演習の概要
あなたは、Microsoft Sentinel を実装しようとしている会社で働いているセキュリティ運用設計者です。 コストを最小限に抑え、コンプライアンス規制を満たし、セキュリティ チームが日常の職務を遂行するのに最も管理しやすい環境を提供するという会社の要件を満たすように、Microsoft Sentinel 環境を設定する責任があります。 最初のタスクは、Microsoft Sentinel ワークスペースのデプロイです。 このソリューションでは、次の要件を満たす必要があります。
- Sentinel データが米国西部 Azure リージョンに保存されていることを確認します。
- すべての Sentinel 分析ログが 180 日間保持されていることを確認します。
- Operator1 にロールを割り当てて、Operator1 がインシデントを管理し、Sentinel プレイブックを実行できるようにします。 ソリューションでは、最小限の特権の原則を満たす必要があります。
演習の手順
タスク 1 - Log Analytics ワークスペースを作成する
リージョン オプションを含む Log Analytics ワークスペースを作成します。 詳細については、Microsoft Sentinel のオンボーディングを参照してください。
-
Microsoft Edge ブラウザーで、Azure portal (https://portal.azure.com ) に移動します。
注: ラボの [ユーザー名] と [パスワード] で [リソース] タブを選択してください。 このラボの LabUser-XXXXXXXX@LODSPRODXXX.onmicrosoft.com アカウントを使用します。
-
サインイン ダイアログ ボックスで、ラボ ホスティング プロバイダーの提供した管理者ユーザー名のテナント電子メール アカウントをコピーして貼り付け、[次へ] を選択します。
- パスワードの入力ダイアログ ボックスで、ラボ ホスティング プロバイダーの提供した管理者のテナント パスワードをコピーして貼り付け、サインインします。
-
Azure portal の検索バーに「Microsoft Sentinel」と入力し、選択します。
-
[+ 作成] を選択します。
-
[新しいワークスペースの作成] を選択します。
-
リソース グループとして [RG2] を選択します。
-
Log Analytics ワークスペースの一意の名前を入力します。
-
ワークスペースのリージョンとして [米国西部] を選択します。
-
[確認と作成] を新しいワークスペースを検証します。
- [作成] を選択して、ワークスペースをデプロイします。
タスク 2 - Microsoft Sentinel をワークスペースにデプロイする
Microsoft Sentinel をワークスペースにデプロイします。
-
ワークスペースのデプロイが完了したら、[最新の情報に更新] を選択して新しいワークスペースを表示します。
-
Sentinel を追加するワークスペース (タスク 1 で作成したもの) を選択します。
-
[追加] を選択します。
タスク 3 - データ保持を構成する
-
Microsoft Azure の “階層リンク” メニューで、[ホーム] を選択します。
-
Azure portal の検索バーで、「ログ分析」と入力し、タスク 1 で作成したワークスペースを選択します。
-
ナビゲーション メニューの [設定] セクションを展開し、[使用量と推定コスト] を選択します。
-
[データの保持期間] を選択します。
-
データ保持期間を 180 日に変更します。
-
[OK] を選択します。