ラボ 10:Microsoft Sentinel

受講生用ラボ マニュアル

ラボのシナリオ

注: Azure SentinelMicrosoft Sentinel に名前が変更されました

あなたは、Microsoft Sentinel ベースの脅威検出と応答の概念実証を作成するよう依頼されました。 具体的には、次のことを行います。

  • Azure アクティビティと Microsoft Defender for Cloud からのデータ収集を開始する。
  • 組み込みおよびカスタム アラートを追加する
  • プレイブックを使用してインシデントへの応答を自動化する方法を確認します。

このラボのすべてのリソースについて、米国東部リージョンを使用しています。 これがクラスで使用するリージョンであることを講師に確認します。

ラボの目的

このラボでは、次の演習を行います。

  • 演習 1:Microsoft Sentinel を実装する

Microsoft Sentinel の図

image

Instructions

ラボ ファイル:

  • \Allfiles\Labs\15\changeincidentseverity.json

演習 1:Microsoft Sentinel を実装する

推定時間:30 分

この演習では、次のタスクを実行します。

  • タスク 1:Microsoft Sentinel をオンボードする
  • タスク 2:Azure アクティビティを Sentinel に接続する
  • タスク 3:Azure アクティビティ データ コネクタを使用するルールを作成します。
  • タスク 4:プレイブックを作成する
  • タスク 5:カスタム アラートを作成し、自動化された応答としてプレイブックを構成します。
  • タスク 6:インシデントを発生させ、関連付けられているアクションを確認する。

タスク 1:Microsoft Sentinel をオンボードする

このタスクでは、Microsoft Sentinel にオンボードし、Log Analytics ワークスペースを接続します。

  1. Azure portal https://portal.azure.com/ にサインインします。

    :このラボで使用している Azure サブスクリプションで所有者ロールまたは共同作成者ロールを持つアカウントを使用して Azure portal にサインインします。

  2. Azure portal で、Azure portal ページの上部にある [リソース、サービス、ドキュメントの検索] テキスト ボックスに「Microsoft Sentinel」と入力し、Enter キーを押します。

    : Azure ダッシュボードで Microsoft Sentinel を初めて操作する場合は、次の手順を実行します。Azure portal で、Azure portal ページの上部にある [リソース、サービス、ドキュメントの検索] テキスト ボックスに「Microsoft Sentinel」と入力し、Enter キーを押します。 [サービス] ビューから [Microsoft Sentinel] を選択します。

  3. [Microsoft Sentinel] ブレードで、 [+ 作成] をクリックします。

  4. [ワークスペースへの Microsoft Sentinel の追加] ブレードで、Azure Monitor ラボで作成した Log Analytics ワークスペースを選択し、 [追加] をクリックします。

    :Microsoft Sentinel には、ワークスペースに対して非常に具体的な要件があります。 たとえば、Microsoft Defender for Cloud によって作成されたワークスペースは使用できません。 詳細については、「クイックスタート: Microsoft Sentinel をオンボードする」を参照してください

タスク 2:Azure アクティビティ データ コネクタを使用するように Microsoft Sentinel を構成します。

このタスクでは、Azure アクティビティ データ コネクタを使用するように Sentinel を構成します。

  1. Azure portal の [Microsoft Sentinel | 概要] ブレードで、[コンテンツ管理] セクションの [コンテンツ ハブ] をクリックします。

  2. [Microsoft Sentinel | コンテンツ ハブ] ブレードで、利用可能なコンテンツの一覧を確認します。

  3. 検索バーに「Azure」と入力し、Azure アクティビティを表すエントリを選択します。 一番右端にある説明を確認した後、[インストール] をクリックします。

  4. [インストールの成功] 通知が表示されるまで待ちます。 左側のナビゲーション パネルの [構成] セクションで、[データ コネクタ] をクリックします。

  5. [Microsoft Sentinel | データ コネクタ] ブレードで、[更新] をクリックし、利用可能なコネクタの一覧を確認します。 Azure アクティビティ コネクタを表すエントリを選択し (必要に応じて << を使用して左側のメニュー バーを非表示にします)、一番右端にある説明と状態を確認した後、[コネクタ ページを開く] をクリックします。

  6. Azure アクティビティ ブレードで [手順] タブを選択し、前提条件をメモして、[構成] まで下にスクロールします。 コネクタの更新について説明している情報に注意してください。 Azure Pass サブスクリプションは従来の接続方法を使用したことがないため、手順 1 をスキップして ([すべて切断] ボタンがグレー表示されます)、手順 2 に進むことができます。

  7. 手順 2 の「診断設定の新しいパイプラインでサブスクリプションを接続します」で、「[Azure Policy の割り当て] ウィザードの起動と手順の実行」の手順を確認し、[Azure ポリシー割り当てウィザードを起動する]> をクリックします。

