: このラボはラボ 01 とラボ 02 に基づいて構築されています。 このラボを完了するには、Azure サブスクリプションが必要です。 管理アクセス権を持つ。

一般的なガイドライン

  • オブジェクトを作成するときは、異なる構成を必要とする要件がない限り、既定の設定を使用します。
  • オブジェクトの作成、削除、または変更は、指定された要件を達成するためにのみ行います。 環境に対する不要な変更は、最終的なスコアに悪影響を与える可能性があります。
  • 目標を達成するための複数の方法がある場合は、常に最小限の管理労力で済むアプローチを選択します。

Windows を実行する仮想マシンからセキュリティ イベントを受信するように Microsoft Sentinel を構成する必要があります。

アーキテクチャ ダイアグラム

DCR を使用した AMA 経由のWindows セキュリティ イベントのダイアグラム

スキルアップ タスク

次の要件を満たすために、Microsoft Sentinel のデプロイを検証する必要があります。

  • VM1 という名前の仮想マシンからのみすべてのセキュリティ イベントを収集するように、AMA コネクタを使用して Windows セキュリティ イベントを構成します。
  • 次のクエリに基づいてインシデントを生成するほぼリアルタイム (NRT) のクエリ ルールを作成します。
SecurityEvent 
| where EventID == 4732
| where TargetAccount == "Builtin\\Administrators"
  • NRT ルールによって生成されるインシデントの所有者ロールを Operator1 に割り当てるオートメーション ルールを作成します。

演習の手順

: 次のタスクでは、Microsoft Sentinel にアクセスするために、ラボ 01 で作成した workspace を選択します。

タスク 1 - Microsoft Sentinel でデータ収集ルール (DCR) を構成する

AMA コネクタを使用して Windows セキュリティ イベントを構成します。 詳細については、AMA コネクタを使用した Windows セキュリティ イベントを参照してください。

  1. Microsoft Sentinel で、Configuration メニュー セクションに移動し、[データ コネクタ] を選択します。
  2. AMA を使用した Windows セキュリティ イベントを検索して選択します
  3. [コネクタ ページを開く] を選択します
  4. Configuration 領域で、[+ データ収集ルールの作成] を選びます
  5. Basics タブで、Rule Name を入力します
  6. Resources タブで、サブスクリプションと Scope 列の RG1 リソース グループを展開します
  7. VM1 を選んでから、[次へ: 収集 >] を選びます
  8. Collect タブの All Security Events を既定値のままにします。
  9. [次へ: 確認および作成 >] を選択してから、[作成] を選択します

タスク 2 - ほぼリアルタイム (NRT) のクエリ検出を作成する

Microsoft Sentinel でほぼリアルタイム (NRT) の分析ルールを使用し、脅威を検出します。 詳細については、Microsoft Sentinel の NRT 分析ルールを参照してください。

  1. Microsoft Sentinel で、Configuration メニュー セクションに移動し、[分析] を選択します
  2. [+ 作成] を選択し、 [NRT クエリ ルール (プレビュー)] を選択します
  3. ルールの Name を入力し、Tactics and techniques から [特権エスカレーション] を選択します。
  4. [次へ: ルール ロジックの設定 >] を選択します

  5. Rule query フォームに KQL クエリを入力します

    SecurityEvent 
| where EventID == 4732
| where TargetAccount == "Builtin\\Administrators"
  6. [次へ: インシデント設定 >] を選択し、[次へ: 自動応答 >] を選択します
  7. [次へ: 確認および作成] を選択します
  8. 検証が完了したら [保存] を選択します

タスク 3 - Microsoft Sentinel でオートメーションを構成する

Microsoft Sentinel でオートメーションを構成します。 詳細については、Microsoft Sentinel オートメーション ルールの作成と使用を参照してください。

  1. Microsoft Sentinel で、Configuration メニュー セクションに移動し、[オートメーション] を選択します
  2. [+ 作成]、[オートメーション ルール] の順に選択します
  3. Automation rule name を入力し、Actions から [所有者の割り当て] を選択します
  4. 所有者として Operator1 を割り当てます。
  5. [適用] を選択します