演習の概要

あなたは、Microsoft Sentinel を実装した会社で働いているセキュリティ運用設計者です。 組織内の多くのデータ ソースからのログ データを接続する方法について学習する必要があります。 組織には、Microsoft 365、Microsoft Defender、Azure リソース、Azure 以外の仮想マシンからのデータがあります。 最も簡単な方法であるため、最初に Microsoft ソースを接続します。

演習の手順

タスク 1 - Microsoft Sentinel ワークスペースにアクセスする

このタスクでは、Microsoft Sentinel ワークスペースにアクセスします。

  1. 管理者として WIN1 仮想マシンにログインします。パスワードは Pa55w.rd です。

  2. Microsoft Edge ブラウザーを開きます。

  3. Edge ブラウザーで、Azure portal (https://portal.azure.com ) に移動します。

  4. サインイン ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供されたテナントの電子メール アカウントをコピーして貼り付け、[次へ] を選択します。

  5. [パスワードの入力] ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供されたテナントパスワードをコピーして貼り付け、[サインイン] を選択します。

  6. Azure portal の検索バーに「Sentinel」と入力してから、[Microsoft Sentinel] を選択します。

  7. 前のラボで作成した Microsoft Sentinel ワークスペースを選択します。

  8. 次のタスクに進みます。

タスク 2 - Microsoft Defender for Cloud データ コネクタを接続する

このタスクでは、Microsoft Defender for Cloud データ コネクタを接続します。

  1. Microsoft Sentinel の左側ナビゲーション メニューで、[コンテンツ管理] セクションまで下にスクロールし、[コンテンツ ハブ] を選択します。

  2. [コンテンツ ハブ] で、「Microsoft Defender for Cloud」ソリューションを検索し、一覧から選択します。

  3. Microsoft Defender for Cloud ソリューションの詳細ページで、[インストール] を選択します。

  4. インストールが完了したら、Microsoft Defender for Cloud ソリューションを検索して選択します。

  5. Microsoft Defender for Cloud ソリューションの詳細ページで、[管理] を選択します

    注: Microsoft Defender for Cloud ソリューションでは、サブスクリプションベースの Microsoft Defender for Cloud (レガシ) データ コネクタ、テナントベースの Microsoft Defender for Cloud (プレビュー) データ コネクタ、および分析ルールがインストールされます。 テナントに複数のサブスクリプションがある場合、テナント ベースの Microsoft Defender for Cloud (プレビュー) データ コネクタが使用されます。

  6. [サブスクリプション ベースの Microsoft Defender for Cloud (レガシ) データ コネクタ] チェックボックスをオンにし、[コネクタ ページを開く] を選択します。

  7. [構成] セクションの [手順] タブで、”Azure Pass - スポンサーシップ” サブスクリプションのチェックボックスをオンにし、[状態] オプションを右側にスライドさせます。

    注: 切断に切り替わった場合は、前提条件を確認し、データ コネクタを変更するための適切なアクセス許可が割り当てられていることを確認してください。

  8. [状態] が [接続済み] になり、[双方向の同期] が [有効] になるはずです。

タスク 3: 脅威インテリジェンス フィードを接続する

このタスクでは、Microsoft Defender 脅威インテリジェンス コネクタを設定します。

  1. Microsoft Sentinel の左側ナビゲーション メニューで、[コンテンツ管理] セクションまで下にスクロールし、[コンテンツ ハブ] を選択します。

  2. [コンテンツ ハブ] で、「脅威インテリジェンス」ソリューションを検索し、一覧から選択します。

  3. ソリューション ページで、[インストール] を選択します。

  4. インストールが完了したら、[管理] を選択します

  5. Microsoft Defender 脅威インテリジェンス (プレビュー) データ コネクタを選択し、[コネクタ ページを開く] を選択します。

  6. 構成手順で、インストールのボタンをクリックします。

タスク 4: Azure アクティビティ データ コネクタを接続する

このタスクでは、Azure Activity データ コネクタを接続します。

  1. Microsoft Sentinel の左側のメニューで、 [コンテンツ管理] セクションまで下にスクロールし、 [コンテンツ ハブ] を選択します。

  2. [コンテンツ ハブ] で、「Azure Activity」ソリューションを検索し、一覧から選択します。

  3. [Azure Activity] ソリューション ページで、 [インストール] を選択します。

  4. インストールが完了したら、 [管理] を選択します

    注: Azure Activity ソリューションでは、Azure Activity データ コネクタ、12 個の分析ルール、14 個のハンティング クエリ、1 つのブックがインストールされます。

  5. Azure Activity データ コネクタを選択し、 [コネクタ ページを開く] を選択します。

  6. [構成] 領域の [手順] タブで、”2. 診断設定の新しい…” まで下にスクロールし、 [[Azure Policy の割り当て] ウィザードの起動>] を選択します。

  7. [基本] タブで、[スコープ] の下にある省略記号ボタン […] を選択し、ドロップダウン リストから MOC Subscription-lodxxxxxxxx サブスクリプションを選択して、[選択] をクリックします。

  8. [パラメーター] タブを選択し、 [プライマリ Log Analytics ワークスペース] ドロップダウン リストから自分の uniquenameDefender ワークスペースを選択します。 このアクションにより、Log Analytics ワークスペースに情報を送信するサブスクリプション構成が適用されます。

  9. [修復] タブを選択し、 [修復タスクの作成] チェック ボックスをオンにします。 このアクションにより、既存の Azure リソースにポリシーが適用されます。

    : 修復タスクでは、既定の “米国東部” リージョンに “マネージド ID” が作成されます。 Log Analytics ワークスペースを別のリージョンに作成した場合は、リージョンを変更することができます。

  10. [確認および作成] ボタンを選択して構成を確認します。

  11. [作成] を選択して完了します。

演習 3 に進む