デモ: Microsoft Sentinel

このデモは、次の Learn コンテンツに対応しています。

ラーニングパス: Microsoft セキュリティソリューションの機能について説明する
モジュール: Microsoft Sentinel のセキュリティ機能について説明する
ユニット: Microsoft Sentinel の脅威の検出および軽減機能について説明する

デモのシナリオ

このデモでは、デプロイ可能なパッケージ化されたソリューションを見つけるためのコンテンツハブの使用など、Microsoft Sentinel で利用可能ないくつかのオプションを説明します。ただし、まず、Microsoft Sentinel リソースにアクセスする必要があるユーザーに対してロールベースのアクセス制御アクセス許可を設定するプロセスについて説明します。

デモパート 1

Microsoft Sentinel のインスタンスは、デモ前のセットアップの一部として作成されている必要があります。作成されたことを確認します。

ブラウザータブ [ホーム - Microsoft Azure] を開きます。タブを以前に閉じた場合は、ブラウザーページを開き、アドレスバーに「https://portal.azure.com」と入力します。認可されたラボホスター (ALH) から提供された Azure 資格情報を使ってサインインします。これで、Azure サービスのホームページが表示されます。
ページ上部の “Microsoft Azure” と表示されている青色のバーの横にある検索ボックスに、「Microsoft Sentinel」と入力し、検索結果から [Microsoft Sentinel] を選択します。

Microsoft Sentinel ページで、Sentinel のインスタンスが一覧表示され、選択されます。一覧にない場合は、ここで作成してください。

[Microsoft Sentinel] ページで、[Microsoft Sentinel の作成] を選択します。

[ワークスペースへの Microsoft Sentinel の追加] ページで、[新しいワークスペースの作成] を選択します。 [Log Analytics ワークスペースの作成] の [基本] タブに、次の情報を入力します。

サブスクリプション: 既定値のままにします。
リソースグループ: [新規作成] を選択してから、名前「SC900-Sentinel-RG」を入力し、その後 [OK] を選択します。
名前: SC900-LogAnalytics-workspace.
リージョン: 米国東部 (場所に基づいて別の既定のリージョンが選択されている場合があります)
[確認および作成] を選択します (タグは構成されません)。
入力した情報を確認してから、[作成] を選択します。
1 つのワークスペースが一覧表示されるまでに、1 から 2 分かかる場合があります。それでも表示されない場合は、[更新] を選択してから、[追加] を選択します。

新しいワークスペースが追加されると、[Microsoft Sentinel

ニュース & ガイド] ページが表示され、Microsoft Sentinel の無料試用版がアクティブ化されていることを示します。 [OK] を選択します。

後続のタスクで使用するため、このブラウザータブを開いたままにしておきます。

デモパート 2

すべての Azure リソースと同様に、ユーザーが Microsoft Sentinel リソースにアクセスするための適切なアクセス許可を持っていることを確認する必要があります。ここでは、ロールを割り当てる手順と、Microsoft Sentinel で使用できるロールを示します。

検索ボックスのページ上部にある [Microsoft Azure] と表示されている場所の隣の青色バーに、「リソースグループ」と入力し、検索結果で、[リソースグループ] を選択します。リソースグループレベルにロールを割り当てることで、Microsoft Sentinel をサポートするためにデプロイされるすべてのリソースにロールが適用されることが保証されます。
[リソースグループ] ページで、Microsoft Sentinel を使用して作成したリソースグループ [SC900-Sentinel-RG] を選択します。
[SC900-Sentinel-RG] ページの左ナビゲーションウィンドウで、[アクセス制御 (IAM)] を選択します。
[アクセス制御] ページで、[自分のアクセスの表示] を選択します。ほとんどの場合、このサブスクリプションに対して既に構成されているカスタムロールの割り当てが表示され、必要なアクセス許可が付与されます。このカスタムロールは、ラボ環境を提供する承認されたラボホスト (ALH) によって設定されています。ただし、デモ目的では、Sentinel 固有のロールを表示することをお勧めします。ウィンドウの右上隅の [X] を選択して、割り当てウィンドウを閉じます。
1. [アクセス制御] ページで、[追加] を選択してから、[ロール割り当ての追加] を選択します。
2. [ロール割り当ての追加] ウィンドウが開きます。検索ボックスに「Microsoft Sentinel」と入力して、Microsoft Sentinel に関連付けられているロールを表示します。
3. 一覧表示されている任意のロールから、表示を選択してそのロールの詳細を表示します。ベストプラクティスとして、ロールに必要な最小限の特権を割り当てる必要があります。
4. ウィンドウの右上隅の [X] を選択して、ウィンドウを閉じます。
アクセスの制御ページから、ウィンドウの右上隅の [X] を選択して、ウィンドウを閉じます。

