ラーニング パス 8 - ラボ 1 - 演習 7 - インシデントを調査する

ラボのシナリオ

ラボの概要。

あなたは、Microsoft Sentinel を実装した会社で働いているセキュリティ運用アナリストです。 あなたはスケジュール済みおよび Microsoft セキュリティ分析ルールを既に作成しています。 Fusion と異常分析ルールも環境で有効になっています。 ここで、それらによって作成されたインシデントを調査します。

インシデントには複数のアラートを含めることができます。 これは、特定の調査に関連するすべての証拠を集計したものです。 重大度や状態など、アラートに関連するプロパティはインシデント レベルで設定されます。 検出対象となる脅威の種類と検出方法を Microsoft Sentinel に通知したら、インシデントを調査して、検出された脅威を監視できます。

重要: ラーニング パス 8 のラボ演習は、”スタンドアロン” 環境にあります。** ラボを完了せずに終了する場合は、構成を再実行する必要があります。

このラボの推定所要時間: 30 分

タスク 1:問題を調査する

このタスクでは、インシデントを調査します。

注: Microsoft Sentinel は既に、あなたの Azure サブスクリプション内に sentinelworkspace-01 という名前で事前デプロイされており、必要な Content Hub ソリューションがインストール済みです。

  1. 管理者として WIN1 仮想マシンにログインします。パスワードはPa55w.rd

  2. Microsoft Edge ブラウザーを開きます。

  3. Edge ブラウザーで、Defender XDR (https://security.microsoft.com) に移動します。

  4. [サインイン] ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供されたテナントの電子メール アカウントをコピーして貼り付け、[次へ] を選択します。

  5. [パスワードの入力] ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供されたテナントパスワードをコピーして貼り付け、[サインイン] を選択します。

    注: パスワードの代わりに “一時アクセス パス” (TAP) を入力するように求められる場合があります。** これは、[リソース] タブにも表示されます。メッセージが表示されたら、TAP 値をコピーして貼り付け、[サインイン] を選択します。

  6. Microsoft Defender ナビゲーション メニューで、下にスクロールし、[調査と対応] セクションを展開します。

  7. [インシデントとアラート] セクションを展開して [インシデント] を選択します。

  8. インシデントの一覧を確認します。

    注: 分析ルールは、同じ特定のログ エントリに対してアラートやインシデントを生成しています。 これは、ラボで使用するアラートやインシデントをさらに生成するために、 [クエリのスケジュール設定] 構成で行われていることに注意してください。

  9. [Startup RegKey] インシデントのいずれかを選択します。

  10. 開いたページでインシデントの詳細を確認します。

  11. ツール バーから [インシデントの管理] を選択します。 鉛筆アイコンが表示されます。**

  12. インシデントの [インシデントの管理] ページで、[状態] が [アクティブ] であることを確認します。** そうでない場合は、[状態] を [アクティブ] に変更し、[保存] を選択します。

  13. [インシデント タグ] フィールドに「RegKey」と入力し、[RegKey (新規作成)] を選択します。**

  14. [割り当て先] フィールドで、ボックスを選択し、ドロップダウンから [自分への割り当て] を選択します。**

  15. [保存] ボタンを選択すると、ページが閉じます。

  16. [攻撃ストーリー] タブを確認します。ツール バーから [プレイブックの実行] を選択します。 ヒント: 省略記号アイコン […] を選んで表示することが必要な場合があります。

  17. Defender_XDR_Ransomware_Playbook_SecOps_Tasks というプレイブックが表示されます。 このオプションは、プレイブックを手動で実行するのに役立ちます。

  18. 右上にある [x] アイコンを選択して、[インシデントでプレイブックを実行する] ブレードを閉じます。**

  19. [資産] ウィンドウを確認します。 少なくとも、前の演習の KQL クエリ内でマップした [ホスト] エンティティが表示されるはずです。 ヒント: エンティティが表示されない場合は、ページを更新します。

  20. コマンド バーから新しい [タスク] ボタンを選択します。

  21. [+ タスクの追加] を選択し、[タイトル] ボックスに「マシンを所有するユーザーを確認する」と入力し、 [保存] を選択します。

  22. 右上にある [x] アイコンを選択して、[インシデント タスク] ブレードを閉じます。**

  23. コマンド バーから新しい [アクティビティ] ボタンを選択します。

  24. この演習で実行したアクションを確認します。

  25. 右上にある [x] を選択して、[アクティビティ] ページを閉じます。**

  26. [攻撃ストーリー] タブで、インシデント グラフの表示領域を広げるために、[<] を選択して [インシデントとカテゴリ] セクションを折りたたみます。**

    ヒント: アイコンが画面に対して小さすぎる場合は、 [+] を選択して拡大します。

  27. [WINServer] エンティティ アイコンを選択し、ポップアップ ウィンドウで [検出する] が読み込まれるのを待ちます。** 読み込まれたら、サイド バーを展開します。

  28. [関連するアラート] により多くのデータがあることが確認されます。 [関連するアラート] を選択してインシデント グラフに表示するか、[イベント >] を選択して KQL クエリを使って調査します。

  29. 右上にある [X] アイコンを選択してクエリ ウィンドウを閉じて、 [調査] ページに戻ります。

  30. ここで WINServer エンティティを選択すると、右側のウィンドウが開き、詳細情報が表示されます。 [情報] ページを確認します。

  31. [タイムライン] ボタンを選択します。 インシデントをポイントし、グラフのどの項目がどの時点で発生したかを確認します。

  32. [エンティティ] ボタンを選択し、WINServer に関連する [エンティティ][アラート] を確認します。

  33. ページの右上にある [X] アイコンを選択して、調査グラフを閉じます。

  34. インシデント ページに戻り、左側のウィンドウで [アクティブな状態] を選択し、 [終了] を選びます。

  35. [分類を選択する] ドロップダウンで、さまざまなオプションを確認します。 その後、 [真陽性 - 疑わしいアクティビティ] を選択し、 [適用] を選択します。

演習 8 に進む