演習の概要

あなたは Microsoft Sentinel を実装した企業で働いているセキュリティ運用アナリストです。 Azure Sentinel を使って脅威を検出および軽減する方法を学習する必要があります。 データ ソースを Microsoft Sentinel に接続した後、環境内の脅威や異常な動作を検出するのに役立つカスタム分析ルールを作成します。

分析ルールでは、環境全体にわたる特定のイベントまたは一連のイベントを検索したり、特定のイベントしきい値または条件に達したときはユーザーに警告したり、SOC でトリアージと調査を行うためのインシデントを生成したり、自動化された追跡および修復プロセスを使用して脅威に対応したりします。

演習の手順

タスク 1:スケジュールされたクエリの作成

このタスクでは、スケジュールされたクエリを作成し、それを前の演習で作成した Teams チャンネルに接続します。

  1. 管理者として WIN1 仮想マシンにログインします。パスワードはPa55w.rd

  2. [サインイン] ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供されたテナントの電子メール アカウントをコピーして貼り付け、 [次へ] を選択します。

  3. [パスワードの入力] ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供されたテナントのパスワードをコピーして貼り付け、 [サインイン] を選択します。

  4. Azure portal の検索バーに「Sentinel」と入力してから、[Microsoft Sentinel] を選択します。

  5. Microsoft Sentinel ワークスペースを選択します。

  6. 構成領域から [分析] を選択します。

  7. コマンド バーの [規則のテンプレート] タブにいることを確認し、 [New CloudShell User] (新しい CloudShell ユーザー) 規則を検索します。**

  8. “新しい CloudShell ユーザー” というルール テンプレートを選択して右クリックで開き、[+ ルールの作成] ボタンを選択して分析ルール ウィザードを開きます。

    注: “新しい CloudShell ユーザー” のルール テンプレートで省略記号アイコン ([…]) を選択して、[+ ルールの作成] ウィザードを開くこともできます。

  9. ルールの概要ブレードで、 [データ ソース: Azure アクティビティ] の下にある緑色のアイコンを調べて、データを受信していることを確認します。

>**Note:** If you do not see it in a connected state, make sure you completed Task 3 of the Learning Path 6 Lab, Exercise 1. --->

  1. [ルールの作成] を選んで続けます。

  2. 分析ルール ウィザードの [全般] タブで、[重大度] を [中] に変更します。** **

  3. [次へ: ルール ロジックを設定 >] ボタンを選択します。

  4. ルール クエリで、 [クエリ結果の表示] を選びます。 結果やエラーは表示されないはずです。

  5. 右上の [X] を選択して [ログ] ウィンドウを閉じ、 [OK] を選択して変更を破棄して保存し、ウィザードに戻ります。

  6. 下にスクロールし、 [クエリのスケジュール設定] で次のように設定します。

    設定
    クエリの実行間隔 5 分
    次の時間分の過去のデータを参照します 1 日

    注: 同じデータに対して意図的に多くのインシデントを生成しています。 これにより、ラボはこれらのアラートを使用できるようになります。

  7. [アラートのしきい値] 領域では、アラートですべてのイベントを登録するため、値はそのままにしておきます。

  8. [イベントのグループ化] 領域では、 [すべてのイベントを単一のアラートにグループ化する] オプションを選択したままにしておきます。これは、クエリから、上記の指定されたアラートのしきい値よりも多くの結果が返される場合に限り、実行するたびに単一のアラートを生成する必要があるためです。

  9. 下部にある [次: インシデント設定 >] ボタンを選択します。

  10. [インシデント設定] タブで、既定のオプションを確認します。

  11. 下部にある [次: 自動応答 >] ボタンを選択します。

  12. [次へ: 確認と作成 >] ボタンを選択します。

  13. [保存] を選択します。

タスク 2: 新しいルールをテストする

このタスクでは、新しくスケジュールされたクエリ ルールをテストします。

  1. Azure portal の上部バーで、Cloud Shell に対応するアイコン >_ を選びます。 ディスプレイの解像度が低すぎる場合は、最初に省略記号アイコン […] の選択が必要な場合があります。

  2. [Azure Cloud Shell へようこそ] ウィンドウで [PowerShell] を選択します。

  3. [作業の開始] ページで、[ストレージ アカウントのマウント] を選択し、[ストレージ アカウント サブスクリプション] ドロップダウン メニュー項目から使用している [MOC subscription-lodxxxxxxxx] を選択し、[適用] ボタンを選択します。

    重要:[ストレージ アカウントは必要ありません] オプション ボタンのオプションは選択しないでください。 これは、インシデントの作成が失敗する原因になります。

  4. [ストレージ アカウントのマウント] ページで、[自動でストレージ アカウントを作成します] を選択した後、[次へ] を選択します。

  5. Cloud Shell がプロビジョニングされるまで待った後、Azure Cloud Shell ウィンドウを閉じます。

  6. Azure portal の検索バーに「アクティビティ」と入力し、 [アクティビティ ログ] を選びます。**

  7. [操作名] の項目に [ストレージ アカウント キーの一覧表示][Update Storage Account Create] (ストレージ アカウントの作成の更新) が表示されていることを確認します。** これらは、前に確認した KQL クエリがアラートを生成するために一致する操作です。 ヒント: [最新の情報に更新] を選んで一覧を更新することが必要な場合があります。

  8. Azure portal の検索バーに「Sentinel」と入力してから、[Microsoft Sentinel] を選択します。

  9. Microsoft Sentinel ワークスペースを選択します。

  10. [脅威の管理][インシデント] メニュー オプションを選択します。

  11. [インシデントの自動更新] トグルを選択します。

  12. 新しく作成したインシデントが表示されます。

    注: インシデントをトリガーするイベントは、処理に 5 分以上かかることがあります。 次の演習に進んでください。このビューには後で戻ります。

  13. インシデントを選択し、右側のブレードの情報を確認します。

演習 5 に進みます