Microsoft Sentinel の異常検出分析ルールの検出結果をブックで可視化する設定をしてみる
2025.09.05Microsoft Sentinel では分析ルールとは別に、機械学習に基づいて以上を検知する異常検出分析ルール(Anomaly Rule)があります。今回はこの異常検出分析ルールの有効化とブックによる可視化を試してみたいと思います。
Microsoft Defender ポータルにおいて、異常検出分析ルールは「分析」画面の「異常」タブから確認できます。
本ブログでは、異常検出分析ルールを有効化(もしくは有効化状態であることを確認)して、SOC Handbook コンテンツに含まれるブックで異常の可視化をしてみます。
異常検出分析ルールの有効化
Microsoft Defender ポータルから異常検出分析ルールを有効化してみます(私の環境ではデフォルトで有効化されていました)。
「システム」の「設定」から「Microsoft Sentinel」を選択します。
「SIEM ワークスペース」設定に Defender XDR に接続している Log Analytics ワークスペースが表示されます。
Log Analytics ワークスペースをクリックして、「異常の検出」を有効化します。おそらく、既定で有効化されていると思います。
これで異常検出ルールの有効化は完了です。
「分析」画面の「異常」タブで異常検出分析ルールの一覧を確認できます。2025年8月21日時点では48個のルールがありました。
異常検出分析ルールはデフォルトですべて有効状態になっていますが、データソースに関するデータがある場合のみ検出されるようです。異常検出分析ルールについては下記の Microsoft Sentinel ブログで紹介されており、参考になりました。
なお、異常検出分析ルールが検出した内容はインシデントではなく、anomalies テーブルに記録される動作となります。
異常検出分析ルールの検出結果の可視化
毎回、 anomalies テーブルを検索するのは手間なので、異常検出分析ルールの検出内容を可視化できるブックが含まれているコンテンツ「SOC Handbook」をインストールして、ブックによる可視化を試してみます。
Microsoft Defender ポータルのコンテンツハブ画面を開き、「SOC Handbook」を選択してインストールします。
SOC Handbook には 13 個のブックが含まれています。この中の「AnomaliesVisulization」が異常検出分析ルールの可視化に関するブックです。
「ブック」画面の「テンプレート」タブにおいて、コンテンツハブからインストールしたブック一覧を確認できます。
「AnomaliesVisulization」を選択してマイブックとして「保存」します。マイブックに保存することで、カスタマイズができるようになります。
ブックを保存するリージョンを聞かれるので「Japan East」で進めます。
「マイブック」タブに表示されることを確認できました。
可視化された異常検出分析ルールを確認するために、マイブックの中から「AnomaliesVisulization」を選択して「保存されたブックの表示」を実行します。
今回試した検証環境はあまり使っていなこともあり、すぐには異常が検出されませんでした。
そのため、別の環境で AnomaliesVisulization ブックによる可視化を確認してみたところ、画像のようなイメージで可視化されていることを確認できました。
さいごに
Microsoft Sentinel の異常検出分析ルールを有効化して、ブックによる検出内容の可視化を試してみました。事前に可視化のテンプレートが用意されているのは、作り込みをせずによくて助かります。
以上、このブログがどなたかのご参考になれば幸いです。
![[登壇レポート] DevelopersIO 2024 SAPPORO で「AWSユーザーが知って得するAzureの基本:クラウドスキルの幅を広げる」というタイトルで登壇しました #devio2024](https://devio2024-media.developers.io/image/upload/v1720496630/user-gen-eyecatch/fr14hi2f5xbmjeeplpfo.png)
