次の方法で共有

Microsoft Sentinel でブックを使用してデータを視覚化および監視する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel にデータ ソースを接続した後、Microsoft Sentinel のブックを使ってデータを可視化し、監視します。 Microsoft Sentinel のブックは、Azure Monitor のブックが基になっており、ログとクエリに関する分析を含むテーブルとグラフを、Azure で既に使用できるツールに追加します。

Microsoft Sentinel では、自分のデータについてのカスタム ブックを作成したり、パッケージ化されたソリューションやコンテンツ ハブからのスタンドアロン コンテンツで利用できる、既存のブック テンプレートを使ったりできます。 各ブックは他のものと同様に Azure リソースであり、Azure ロールベースのアクセス制御 (RBAC) をそれに割り当てて、アクセスできるユーザーを定義および制限できます。

この記事では、ブックを使用して Microsoft Sentinel でデータを視覚化する方法について説明します。 Defender ポータルでブックを直接編集すると、プレビューになります。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます

Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。

前提条件

  • Microsoft Sentinel ワークスペースのリソース グループに対して、少なくともブックの閲覧者またはブックの共同作成者のアクセス許可が必要です。

    Microsoft Sentinel に表示されるブックは、Microsoft Sentinel ワークスペースのリソース グループ内に保存され、作成されたワークスペースごとにタグ付けされます。

  • ブック テンプレートを使用するには、ブックを含むソリューションをインストールするか、コンテンツ ハブからスタンドアロン アイテムとしてブックをインストールします。 詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。

  • Defender ポータルで Azure Data Explorer データ ソースを使用している場合は、必ず Defender ポータルから Azure Data Explorer を構成して認証してください。

テンプレートからブックを作成する

コンテンツ ハブからインストールされたテンプレートを使用して、ブックを作成します。

  1. Microsoft Sentinel で、[ 脅威の管理] > [ブック] を選択します。

  2. [ブック] ページ 、[ テンプレート ] タブを選択して、インストールされているブック テンプレートの一覧を表示します。 テンプレートを選択すると、その詳細が表示されます。

    一部のブックでは、機能するために特定のデータ接続が必要です。 ブックを保存する前に、[ 必須データ型 ] フィールドを確認して、その種類のデータが取り込まれたことを確認します。

    次に例を示します。

  3. 詳細ウィンドウで [ 保存] を選択し、ブックを保存する場所を選択します。 このアクションにより、関連するテンプレートに基づいて、選択した場所に Azure リソースが作成されます。 ブックの JSON ファイルのみがこの場所に保存され、データは保存されません。

  4. 詳細ウィンドウで、[ 保存したブックの表示 ] を選択して編集用に開きます。

  5. ブックを開いた状態で 、[編集] を選択して、必要に応じてブックをカスタマイズします。

    保存されたブックを示すスクリーンショット。

    Defender ポータルで作業する場合、一部の視覚化は Azure portal でのみ表示できます。 このような場合は、[ Azure で開く ] を選択して、Azure portal でブックを開きます。

    たとえば、TimeRange フィルターを選ぶと、現在の選択とは異なる時間範囲のデータが表示されます。 ブックの特定の領域を編集するには、[編集] を選ぶか省略記号 ([...]) を選んで、要素を追加したり、領域を移動、複製、または削除したりします。

    ブックを複製するには、[名前を付けて保存] を選びます。 同じサブスクリプションとリソース グループの下に、複製を別の名前で保存します。 複製されたブックは、Microsoft Sentinel > Threat Management > Workbooks ページの [マイ ブック] タブにも表示されます。

  6. 完了したら、[ 編集完了 ] を選択して変更を保存します。

詳細については、以下を参照してください:

新しいブックを作成する

Microsoft Sentinel でブックを一から作成します。

  1. Microsoft Sentinel で、[ ブック > 脅威管理] を選択し、[ ブックの追加] を選択します。

  2. ブックを編集するには、 [編集] を選択し、必要に応じてテキスト、クエリ、およびパラメーターを追加します。

    ブックをカスタマイズする方法の詳細については、「Azure Monitor ブックを使用した対話型レポートの作成」を参照してください。

    新しいブックを示すスクリーンショット。

  3. クエリを作成するときに、[データ ソース][ログ] に、[リソース タイプ][Log Analytics] に設定してから、1 つ以上のワークスペースを選択します。

    クエリでは、組み込みのテーブルではなく、Advanced Security Information Model (ASIM) パーサーを使用することをお勧めします。 クエリにより、単一のデータ ソースではなく、現在または未来に使用する関連するデータ ソースがサポートされます。

  4. 編集が完了したら、[編集 の完了] を選択し、[ 保存] を選択します。 サイド ウィンドウで、ブックのわかりやすい名前を入力し、ワークスペースのサブスクリプションとリソース グループを選択します。

  5. Azure portal で作業する場合は、ブックをくアイコンを選択してワークスペース内のブックを切り替えます。ブックのツール バーにあります。 この画面は、切り替えることができる他のブックの一覧に切り替わります。

    開くブックを選択します。

    ブックを切り替える方法を示すスクリーンショット。

ブックの新しいタイルを作成する

Microsoft Sentinel のブックにカスタム タイルを追加するには、最初に Log Analytics でタイルを作成します。 詳しくは、Log Analytics でのビジュアル データに関する記事をご覧ください。

