チュートリアル: Microsoft Entra ID 用のカスタムブックを作成する

このチュートリアルでは、以下の内容を学習します。

[前提条件]

Log Analytics を使用してアクティビティログを分析するには、以下のロールと要件が必要です。

Microsoft Entra の監視と健全性ライセンス
Log Analytics ワークスペースを作成するためのアクセス
Azure Monitor の適切な役割について以下に述べる。
- 監視リーダー
- Log Analytics 閲覧者
- モニタリング貢献者
- Log Analytics 共同作成者
Microsoft Entra ID の適切な役割:
- レポートリーダー
- セキュリティビューア
- グローバルリーダー
- セキュリティ管理者

Log Analytics ワークスペースをまだ作成していない場合は、「 Log Analytics ワークスペースの構成」チュートリアルを完了してください。

Kusto クエリ言語 (KQL) を使用してデータに対してクエリを実行するだけでなく、さらに分析とアラートを生成するためのカスタムブックを作成することもできます。ブックを作成または更新するための最小限の特権ロールは、 セキュリティ管理者 ロールです。

Entra ID>監視とヘルス>ワークブック に移動します。
[クイックスタート] セクションで、[空] を選択します。
[ 追加 ] メニューの [ テキストの追加] を選択します。
テキストボックスに「 # Client apps used in the past week 」と入力し、[ 編集完了] を選択します。
テキストウィンドウの下にある [追加 ] メニューを開き、[ クエリの追加] を選択します。
クエリテキストボックスに「SigninLogs | where TimeGenerated > ago(7d) | project TimeGenerated, UserDisplayName, ClientAppUsed | summarize count() by ClientAppUsed」と入力します。
[ クエリの実行] を選択します。
ツールバーの [視覚化 ] メニューから [ 円グラフ] を選択します。
ページの上部にある [ 編集完了] を選択します。
保存アイコンを選択してブックを保存します。
表示されるダイアログボックスで、タイトルを入力し、リソースグループを選択して、[ 適用] を選択します。

Kusto クエリをワークブックに追加することができます。この例は、条件付きアクセスポリシーが適用された成功したサインインと失敗したサインインの分布を示すクエリに基づいています。ブックを作成または更新するための最小限の特権ロールは、 セキュリティ管理者 ロールです。

Entra ID>監視とヘルス>ワークブック に移動します。
[ 条件付きアクセス ] セクションで、[ 条件付きアクセスの分析情報とレポート] を選択します。
ツールバーの [編集] を選択 します。
ツールバーで、[編集] ボタンの横にある 3 つのドットを選択し、[ 追加]、[ クエリの追加] の順に選択します。
クエリテキストボックスに「SigninLogs | where TimeGenerated > ago(20d) | where ConditionalAccessPolicies != "[]" | summarize dcount(UserDisplayName) by bin(TimeGenerated, 1d), ConditionalAccessStatus」と入力します。
[ クエリの実行] を選択します。
[ 時間範囲 ] メニューの [ クエリで設定] を選択します。
[視覚化] メニューから [横棒グラフ] を選択します。
[ 詳細設定] を選択します。
[ グラフのタイトル ] フィールドに「 Conditional Access status over the last 20 days 」と入力し、[ 編集完了] を選択します。