演習の概要

あなたは Microsoft Sentinel を実装した企業で働いているセキュリティ運用アナリストです。 組織内の多くのデータ ソースからのログ データを接続する方法について学習する必要があります。 データの次のソースは、オンプレミス環境や他のパブリック クラウドなど、Azure の内部および外部にある Windows 仮想マシンです。

演習の手順

タスク 1:Microsoft Sentinel ワークスペースにアクセスする

このタスクでは、Microsoft Sentinel ワークスペースにアクセスします。

  1. パスワードに Pa55w.rd を使用して、管理者として WIN1 仮想マシンにログインします。

  2. Microsoft Edge ブラウザーを開きます。

  3. Edge ブラウザーで、Azure portal (https://portal.azure.com ) に移動します。

    注: ラボの [ユーザー名][パスワード][リソース] タブを選択してください。 このラボの LabUser-XXXXXXXX@LODSPRODXXX.onmicrosoft.com アカウントを使用します。

  4. [サインイン] ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供されたテナントの電子メール アカウントをコピーして貼り付け、[次へ] を選択します。

  5. [パスワードの入力] ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供されたテナント パスワードをコピーして貼り付け、[サインイン] を選択します。

  6. Azure portal の検索バーに「Sentinel」と入力し、[Microsoft Sentinel] を選択します。

  7. 前のラボで作成した Microsoft Sentinel ワークスペースを選択します。

  8. 次のタスクに進みます。

タスク 2: Windows セキュリティ イベント ソリューションをインストールする

  1. Azure portal の検索バーに「Sentinel」と入力してから、[Microsoft Sentinel] を選択します。

  2. 先ほど作成した Microsoft Sentinel ワークスペースを選択します。

    1. Microsoft Sentinel の左側ナビゲーション メニューで、[コンテンツ管理] セクションまで下にスクロールし、[コンテンツ ハブ] を選択します。

  4. [コンテンツ ハブ] で、「Windows セキュリティ イベント」ソリューションを検索し、一覧から選択します。

  5. “Windows セキュリティ イベント” のソリューション ページで、 [インストール] を選択します。**

  6. インストールが完了したら、 [管理] を選択します

    注: “Windows セキュリティ イベント” ソリューションでは、”AMA を使用した Windows セキュリティ イベント” と “レガシ エージェントを使用したセキュリティ イベント” データ コネクタの両方がインストールされます。** ** ** さらに、2 つのブック、20 個の分析ルール、43 個のハンティング クエリがインストールされます。

  7. “AMA を使用した Windows セキュリティ イベント” データ コネクタを選択し、コネクタ情報ブレードの [コネクタ ページを開く] を選択します。**

次のタスクでは、データ収集規則 (DCR) を作成し、それに Microsoft Azure Windows 仮想マシンを追加することで、このコネクタを設定します。

タスク 3: Azure Windows 仮想マシンを Microsoft Sentinel に接続する

  1. Azure portal の検索バーに「Sentinel」と入力し、[Microsoft Sentinel] を選択します。

  2. 先ほど作成した Microsoft Sentinel ワークスペースを選択します。

  3. Microsoft Sentinel の左側ナビゲーション メニューで、[構成] まで下にスクロールし、[データ コネクタ] を選択します。

  4. 前の演習で作成した AMA コネクタ経由の Windows セキュリティ イベントを探します。

  5. AMA データ コネクタ経由の Windows セキュリティ イベントを選択し、コネクタ情報ブレードの [コネクタ ページを開く] を選択します。

  6. [構成] セクションの [手順] タブで、 [データ収集ルールの作成] を選択します。

  7. ルール名に「AZWINDCR」と入力して、 [次へ: リソース] を選択します。

  8. [+ リソースの追加] を選択し、作成した仮想マシンを選択します。

  9. MOC Subscription-lodxxxxxxxx サブスクリプションと RG2 リソース グループを展開し、VM1 を選択します。

  10. [次へ: 接続] を選択します。

  11. 別のセキュリティ イベント コレクション オプションを確認します。 [すべてのセキュリティ イベント] のままにして、 [次へ: 確認と作成] を選びます。**

  12. [作成] を選んで、データ収集ルールを保存します。

  13. 新しいデータ収集規則が一覧表示されるまで数分かかります。 必要に応じて [最新の情報に更新] を選択できます。 ベル通知アイコンを選択することで、規則作成の進行状況を確認できます。 規則の作成により、VM1 仮想マシンに AMA エージェント拡張機能が “正常にインストールされた” ことがわかるはずです。

演習 4 に進む