この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

　こんにちは。パーソルプロセス＆テクノロジーの三浦です。

　今回はAzure Sentinel のログを可視化するブックの説明と、テンプレートを利用したブックの作成方法について説明します。

 

はじめに

　Azure Sentinelとは、オンプレからクラウドまで幅広く監視を行うことができるオールインワンな監視サービスです。AzureやOffice365、オンプレサーバなどからログを収集し、脅威の検出、インシデントの調査、自動対処を行うことができます。詳しくはこちらの記事をご参照ください。

　Azure Sentinel のブックとは、収集されたログを可視化する機能です。これにより、ログの発生状況をグラフで表すことが可能になります。また、どのリソースでインシデントが多発しているか、誰によってインシデントが多発しているかなどを分析でき、次なるインシデントを防ぐ手がかりとすることもできます。

 

テンプレートからブックを作成する

　Azure Sentinelには多数のブックテンプレートが用意されており、テンプレートからブックを作成することができます。

　今回、Azureアクティビティのブックテンプレートからブックを作成してみます。

　まず、Azure Portalで、Azure Sentinel の画面を開き、右のブレードからブックを選択します。

　テンプレートのタブから、テンプレートを選択します。今回はAzureアクティビティログを選択します。Azure アクティビティログは、Azure上でのユーザの動きを記録したログです。

　テンプレートの表示をクリックするとテンプレートの中身が表示されます。以下のようにグラフが表示されています。Azure アクティビティのブックには、リソースグループごとのアクティビティのグラフと、アクティビティの種類ごとの時系列変化のグラフが表示されています。

　上部の水色のプルダウンメニューはグラフのパラメータを表します。例えば、TimeRangeグラフの横軸の時間幅を表し、TimeRangeを過去24時間にすると下のように過去24時間までのグラフになります。

　ほかにも、Callerメニューで指定した特定のユーザのアクティビティのグラフを、ResourceGroupメニューで特定のリソースグループのアクティビティのグラフを表示することができます。

　ひとつ前の画面に戻り、保存をクリックすると、ブックが保存されます。

カスタマイズ方法

　保存したブックを目的に応じてカスタマイズすることができます。

　まず、テンプレートの画面から、保存されたブックをクリックします。

　上部の編集ボタンをクリックすると、各項目の下に編集ボタンが現れます。

　一番上の項目の編集ボタンをクリックすると下のような画面が表示されます。

　ここでは、グラフのパラメータ設定の変更が可能です。例えば、左下のTimeRangeを変更するとTimeRangeのデフォルト値を変更することができます。

　また、グラフの大きさの変更も可能です。例として、現在縦に並んでいるグラフの大きさを変更し、横に並べてみます。グラフの下の編集ボタンをクリックし、二つのグラフのスタイルを変更し、パーセント幅を50にすると、グラフが横に並びます。

　これ以外にも、グラフの種類の変更も可能です。

 

ブックを使用した分析の例

　パラメータを選択すると、リソースグループやユーザごとのアクティビティを見ることができます。これによって、どのユーザの行動がインシデントに結びついているか、どのリソースグループでインシデントが多発しているかなどを把握することができます。

 

おわりに

　今回は、テンプレートを利用したブックの作成方法について説明しました。ブックを利用することで、クエリなどを使うことなく、簡単にログを可視化できます。また、ユーザやリソースグループごとのログ分析など、簡単な分析も可能です。

　今回紹介したアクティビティログ以外にも様々なブックがあるので、ぜひ使ってみてください。