【正しい順序】

1. ステップ 1: 診断設定 + ログ転送
2. ステップ 2: Workbook インポート
3. ステップ 3: アラート ルール作成
4. ステップ 4: Action Group + 自動化

【各ステップの理由】

• ステップ 1 診断設定 + ログ転送: Front Door の診断設定で FrontDoorWebApplicationFirewallLog を Log Analytics Workspace に送信します。これがすべての可視化とアラートの基盤となります。
• ステップ 2 Workbook インポート: Microsoft 公開の Front Door Workbook テンプレートをインポートし、検知傾向や攻撃元 Geo マップなどの可視化を一括で利用できるようにします。
• ステップ 3 アラート ルール作成: KQL クエリで重大度高 (Critical / Block) の検知数をしきい値監視するアラート ルールを作成します。
• ステップ 4 Action Group + 自動化: アラート通知 Action Group から Logic App / Function を呼び出し、IP ブロック追加や SOC 通知などの自動対応ランブックを実行します。

【誤った順序の問題点】

• Workbook を最初に作成: 診断ログが転送されていない状態で Workbook を見ても可視化対象データがなく、機能しません。
• アラートを診断設定前に作成: Log Analytics にログが届かないため、アラート条件が永遠に成立しません。

【参考】

Front Door 監視