  8. 指定した Log Analytics ワークスペースにストリーミングするように Azure アクティビティ ログを構成する ([ポリシーの割り当て] ページ) [基本] タブで、[スコープの省略形] ボタンをクリックします。 [スコープ] ページで、ドロップダウン サブスクリプション リストから Azure Pass サブスクリプションを選択し、ページの下部にある [選択] ボタンをクリックします。

    :リソース グループを選択しないでください

  9. [基本] タブの下部にある [次へ] ボタンを 2 回クリックして、[パラメーター] タブに進みます。[パラメーター] タブで、プライマリ Log Analytics ワークスペースの省略記号 (…) ボタンをクリックします。 [プライマリ Log Analytics ワークスペース] ページで、Azure パス サブスクリプションが選択されていることを確認し、ワークスペース ドロップダウンを使用して、Sentinel に使用している Log Analytics ワークスペースを選択します。 完了したら、ページの下部にある [選択] ボタンをクリックします。

  10. [パラメーター] タブの下部にある [次へ] ボタンをクリックして、[修復] タブに進みます。[修復] タブで、[修復タスクの作成] チェックボックスを選択します。 これにより、[修復するポリシー] ドロップダウンの [指定した Log Analytics ワークスペースにストリーミングするように Azure アクティビティ ログを構成する] が有効になります。 [システムによって割り当てられた ID の場所] ドロップダウンで、Log Analytics ワークスペース用に以前に選択した地域 (たとえば、米国東部) を選択します。

  11. [パラメーター] タブの下部にある [次へ] ボタンをクリックして、非準拠メッセージ タブに進みます。必要に応じて非準拠メッセージを入力し (これはオプションです)、[非準拠メッセージ] タブの下部にある [確認と作成] ボタンをクリックします。

  12. [作成] ボタンをクリックします。 次の 3 つの成功した状態メッセージを確認する必要があります。ポリシー割り当ての作成が成功しました、役割割り当ての作成が成功しました、修復タスクの作成が成功しました

    :通知、ベル アイコンをチェックして、3 つの成功したタスクを確認できます。

  13. [Azure アクティビティ] ペインに “受信したデータ” グラフが表示されていることを確認します (ブラウザー ページを更新する必要がある場合があります)。

    : 状態に “接続済み” と表示され、グラフに受信したデータが表示されるまで、15 分以上かかる場合があります。

タスク 3:Azure アクティビティ データ コネクタを使用するルールを作成します。

このタスクでは、Azure アクティビティ データ コネクタを使用するルールを確認し、作成します。

  1. [Microsoft Sentinel | 構成] ブレードで、 [分析] をクリックします。

  2. [Microsoft Sentinel | 分析] ブレードで、 [ルール テンプレート] タブをクリックします。

    :作成できるルールの種類を確認します。 各ルールは、特定のデータ ソースに関連付けられます。

  3. ルール テンプレートの一覧で、検索バーフォームに「不審」と入力し、Azure アクティビティ データソースに関連付けられている [不審なリソースの作成またはデプロイの数] エントリをクリックします。 次に、ルール テンプレートのプロパティを表示しているペインで、[ルールの作成] をクリックします (必要であればページの右側にスクロールする)。

    :このルールの重大度は中程度です。

  4. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [全般] タブで、既定の設定をそのまま使い、[次へ: ルールのロジックを設定 >] を選択します。

  5. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [ルールのロジックを設定] タブで、既定の設定をそのまま使い、[次へ: インシデントの設定 (プレビュー) >] をクリックします。

  6. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [インシデントの設定] タブで、既定の設定をそのまま使い、[次へ: 自動応答>] を選択します。

    :この機能を使用すると、ロジック アプリとして実装されたプレイブックをルールに追加して、問題の修復を自動化できます。

  7. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [自動応答] タブで、既定の設定をそのまま使い、[次へ: 確認および作成 >] をクリックします。

  8. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [確認と作成] タブで、[保存] をクリックします。

    :これで、アクティブなルールが作成されました。

タスク 4:プレイブックを作成する

このタスクでは、プレイブックを作成します。 セキュリティ プレイブックは、アラートに応答して Microsoft Sentinel によって呼び出すことができるタスクのコレクションです。

  1. Azure portal で Azure portal ページの上部にある [リソース、サービス、ドキュメントの検索] テキスト ボックスで、「カスタム テンプレートをデプロイする」と入力し、Enter キーを押します。

  2. [カスタム デプロイ] ブレードで、[エディターで独自のテンプレートをビルド] オプションをクリックします。

  3. [テンプレートの編集] ブレードで、 [ファイルの読み込み] をクリックし、 \Allfiles\Labs\15\changeincidentseverity.json ファイルを見つけて、 [開く] をクリックします。