デモパート 3

デモのこの部分では、データソースに接続する手順を示します。多くのデータコネクタは、Microsoft Sentinel ソリューションの一部として、分析ルール、ブック、プレイブックなどの関連するコンテンツと共にデプロイされます。 Microsoft Sentinel のコンテンツハブは、そのまま使える (組み込みの) コンテンツを検出して管理するための一元的な場所です。この手順では、コンテンツハブを使用して、Microsoft Sentinel の Microsoft Defender for Cloud ソリューションをデプロイします。このソリューションを使用すると、Microsoft Defender for Cloud で報告されたセキュリティアラートを取り込めます。

Microsoft Sentinel のブラウザータブを開きます。
左ナビゲーションパネルの [コンテンツ] を選びます。
少し下にスクロールして、使用可能なソリューションの長い一覧と、一覧をフィルター処理するオプションを確認します。このタスクでは、Microsoft Defender for Cloud を探しています。それを一覧から選択してください。開いたサイドウィンドウで説明を読み、[インストール] を選択します。インストールが完了すると、メインウィンドウの状態列がインストール済みとして表示されます。
Microsoft Defender for Cloud ページの右側には、コンテンツハブのソリューションに関連付けられている説明とメモ、およびこのソリューションの一部として含まれている内容が表示されます。メインウィンドウには、ソリューションのコンポーネントが表示されます。この場合は、2 つのデータコネクタと 1 つのデータルールがあります。オレンジ色の三角形は、ある程度の構成が必要であることを示します。 [Subscription-based Microsoft Defender for Cloud (Legacy)](サブスクリプションベースの Microsoft Defender for Cloud (レガシ)) と表示されている横にあるボックスを選択します。ページの右側にウィンドウが開きます。 Open connector page を選択します。
構成手順に注意してください。サブスクリプションの名前の横にあるボックスを選択し、[接続] を選択します。状態は [接続済み] に変わります。コネクタが有効になりましたが、コネクタがデータコネクタページに表示されるまでに時間がかかる場合があります。
次に、分析ルールに関する情報を表示します。ページの上部 (階層リンク) から、Microsoft Defender for Cloud を選択します。コネクタを既に構成しているため、Microsoft Defender for Cloud と表示される横にあるボックスをオフにします (警告アイコンが消えるまで時間がかかる場合があります)。 [関連するセキュリティアラートから CoreBackUp 削除アクティビティを検出する] と表示されている場所の横にあるボックスを選択します。 [分析ルール] ページが表示されます。もう一度、[関連するセキュリティアラートから CoreBackUp 削除アクティビティを検出する] ルールを選択します。右側でウィンドウが開き、ルールとその動作に関する情報が示されます。 [ルールの作成] を選択します。
1. ルールロジックの詳細は基礎の範囲を超えていますが、ルール作成の各タブで、構成できる情報の種類を確認します
2. [確認および作成] タブまで移動したら、[保存] を選択します。