タイルを作成したら、[ピン留め] を選んでから、タイルを表示するブックを選びます。

ブック データの更新

ブックを更新して、更新されたデータを表示します。 ツールバーで、次のいずれかのオプションを選択します。

  • 更新して、ブックのデータを手動で更新します。

  • 自動更新は、構成された間隔で自動的に更新するようにブックを設定します。

    • サポートされる自動更新間隔の範囲は 5 分から 1 日です。

    • ブックの編集中は自動更新が一時停止します。間隔は、編集モードから表示モードに戻るたびに再起動されます。

    • データを手動で更新すると、自動更新の間隔も再起動されます。

    既定では、自動更新はオフになっています。 自動更新をオンにした場合は、ノートブックを閉じてパフォーマンスを最適化し、バックグラウンドで実行されないようにするたびに、自動更新が再びオフになります。 次にブックを開いたときに、必要に応じて自動更新をオンにしてください。

ブックを印刷する、または PDF として保存するには、ブックのタイトルの右側にあるオプション メニューを使用します。 これらのオプションは、Azure portal でのみ使用できます。 Defender ポータルで作業している場合は、[ Azure で開く ] を選択して、Azure portal でブックを開きます。

  1. オプション >[コンテンツを印刷する] を選択します。

  2. 印刷画面で、必要に応じて印刷設定を調整するか、 [PDF として保存] を選択してローカルに保存します。

    次に例を示します。

    ブックを印刷する方法、または PDF として保存する方法を示すスクリーンショット。

1 つ以上のブックを削除する

[マイ ブック] タブから、保存したテンプレートとカスタマイズされた ブックの両方を 削除できます。テンプレート自体は削除できません。

ブックを削除するには、[マイ ブック] タブで ブック を選択し、[削除] を選択 します。 この操作により、ブック リソースとテンプレートに加えた変更が削除されます。 元のテンプレートは引き続き使用できます。

ブックに関する推奨事項

このセクションでは、Microsoft Sentinel でブックを使用するための基本的な推奨事項について説明します。

Microsoft Entra ID のブックを追加する

Microsoft Sentinel で Microsoft Entra ID を使う場合は、Microsoft Sentinel 用の Microsoft Entra ソリューションをインストールして、次のブックを使うことをお勧めします。

  • Microsoft Entra サインインは、時間の経過と共にサインインを分析し、異常があるかどうかを表示します。 このブックには、アプリケーション、デバイス、および場所ごとに失敗したサインインが示されるため、異常が発生した場合は一目でわかります。 複数の失敗したサインインに注意してください。
  • Microsoft Entra 監査ログでは、ユーザーの変更 (追加、削除など)、グループの作成、変更などの管理アクティビティを分析します。

ファイアウォールのブックを追加する

ファイアウォール用のブックを追加するには、コンテンツ ハブから適切なソリューションをインストールすることをお勧めします。

たとえば、Microsoft Sentinel 用の Palo Alto ファイアウォール ソリューションをインストールして、Palo Alto ブックを追加します。 このブックでは、ファイアウォールのトラフィックを分析し、ファイアウォールのデータと脅威イベントの間の相関関係を示し、エンティティ全体の疑わしいイベントを強調表示します。

Palo Alto ブックのスクリーンショット。

さまざまな用途に異なるブックを作成する

ペルソナの役割と目的に基づいて、ブックを使うペルソナの種類ごとに異なる視覚化を作成することをお勧めします。 たとえば、ファイアウォール データを含むネットワーク管理者用のブックを作成します。

または、確認する頻度、毎日確認することがあるかどうか、1 時間に 1 回確認する必要がある項目などに基づいて、ブックを作成します。 たとえば、Microsoft Entra のサインインを 1 時間ごとに調べて、異常を見つけることが必要な場合があります。

数週間のトラフィックの傾向を比べる視覚エフェクトを作成するには、次のクエリを使います。 環境に応じて、クエリを実行するデバイス ベンダーとデータ ソースを切り替えます。

次のサンプル クエリでは、Windows の SecurityEvent テーブルを使っています。 他のファイアウォールでは、AzureActivity または CommonSecurityLog テーブルで実行するように切り替えることができます。

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

複数のソースからのデータを使うサンプル クエリ

複数のソースからのデータを組み込んだクエリを作成することをお勧めします。 たとえば、作成された新しいユーザーの Microsoft Entra 監査ログを調べてから、Azure ログをチェックして作成後 24 時間以内にユーザーがロールの割り当ての変更を始めたかどうかを確認するクエリを作成します。 その疑わしいアクティビティは、次のクエリを使って視覚エフェクトに表示されます。

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

上の例で使用されている次の項目の詳細については、Kusto ドキュメントを参照してください。

KQL の詳細については、「Kusto 照会言語 (KQL) の概要」を参照してください。

その他のリソース:

Defender ポータルでのブックの編集に関する既知の問題 (プレビュー)

Defender ポータルでブックを直接編集することは現在プレビュー段階であり、現在、次の既知の問題が含まれています。

  • ポータルがダーク モードに設定されている場合でも、詳細エディターがライト モードで表示される場合があります。
  • Defender ポータルでブックを編集する場合、カスタム エンドポイント データはサポートされていません。
  • ブック内のブックは、Defender ポータルでの編集ではサポートされていません。
  • Defender ポータルのブックでは、読み取り専用共有はサポートされていません。
  • 人魚図は、Defender ポータルでブックを編集するためにサポートされていません。

詳細については、以下を参照してください: