Azure Sentinel のブックを利用してログを可視化する

 こんにちは。パーソルプロセス&テクノロジーの三浦です。

 今回はAzure Sentinel のログを可視化するブックの説明と、テンプレートを利用したブックの作成方法について説明します。

 

はじめに

 Azure Sentinelとは、オンプレからクラウドまで幅広く監視を行うことができるオールインワンな監視サービスです。AzureやOffice365、オンプレサーバなどからログを収集し、脅威の検出、インシデントの調査、自動対処を行うことができます。詳しくはこちらの記事をご参照ください。

 Azure Sentinel のブックとは、収集されたログを可視化する機能です。これにより、ログの発生状況をグラフで表すことが可能になります。また、どのリソースでインシデントが多発しているか、誰によってインシデントが多発しているかなどを分析でき、次なるインシデントを防ぐ手がかりとすることもできます。

 

テンプレートからブックを作成する

 Azure Sentinelには多数のブックテンプレートが用意されており、テンプレートからブックを作成することができます。

 今回、Azureアクティビティのブックテンプレートからブックを作成してみます。

 まず、Azure Portalで、Azure Sentinel の画面を開き、右のブレードからブックを選択します。

 テンプレートのタブから、テンプレートを選択します。今回はAzureアクティビティログを選択します。Azure アクティビティログは、Azure上でのユーザの動きを記録したログです。

 テンプレートの表示をクリックするとテンプレートの中身が表示されます。以下のようにグラフが表示されています。Azure アクティビティのブックには、リソースグループごとのアクティビティのグラフと、アクティビティの種類ごとの時系列変化のグラフが表示されています。

 上部の水色のプルダウンメニューはグラフのパラメータを表します。例えば、TimeRangeグラフの横軸の時間幅を表し、TimeRangeを過去24時間にすると下のように過去24時間までのグラフになります。

 ほかにも、Callerメニューで指定した特定のユーザのアクティビティのグラフを、ResourceGroupメニューで特定のリソースグループのアクティビティのグラフを表示することができます。

 ひとつ前の画面に戻り、保存をクリックすると、ブックが保存されます。

カスタマイズ方法

 保存したブックを目的に応じてカスタマイズすることができます。

 まず、テンプレートの画面から、保存されたブックをクリックします。

 上部の編集ボタンをクリックすると、各項目の下に編集ボタンが現れます。

 一番上の項目の編集ボタンをクリックすると下のような画面が表示されます。

 ここでは、グラフのパラメータ設定の変更が可能です。例えば、左下のTimeRangeを変更するとTimeRangeのデフォルト値を変更することができます。

 また、グラフの大きさの変更も可能です。例として、現在縦に並んでいるグラフの大きさを変更し、横に並べてみます。グラフの下の編集ボタンをクリックし、二つのグラフのスタイルを変更し、パーセント幅を50にすると、グラフが横に並びます。

 これ以外にも、グラフの種類の変更も可能です。

 

ブックを使用した分析の例

 パラメータを選択すると、リソースグループやユーザごとのアクティビティを見ることができます。これによって、どのユーザの行動がインシデントに結びついているか、どのリソースグループでインシデントが多発しているかなどを把握することができます。

 

おわりに

 今回は、テンプレートを利用したブックの作成方法について説明しました。ブックを利用することで、クエリなどを使うことなく、簡単にログを可視化できます。また、ユーザやリソースグループごとのログ分析など、簡単な分析も可能です。

 今回紹介したアクティビティログ以外にも様々なブックがあるので、ぜひ使ってみてください。

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください