Visual Studio Code 用の Microsoft Sentinel 拡張機能を使用して、特定の時間または間隔で実行するスケジュールされたジョブを作成できます。 ジョブを使用すると、データ処理タスクを自動化して、Microsoft Sentinel データ レイク内のデータを集計、変換、または分析できます。 ジョブは、データを処理し、結果をレイク層または分析層のカスタム テーブルに書き込む場合にも使用されます。
権限
Microsoft Entra ID ロールは、データ レイク内のすべてのワークスペースに広範なアクセスを提供します。 ジョブを作成してスケジュールし、すべてのワークスペースでテーブルを読み取り、分析層とレイク層に書き込むには、サポートされている Microsoft Entra ID ロールのいずれかが必要です。 ロールとアクセス許可の詳細については、「 Microsoft Sentinel のロールとアクセス許可」を参照してください。
分析レベルで新しいカスタム テーブルを作成するには、Data Lake マネージド ID に Log Analytics ワークスペースの Log Analytics 共同作成者 ロールを割り当てる必要があります。
ロールを割り当てるには、次の手順に従います。
- Azure portal で、ロールを割り当てる Log Analytics ワークスペースに移動します。
- 左側のナビゲーション ペインで [アクセス制御 (IAM)] を選択します。
- [ロールの割り当ての追加] を選択します。
- [ロール] テーブルで、[Log Analytics 共同作成者] を選択し、[次へ] を選択します。
- [ マネージド ID] を選択し、[ メンバーの選択] を選択します。
- データ レイク マネージド ID は、
msg-resources-<guid>という名前のシステム割り当てマネージド ID です。 マネージド ID を選択し、[選択] ボタンをクリックします。 - 「Review and assign」を選択します。
マネージド ID へのロールの割り当ての詳細については、 Azure portal を使用した Azure ロールの割り当てに関するページを参照してください。
ジョブの作成とスケジュール設定
ジョブは、次の 3 つの方法のいずれかで作成できます。
ノートブック エディターで、ツール バーから [スケジュール ジョブの作成 ] を選択します。
[エクスプローラー] ウィンドウで、ノートブック ファイルを右クリックし、[Microsoft Sentinel] を選択し、[スケジュール ジョブの作成] を選択します。
ジョブの一覧から、 + アイコンを選択して新しいジョブを作成します。
[ 既存のノートブックを使用して 既存のノートブック ファイルを選択する] を選択するか、[ 新しいノートブックの作成 ] を選択してジョブ用の新しいノートブック ファイルを作成します。
[ ジョブの構成 ] ページの [ ジョブの詳細 ] セクションに、ジョブの 名前 と 説明 を入力します。
ジョブのコンピューティングニーズに応じてジョブを実行する Spark プールのサイズを選択します。
スケジュールなしでジョブを手動で実行するには、[スケジュール] セクションで[オンデマンド] を選択し、[送信] を選択してジョブ構成を保存し、ジョブを発行します。
ジョブのスケジュールを指定するには、[スケジュール] セクションで [スケジュール] を選択します。
ジョブの 繰り返し頻度 を選択します。 [ 分単位]、[ 毎時]、[ 週単位]、[ 日単位]、[ 月単位] から選択できます。
選択した頻度に応じて、スケジュールを構成するための追加のオプションが表示されます。 たとえば、曜日、時刻、月の日などです。
スケジュールを開始する開始時間を選択してください。
スケジュールの実行を停止するための 終了時刻 を選択します。 スケジュールの終了時刻を設定しない場合は、[ ジョブを無期限に実行するように設定] を選択します。 日付と時刻は、ユーザーのタイムゾーン内にあります。
[ 送信] を選択してジョブ構成を保存し、ジョブを発行します。
ジョブを表示するには、左側のツール バーにある Microsoft Sentinel シールド アイコンを選択します。 [ジョブ] パネルに ジョブ が表示されます。
ジョブを選択すると、ジョブの詳細が表示されます。
[ 今すぐ実行] を選択してジョブをすぐに実行したり、ジョブ スケジュールを無効にして有効にしたり、ジョブを削除したりできます。
[ 実行履歴 ] タブでジョブ履歴を表示します。
アクティビティを選択すると、詳細が表示されます。
送信されたジョブを編集する
ジョブを送信すると、ノートブック ファイル、ジョブ構成、およびスケジュールを含むジョブ定義が作成されます。 ジョブ定義は VS Code エディターからアップロードされ、Microsoft Sentinel データ レイクに格納されます。 送信されると、ジョブはローカル ファイル システム上のノートブック ファイルに接続されなくなります。 ノートブック ジョブのコードを編集する場合は、ジョブ定義をダウンロードし、ノートブック ファイルを編集してから、ジョブを再送信する必要があります。
送信されたジョブを編集するには、次の手順に従います。
[ ジョブ ] セクションで、編集するジョブを選択します。
[クラウドの ダウンロード ] アイコンを選択して、ジョブ定義をローカル ファイル システムにダウンロードします。 ジョブの詳細エディターで、ジョブの構成を確認できます。 [ 最新のノートブックのダウンロード] を選択することもできます。
![VS Code の [ジョブの編集とダウンロード] アイコンを示すスクリーンショット。](media/notebook-jobs/edit-download-job.png)
ダウンロードした
ipynbワークブックを編集して、変更を加えます。[ジョブの 詳細 ] タブに戻り、[ ジョブの編集] を選択します。
ジョブ名、説明、クラスター構成、およびスケジュールを編集します。 ジョブ名を変更すると、ジョブの送信時に新しいジョブ定義が作成されます。
[ 送信] を選択して、更新されたノートブック ファイルとジョブ構成をアップロードします。
ジョブが正常に送信されると、確認メッセージが表示されます。
![VS Code の [jib の編集] ページを示すスクリーンショット。](media/notebook-jobs/edit-job.png)
![VS Code の [ジョブの編集とダウンロード] アイコンを示すスクリーンショット。](media/notebook-jobs/edit-download-job.png#lightbox)
![VS Code の [jib の編集] ページを示すスクリーンショット。](media/notebook-jobs/edit-job.png#lightbox)
Microsoft Defender ポータルでジョブを表示する
VS Code でジョブを表示するだけでなく、Defender ポータルでノートブック ジョブを表示することもできます。 Defender ポータルでジョブを表示するには、[Microsoft Sentinel>データ レイク エクスプロレーション>ジョブ] を選択します。
このページには、ジョブとその種類の一覧が表示されます。 ノートブック ジョブを選択すると、その詳細が表示されます。 ジョブのスケジュールを有効または無効にすることはできますが、Defender ポータルでノートブック ジョブを編集することはできません。
![Defender ポータルの [ジョブ] ページを示すスクリーンショット。](media/notebook-jobs/view-jobs-in-defender-portal.png#lightbox)
- ジョブを選択して、ジョブの詳細を表示します。
- [ 履歴の表示] を選択して、ジョブ実行の履歴を表示します。
サービス のパラメーターと制限とトラブルシューティング
Microsoft Sentinel データ レイクのサービス制限の一覧については、 Microsoft Sentinel Data Lake サービスの制限に関する説明を参照してください。
トラブルシューティングの詳細については、「 Microsoft Sentinel Data Lake でノートブックを実行する」を参照してください。