Microsoft Power BI は、多くの点で次世代の Excel と言えるでしょう。Excel と同様に、ビジネスアナリストやデータエンジニアだけでなく、IT プロフェッショナルも大量のデータを理解するために活用できます。現在使用しているセキュリティツールに、システムで何が起こっているかを一目で把握できる適切なダッシュボードやレポートがない場合でも、Power BI でそれらを自分で構築できます。分析の専門家でなくても、役立つツールを作成できます。
たとえば、Microsoft Power BI を使用すると、ほとんどの組織が使用する多数のセキュリティ ツールからのデータを統合できるため、攻撃者が調査するさまざまなシステム (電子メール、ID、エンドポイント、アプリケーションなど) 全体で何が起こっているかを把握し、攻撃のさまざまな段階を特定できます。
参照: Microsoft 365 チートシートをダウンロードしてください。
カスタムセキュリティダッシュボード
Power BIのメリットは、重要な情報に最適なレポートと可視化を簡単に作成できることに加え、AIを活用した分析機能によってデータ内の異常値や外れ値を検出し、ハイライト表示できることです。セキュリティチームは、終わりのないToDoリストに追われ、常に忙しく、取り組むべき最も重要な課題を優先する方法を模索しています。
「ほんの少しのトレーニングで、コンプライアンス、監査、セキュリティ報告に本当に役立つ詳細かつインタラクティブなレポートを作成できるようになった」と、Microsoft Fabric のテクニカル フェロー兼最高技術責任者である Amir Netz 氏は TechRepublic に語った。
レポートのモバイル バージョンを作成できるため、営業時間外に迅速に評価する必要があるインシデントが発生した場合に簡単に確認できます。
Windows セキュリティ更新ダッシュボードを作成する
様々なセキュリティツール向けのPower BIコンテンツパックがあり、MicrosoftのセキュリティツールのいくつかにはAPIが用意されているため、それらの情報をPower BIに取り込んで視覚化することができます。Microsoft Defender for Endpointには、ソフトウェアインベントリ、ソフトウェアの脆弱性、構成ミスが検出されたデバイス(未適用のWindowsセキュリティ更新プログラムを含む)に関する脅威と脆弱性のデータにアクセスするためのAPIが用意されています(図A)。
図A
こうすることで、組織がどれだけの CVE にさらされているかを監視したり、組織全体でどれだけの新しいソフトウェアがインストールされているかを確認したり、さらされているデバイスの優先順位リストを取得したり、脆弱なデバイスが実行している OS バージョンを確認したりすることができ、必要な指標や問題をすべてすぐに把握できるようになります。
参照: TechRepublic Premium の Microsoft Power BI 開発者採用キットを活用してください。
ダッシュボードに表示する内容を選択する
Netz 氏は、デバイスと問題の比較数をすばやく確認するためにツリーマップ ビジュアルを使用したり、さまざまな主要な指標をランク付けする単純な棒グラフを使用することを提案しています。
「一目で影響の相対的な大きさが分かります」とネッツ氏は述べた。「Bingマップのビジュアルは、特定の活動の地理的分布を示すのにも非常に効果的です。」
スライサーを追加すると、オペレーティング システムなど、関心のある項目をすばやくフィルター処理することができ、ビジュアルが更新されてそのデータだけが表示されます (図 B )。
図B
Power BI ダッシュボードをカスタマイズするその他の方法は次のとおりです。
- 多くのビジュアルを含む詳細なレポートが必要な場合もあれば、携帯電話ですぐに確認できる主要な数値だけが必要な場合もあるでしょう。
- Microsoft Defender チームは、ファイアウォール、ネットワーク、攻撃対象領域、脅威管理レイアウトを含む便利な Power BI Defender レポート テンプレートのリポジトリを運営しています。
- 多数のデバイスがある場合は、時間をかけてクエリの範囲を絞り、クエリを最適化してください。そうすることで、実際に必要な量よりも多くのデータを取得して Power BI レポートの速度が低下することがなくなります。
- セキュリティ データを長期にわたって振り返ってパターンを確認し、導入したセキュリティ ポリシーが効果を上げているかどうかを確認したいのか、それとも Power BI が IoT デバイスに対して提供できるのと同じ種類のリアルタイムの概要を探しているのかに応じて、完全なスナップショットを取得することも、最後にデータを取得してからの変更のみを取得することもできます。
- Power BI Desktop のクエリで、Microsoft Graph セキュリティ API の Microsoft Defender 365 から Advanced Hunting API に接続することもできます。
「お客様によっては、よりリアクティブで、日次/週次スナップショットを確認することに満足している一方で、よりリアルタイムな監視を求めるお客様もいらっしゃいます」とNetz氏は述べています。Microsoft Power BIを使えば、どちらのタイプのレポートも、必要なときに素早く作成できます。
Power BI で Power BI を監視する
Microsoft Power BI は組織内のほぼすべてのデータ ソースに接続できるため、データや視覚化にアクセスしているユーザーを追跡し、重要なビジネス情報や機密性の高いビジネス情報にアクセスできるのは想定されるユーザーだけであることを確認する必要があります。
Microsoft Power BI に組み込まれたロールベースのアクセスにより、検出、分類、機密ラベルを設定しておけば、Microsoft Purview Information Protection と同様に、適切な従業員のみが情報を見ることができるようになります。
しかし、Fabric管理者ロールを使用すると、管理者はグローバル管理者でなくても、ダッシュボード、レポート、データセットを誰が閲覧しているかを把握できます。Power BIワークスペースとアーティファクトに対するユーザーのアクセス権限を監視することで、IT部門はユーザーが監査およびセキュリティ要件を遵守していることを確信できるとNetz氏は述べています。
Power BIとMicrosoft Defender for Cloud Appsの統合により、あらゆる重要な企業資産に対して同様のセキュリティ対策が可能になります。Defender for Cloud Appsでは、Microsoft Entra ID(Azure Active Directoryの新名称)からリアルタイムで適用できる条件付きアクセスポリシーを作成できます。Defender for Cloud Appsポータルでは、ポリシーの設定やアラートの受信が可能で、以下のことが可能です。
- ユーザーが機密レポートからデータをコピーして貼り付けることを防ぎます。
- 複数のドキュメントの機密レベルを下げている人を探します。
- これまでレポートを送信したことのない新しい外部メール アドレスを使用して、多数のレポートを共有しているユーザーや機密性の高いレポートを共有しているユーザーを探します。
「Microsoft Defender for Cloud Apps を利用することで、組織は管理対象外デバイスからのユーザーアクセスなど、リスクの高い Power BI セッションをリアルタイムで監視・制御できます」と Netz 氏は述べています。「セキュリティ管理者は、機密情報を含むレポートのダウンロードなど、ユーザーアクションを制御するポリシーを定義できます。Power BI との統合により、監視ポリシーと異常検出を設定し、アクティビティログで Power BI ユーザーアクティビティを拡張できます。」
これにより、Power BI データを使用して重要なビジネス システムを見つけ、別のツールでデータを盗み出す悪意のある内部者などのパターンを見つけるのに役立ちます。
「当社は、API と Microsoft 365 コンプライアンス センター経由で、過去 30 日間の生の監査ログ データを提供しています」と Netz 氏は述べています。
こうすることで、カスタム セキュリティ ダッシュボードのいずれかに疑わしい点が見つかった場合、戻って同時に他に何が起こっていたかを確認することができます。