    :サンプル プレイブックは、https://github.com/Azure/Azure-Sentinel/tree/master/Playbooks にあります。

  4. [テンプレートの編集] ブレードで、[保存] をクリックします。

  5. [カスタム デプロイ] ブレードで、次の設定が構成されていることを確認します (既定値を使用して他の設定を行います)。

    設定
    サブスクリプション このラボで使用している Azure サブスクリプションの名前
    リソース グループ AZ500LAB131415
    場所 (米国) 米国東部
    プレイブックの名前 Change-Incident-Severity
    [ユーザー名] 自分のメール アドレス

  6. [Review + create](レビュー + 作成) をクリックし、 [作成] をクリックします。

    : デプロイが完了するまで待ちます。

  7. Azure portal の、Azure portal ページの上部にある [ソース、サービス、ドキュメントの検索] テキスト ボックスで、「リソース グループ」と入力し、Enter キーを押します。

  8. [リソース グループ] ブレードのリソース グループの一覧で、 [AZ500LAB131415] エントリをクリックします。

  9. [AZ500LAB131415] リソース グループ ブレードのリソースの一覧で、新しく作成された Change-Incident-Severity ロジック アプリを表すエントリをクリックします。

  10. [インシデントの重大度の変更] ブレードで、[編集] をクリックします。

    :[Logic Apps デザイナー] ブレードでは、4 つのそれぞれに警告が表示されます。 これは、それぞれが確認し設定する必要があることを意味します。

  11. [Logic Apps デザイナー] ブレードで、最初の [s] ステップをクリックします。

  12. [新規追加] をクリックし、[テナント] ドロップダウン リストのエントリに Azure AD テナント名が含まれていることを確認し、[サインイン] をクリックします。

  13. プロンプトが表示された場合は、このラボで使用する Azure サブスクリプションの所有者または共同作成者のロールを使用したユーザー アカウントでログインします。

  14. 2 つ目の [s] ステップをクリックし、s の一覧で、前の手順で作成したものを表す 2 つ目のエントリを選択します。

  15. 残りの 2 つの [s] ステップについても、前の手順を繰り返します。

    :いずれの手順にも警告が表示されていないことを確認します。

  16. [Logic Apps デザイナー] ブレードで、[保存] をクリックして変更を保存します。

タスク 5:カスタム アラートを作成し、自動化された応答としてプレイブックを構成する

  1. Azure portal で、 [Microsoft Sentinel | 概要] ブレードに戻ります。

  2. [Microsoft Sentinel | 概要] ブレードの [構成] セクションで、 [分析] をクリックします。

  3. [Microsoft Sentinel | 分析] ブレードで [+ 作成] をクリックし、ドロップダウン メニューの [スケジュールされたクエリ ルール] をクリックします。

  4. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [全般] タブで、以下の設定を指定します (他の設定は既定値のままにします)。

    設定
    名前 プレイブック デモ
    方針 初期アクセス

  5. [次へ: ルールのロジックを設定 >] を選択します。

  6. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [ルール ロジックの設定] タブで、[ルール クエリ] テキスト ボックスに次のルール クエリを貼り付けます。

     AzureActivity
  | where ResourceProviderValue =~ "Microsoft.Security" 
  | where OperationNameValue =~ "Microsoft.Security/locations/jitNetworkAccessPolicies/delete"

    :このルールは、Just-In-Time VM アクセス ポリシーの削除を識別します。

    : 解析エラーが発生した場合、IntelliSense がクエリに値を追加している可能性があります。 クエリが一致していることを確認し、それ以外の場合は、クエリをメモ帳に貼り付け、メモ帳からルール クエリに貼り付けます。

  7. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [ルール ロジックの設定] タブの [クエリのスケジュール設定] セクションで、[クエリの実行間隔][5 分] に設定します。

  8. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [ルール ロジックの設定] タブで、残りの設定の既定値をそのまま使い、[次へ: インシデントの設定 >] をクリックします。

  9. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [インシデントの設定] タブで、既定の設定をそのまま使い、[次へ: 自動応答>] を選択します。

  10. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [自動応答] タブの [オートメーション ルール] で、[+ 新規追加] をクリックします。

  11. [新しいオートメーション ルールの作成] ウィンドウで、[オートメーション ルール名] に「重要度変更プレイブックの実行」と入力し、[トリガー] フィールドで、ドロップダウン メニューをクリックして [アラートが作成されたとき] を選択します。

  12. [新しいオートメーション ルールの作成] ウィンドウの [アクション] で、注意書きを読んだ後に、[プレイブックのアクセス許可の管理] をクリックします。 [アクセス許可の管理] ウィンドウで、前に作成したリソース グループ AZ500LAB1314151 の横にあるチェックボックスを選択してから、[適用] をクリックします。

