードを変換するには、ブックとMicrosoft Sentinel Azureで次のタスクを実行します。

1. データ ソースを特定する

Azureブックは、多数のデータ ソースと互換性があります。 詳細については、「ブック データ ソースのAzure」を参照してください。 ほとんどの場合、Azure Monitor ログ データ ソースと Kusto 照会言語 (KQL) クエリを使用して、Microsoft Sentinel ワークスペース内の基になるログを視覚化します。

2. KQL クエリを構築または確認する

この手順では、主に KQL を使用してデータを視覚化します。 Azureブックに変換する前に、Microsoft Sentinelでクエリを構築してテストできます。 Azure portalのMicrosoft Sentinelからクエリをテストするには、[ログ] に移動します。 Defender ポータルのMicrosoft Sentinelから、調査 & 応答>Hunting>Advanced ハンティングに移動します。

KQL クエリを完了する前に、クエリのパフォーマンスを向上させるために、常にクエリを確認して調整します。 最適化されたクエリ:

• 実行時間を短縮し、クエリ実行の全体的な期間を短縮します。
• 調整または拒否される可能性が少ない。

詳細については、次のリソースを参照してください。

• KQL クエリのベスト プラクティス
• Azure モニター ログのクエリを最適化する
• KQL パフォーマンスの最適化 (ウェビナー)

3. ブックを作成または更新する

最初から始める必要がないように、ブックの作成、ブックの更新、または既存のブックの複製を行います。 また、データまたは視覚化の表現方法、配置方法、グループ化方法を指定します。 次の 2 つの一般的な設計があります。

• 垂直ブック
• タブ付きブック

詳細については、次の記事を参照してください。

• Microsoft Sentinelのブックを使用してデータを視覚化および監視する
• Azure ブックにグループを追加する

4. ブック パラメーターまたはユーザー入力を作成または更新する

この段階に到着するまでに、ブックに必要なパラメーターを特定しました。 パラメーターを使用すると、コンシューマーからの入力を収集し、ブックの他の部分で入力を参照できます。 この入力は通常、結果セットのスコープを設定し、正しい視覚化を設定するために使用され、対話型のレポートとエクスペリエンスを構築できます。

ブックを使用すると、パラメーター コントロールをコンシューマーに表示する方法を制御できます。 たとえば、コントロールをテキスト ボックスとドロップダウンのどちらとして表示するか、単一または複数選択として表示するかを選択します。 テキスト、JSON、KQL、Azure Resource Graphなど、使用する値を選択することもできます。

サポートされているブック パラメーターを確認します。 これらのパラメーター値は、バインドまたは値の拡張を使用して、ブックの他の部分で参照できます。

5. 視覚化を作成または更新する

ブックには、データを視覚化するための豊富な機能セットが用意されています。 各視覚化の種類の詳細な例を確認します。

• テキスト
• グラフ
• グリッド
• タイル
• 木
• グラフ
• Map
• 蜂蜜のくし
• 複合バー

6. ブックをプレビューして保存する

ブックを保存した後、パラメーターを指定し、結果を検証します。 また、 自動更新 や印刷機能を試して PDF として保存することもできます。

次の手順

この記事では、ダッシュボードをAzureブックに変換する方法について説明しました。