ページ上部の Analytics ルールと表示されている場所の上にあるブレッドクランプから **[Microsoft Sentinel

コンテンツハブ]** を選択して、Sentinel ページに戻ります。

コンテンツハブを使用することで、ソリューションを簡単かつ迅速にデプロイできることを示します。
次のタスクで使用するため、このページは開いたままにしておきます。

デモパート 4

デモのこのパートでは、Sentinel で使用できるオプションの一部を示します。

左側のナビゲーションウィンドウから、[ハンティング] を選択します。ページの上部にある [クエリ] タブを選択します。追求クエリの説明を読みます。追求クエリは、コンテンツハブを介して追加できます。以前にインストールされたすべてのクエリがここに一覧表示されます。 [コンテンツハブに移動] を選択します。コンテンツハブには、ソリューションの一部またはスタンドアロンクエリとしてクエリを含むコンテンツが一覧表示されます。下にスクロールして、使用可能なオプションを表示します。
左側のナビゲーションウィンドウから、[MITRE ATT&CK] を選択します。 MITRE ATT&CK は、攻撃者がよく使う戦術と手法の、一般公開されているナレッジベースです。 Microsoft Sentinel を使うと、MITRE ATT&CK® フレームワークの戦術と手法に基づいて、ご自分のワークスペース内で既にアクティブになっている検出と構成可能な検出を確認し、組織のセキュリティカバレッジを把握することができます。マトリックスから任意のセルを選択し、画面の右側にある情報に注目してください。
左側のナビゲーションウィンドウから、[コミュニティ] を選択します。コミュニティページには、Microsoft Research からのサイバーセキュリティの分析情報と更新、Microsoft Sentinel ブログの一覧へのリンク、Microsoft Sentinel フォーラムへのリンク、最新エディションの Microsoft Sentinel Hub へのリンクなどが含まれています。これを必要に応じて確認します。
左ナビゲーションウィンドウで、[分析] を選択します。 2 つのアクティブなルールが必要です。1 つは既定で使用でき、前のタスクで作成したルールです。既定のルール [高度なマルチステージ攻撃検出] を選択します。詳細情報に注目してください。 Microsoft Sentinel では、スケーラブルな機械学習アルゴリズムに基づく相関関係エンジンである Fusion を使用して、キルチェーンのさまざまな段階で観察される異常な動作と疑わしいアクティビティの組み合わせを特定することによって、マルチステージ攻撃 (永続的脅威とも呼ばれます) を自動的に検出します。これらの検出を基に、Microsoft Sentinel では、Microsoft Sentinel 以外では検出が困難であろうインシデントが生成されます。
左ナビゲーションウィンドウで、[自動化] を選択します。ここでは、単純な自動化ルールを作成したり、既存のプレイブックと統合したり、新しいプレイブックを作成したりできます。 [+ 作成] を選択し、[自動化ルール] を選択します。画面の右側に表示されるウィンドウと、条件とアクションを作成するために使用できるオプションに注目してください。画面の下部で、[キャンセル] を選択します。
左ナビゲーションパネルで、[ブック] を選択します。 Microsoft Sentinel ブックの説明を読みます。ブックはコンテンツハブを介して追加できます。以前にインストールしたブックは、ここに一覧表示されます。 [コンテンツハブに移動] を選択します。コンテンツハブには、ソリューションの一部またはスタンドアロンブックとしてブックを含むコンテンツが一覧表示されます。下にスクロールして、使用可能なオプションを表示します。
ウィンドウの右上隅の [X] を選択して、ウィンドウを閉じます。
ウィンドウの左上隅にある青いバーのすぐ下にある [ホーム] を選択して、Azure portal のホームページに戻ります。

確認

このデモでは、Microsoft Sentinel をデータソースに接続する手順について説明し、ブックをセットアップし、Microsoft Sentinel で使用できるいくつかのオプションについて説明しました。

デモ: Microsoft Sentinel

デモのシナリオ

デモ パート 1

デモ パート 2

デモ パート 3

デモ パート 4

確認

デモパート 1

デモパート 2

デモパート 3

デモパート 4