  13. [新しいオートメーション ルールの作成] ウィンドウの [アクション] で、2 番目のドロップダウン メニューをクリックし、Change-Incident-Severity ロジック アプリを選択します。 [新しいオートメーション ルールの作成] ウィンドウで、[適用] をクリックします。

  14. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ブレードの [自動応答] タブで、[次へ: 確認および作成 >] をクリックし、[保存] をクリックします

    :これで、プレイブック デモと呼ばれる新しいアクティブなルールが作成されます。 rue ロジックによって識別されたイベントが発生すると、中程度の重大度アラートが発生し、対応するインシデントが生成されます。

タスク 6:インシデントを発生させ、関連付けられているアクションを確認する。

  1. Azure portal で、 [Microsoft Defender for Cloud | 概要] ブレードに移動します。

    :セキュア スコアを確認してください。 すでに更新されているはずです。

  2. [Microsoft Defender for Cloud | 概要] ブレードで、左側のナビゲーションの [クラウド セキュリティ][ワークロード保護] をクリックします。

  3. [Microsoft Defender for Cloud | ワークロード保護] ブレードで、下にスクロールし、[高度な保護][Just-In-Time VM アクセス] タイルをクリックします。

  4. [Just-In-Time VM アクセス] ブレードの myVM 仮想マシンを参照する行の右側で、[省略記号 (…)] ボタンをクリックし、[削除] をクリックしてから [はい] をクリックします。

    注: VM が [Just-in-time VMs](Just-In-Time VM) に表示されていない場合は、 [仮想マシン] ブレードに移動して [構成] をクリックし、 [Just-In-Time VM アクセス] の下にある [Enable the Just-in-time VMs](Just-In-Time VM を有効にする) オプションをクリックします。 上記の手順を繰り返して、 [Microsoft Defender for Cloud] に戻り、ページを更新すると、VM が表示されます。

  5. Azure portal で、Azure portal ページの上部にある [リソース、サービス、ドキュメントの検索] テキスト ボックスで、「アクティビティ ログ」を入力し、Enter キーを押します。

  6. [アクティビティ ログ] ブレードに移動し、[JIT ネットワーク アクセス ポリシーの削除] エントリをメモします。

    :表示されるまでに数分かかることがあります。 表示されない場合はページを [更新] します。

  7. Azure portal で、 [Microsoft Sentinel | 概要] ブレードに戻ります。

  8. [Microsoft Sentinel | 概要] ブレードで、ダッシュボードを確認し、Just-In-Time VM アクセス ポリシーの削除に対応するインシデントが表示されていることを確認します。

    :アラートが [Microsoft Sentinel | 概要] ブレードに表示されるまでに、最大 5 分かかる場合があります。 この時点でアラートが表示されない場合は、前のタスクで参照されているクエリ ルールを実行して、Just-In-Time アクセス ポリシーの削除アクティビティが、Microsoft Sentinel インスタンスに関連付けられた Log Analytics ワークスペースに伝達されていることを確認します。 それが該当しない場合は、Just-In-Time VM アクセス ポリシーを再作成し、もう一度削除します。

  9. [Microsoft Sentinel | 概要] ブレードの [脅威の管理] セクションで、 [インシデント] をクリックします。

  10. ブレードに中程度または高い重大度レベルのインシデントが表示されることを確認します。

    :インシデントが [Microsoft Sentinel | インシデント] ブレードに表示されるまでに、最大 5 分かかる場合があります。

    : [Microsoft Sentinel | プレイブック] ブレードを確認します。 成功した実行と失敗した実行の数がわかります。

    :インシデントに別の重大度レベルとステータスを割り当てるオプションがあります。

結果:Microsoft Sentinel ワークスペースを作成し、Azure アクティビティ ログに接続し、Just-In-Time VM アクセス ポリシーの削除に応答してトリガーされるプレイブックとカスタム アラートを作成し、構成が有効であることを確認しました。

リソースのクリーンアップ

新規に作成し、使用しなくなったすべての Azure リソースを削除することを忘れないでください。 使用していないリソースを削除することで、予期しないコストが発生しなくなります。

  1. Azure portal から、Azure portal の右上にあるアイコンをクリックして、Cloud Shell を開きます。 メッセージが表示されたら、[PowerShell][ストレージの作成] をクリックします。

  2. [Cloud Shell] ペインの左上隅にあるドロップダウン メニューで [PowerShell] が選択されていることを確認します。

  3. Cloud Shell ペイン内の PowerShell セッションで、次の手順を実行して、このラボで作成したリソース グループを削除します。

     Remove-AzResourceGroup -Name "AZ500LAB131415" -Force -AsJob

  4. [Cloud Shell] ペインを閉じます。