ラボ 27 - Microsoft Entra データ ソースの Microsoft Sentinel Kusto クエリ

ログインの種類 = Azure リソース ログイン

ラボのシナリオ

Microsoft Sentinel は、スケーラブルでクラウドネイティブの SIEM および SOAR ソリューションです。 Microsoft とサードパーティのセキュリティ ソリューションからデータ ソースを接続すると、セキュリティ操作タスクを実行できます。 このラボ演習では、Kusto 照会言語 (KQL) を使用してハンティング クエリを実行するための Microsoft Entra ID へのデータ コネクタを備えた Microsoft Sentinel ワークスペースを作成します。

予想所要時間: 30 分

演習 1 - Kusto クエリ用に Microsoft Sentinel を構成する

タスク 1 - Microsoft Sentinel ワークスペースを作成する

  1. グローバル管理者として、 https://portal.azure.com  にサインインします。

  2. Microsoft Sentinel を検索して選択します。

  3. 左上隅にある [+ 作成] を選択します。

  4. [ワークスペースへの Microsoft Sentinel の追加] タイルで、[+ 新しいワークスペースの作成] を選択します。

  5. [リソース グループ] で、 [新規作成] を選択し、「Sentinel-RG」と入力します。

  6. ワークスペースに名前を付けます。 例 - SentinelLogAnalytics。

  7. お近くのリージョンを選択します。

  8. [確認および作成][作成] の順に選択します。

  9. Log Analytics ワークスペースのデプロイが完了した後、 [更新] ボタンを選択します。 その後、お使いのワークスペースを選び、 [追加] を選択します。 これにより、ワークスペースが Microsoft Sentinel に追加され、Microsoft Sentinel が開きます。

  10. ダイアログが表示されたら、 [OK] を選択して Microsoft Sentinel の無料試用版をアクティブにします。

タスク 2 - Microsoft Entra ID をデータ ソースとして追加する

  1. Microsoft Sentinel で、メニューの [コンテンツ管理] に移動し、[コンテンツ ハブ] を選択します。

  2. 検索ボックスを使用してコネクタの一覧で [Entra] を検索し、[Microsoft Entra ID] を見つけてチェックボックスをオンにします。

  3. 右側にプレビュー タイルが開きます。 [インストール] を選択します。

  4. インストールが完了したら、[構成] メニューの [データ コネクタ] メニュー項目を選択します。

    - インストールされている 1 つのコネクタが表示され、Microsoft Entra ID が一覧に表示されます。

  5. [Microsoft Entra ID][コネクタ ページを開く] の順に選択します。

  6. コネクタ ページに、データ コネクタの手順と次のステップが提供されます。 構成を続行するための各前提条件の横にチェック マークがあることを確認します。

  7. [構成] で、 [サインイン ログ][監査ログ] のチェック ボックスをオンにします。 追加のログ ソースを利用できますが、現在プレビュー段階であり、このコースの対象外です。

  8. [変更の適用] を選択します。

  9. 変更が正常に適用されたことを示す通知が表示されます。 コネクタ ページの右上にある [X] を選択して、Microsoft Sentinel ワークスペースに移動します。

  10. **[Microsoft Sentinel データ コネクタ]** タイルで [更新] を選択すると、数値 1 が [接続済み] の数に表示されます。

    - Microsoft Entra ID データ コネクタがアクティブな数に表示されるまでに数分かかる場合があります。

タスク 3 - ユーザー アクティビティで Kusto クエリを実行する

  1. Microsoft Sentinel で、 [全般] メニュー見出しの下にある [ログ] に移動します。

  2. [Log Analytics へようこそ] ウィンドウを閉じます。

  3. サンプル クエリが表示されているウィンドウが開いたら、[監査] を選択し、[ユーザー ID] を検索します。

  4. [実行] を選択します。

  5. Microsoft Entra ID のユーザー ID の一覧が表示されます。 ワークスペースを作成したばかりのため、結果が表示されない場合があります。 クエリの形式に注意してください。