演習の概要

あなたは、Microsoft Sentinel を実装した会社で働いているセキュリティ運用設計者です。 Microsoft Sentinel を使って脅威を検出および軽減する方法を学習する必要があります。 ここで、Microsoft Sentinel からルーチンとして実行できるアクションに応答して修復する必要があります。

プレイブックを使用すると、脅威への対応を自動化および調整したり、内部と外部両方の他のシステムと統合したり、分析ルールまたは自動化ルールによってそれぞれトリガーされた場合に、特定のアラートやインシデントに応答して自動的に実行されるように設定できます。 自動化ルールを使用すると、脅威やタスクに効率的かつ最適に対応するために、1 つ以上のインシデント/アラート全体で、最小限のタスクから大規模なタスクまで自動化を適用できます。

演習の手順

タスク 1: Microsoft Sentinel のプレイブックを作成する

このタスクでは、Microsoft Sentinel でプレイブックとして使用されるロジック アプリを作成します。

  1. Microsoft Sentinel で、[コンテンツ ハブ] に移動します。

  2. 検索バー内で「Sentinel SOAR Essentials」を検索します。

  3. 結果に表示されたソリューションを選択します。

  4. ソリューションの詳細内で、[インストール] を選択します。

  5. インストールが完了したら、[管理] を選択します。

  6. Defender_XDR_Ransomware_Playbook_for_SecOps_Tasks プレイブックを見つけて選択します。

  7. “インシデント タスク - SecOps 用 Microsoft Defender XDR ランサムウェア プレイブック” テンプレートを選択します。

  8. 詳細ペインで [プレイブックの作成] を選択します。

  9. [リソース グループ] で [新規作成] を選択し、「RG-Playbooks」と入力して [OK] を選択します。

  10. 名前から「for」を削除します (上限の 64 を超えるため)。

  11. 接続を選択します。

  12. [次へ: 確認と作成] を選択します。

  13. 次に [プレイブックの作成] を選択します。

    注: 次のタスクに進む前に、デプロイが完了するまで待機します。

タスク 2: Microsoft Sentinel のプレイブックを更新する

このタスクでは、作成した新しいプレイブックを適切な接続情報で更新します。

  1. Azure portal の検索バーに「Sentinel」と入力してから、[Microsoft Sentinel] を選択します。

  2. Microsoft Sentinel ワークスペースを選択します。

  3. [構成] 領域から [自動化] を選択し、 [アクティブなプレイブック] タブを選択してください。

  4. プレイブックが表示されない場合は、コマンド バーの [最新の情報に更新] を選択します。 前の手順で作成したプレイブックが表示されるはずです。

  5. Defender_XDR_Ransomware_Playbook_SecOps_Tasks というプレイブック名を選択します。

  6. Defender_XDR_Ransomware_Playbook_SecOps_Tasks の [ロジック アプリ] ページで、コマンド メニューの [編集] を選択します。

    注: 場合によっては、ページを更新する必要があります。

  7. “最初” のブロックの [Microsoft Sentinel インシデント] を選択します。

  8. [接続の変更] リンクを選択します。

  9. [新規追加] を選択し、 [サインイン] を選択します。 新しいウィンドウで、メッセージが表示されたら、Azure サブスクリプション管理者の資格情報を選択します。 ブロックの最後の行に “your-admin-username に接続済み” と表示されるはずです。

  10. ロジック分割内の下にある [インシデントにタスクを追加] を選択します。

  11. コマンド バーの [保存] を選択します。 これらはのちのラボで使用します。

タスク 3: 自動化ルールを作成する

  1. Microsoft Sentinel 内で、[構成] の下の [自動化] に移動します。

  2. [作成]、[自動化ルール] の順に選択します。

  3. ルールに名前を付けます。

  4. インシデント プロバイダーを [すべて] のままにします。

  5. [分析ルール名] を [すべて] のままにします。

  6. [追加] をクリックし、[And] を選択します。

  7. ドロップダウンから [方針] を選択します。

  8. 次の項目を選択します。
    • 偵察
    • 実行
    • 永続化
    • コマンドと制御
    • 窃盗
    • 攻撃前

  9. [アクション] で、[プレイブックの実行] を選択します。

  10. [プレイブックのアクセス許可を管理する] を選択します。

  11. リソース グループを見つけて選択し、[適用] を選択します。

  12. ドロップダウン リストから、Defender_XDR_Ransomware_Playbook_SecOps_Tasks というプレイブックを選択します。

  13. 下部にある [適用] を選択します。 ここから、ロールに応じて、さらにアーキテクトの演習を続けるか、アナリスト演習に切り換えます。

これでラボは完了です