ラボ: Microsoft Sentinel について調べる

このラボは、次の Learn コンテンツに対応しています。

• ラーニング パス: Microsoft セキュリティ ソリューションの機能について説明する
• モジュール: Microsoft Sentinel のセキュリティ機能について説明する
• ユニット: Microsoft Sentinel の脅威の検出および軽減機能について説明する

ラボのシナリオ

このラボでは、Microsoft Sentinel インスタンスの作成プロセスについて一通り説明します。 また、Microsoft Sentinel をサポートするためにデプロイするリソースへのアクセスを保証するためのアクセス許可を設定します。 この基本的なセットアップが完了したら、Microsoft Sentinel をデータ ソースに接続する手順について説明し、ブックをセットアップして、Microsoft Sentinel で使用できるいくつかの主要な機能について簡単に説明します。

予測される所要時間: 60 分

タスク 1

Microsoft Sentinel のインスタンスを作成するには、まず、Microsoft Sentinel からのデータを格納するために使用される Log Analytics ワークスペースを作成する必要があります。 Log Analytics ワークスペースを作成したら、インスタンス Microsoft Sentinel を作成し、それに Log Analytics ワークスペースを追加できます。 このタスクでは、これらの各手順を実行します。

1. Azure サービスのホーム ページが表示されているはずです。 そうでない場合は、Microsoft Edge を開き、アドレス バーに「portal.azure.com」と入力し、Azure portal 管理者の資格情報でサインインします。

2. ページ上部の青い検索ボックスに「Log Analytics」と入力し、それを検索結果から選択します。
3. [+ 作成] を選択します。
4. [Log Analytics ワークスペースの作成] の [基本] タブに、次の情報を入力します。
   1. サブスクリプション: 既定値のままにします。これは、承認されたラボ ホスト (ALH) によって提供される Azure サブスクリプションです。
   2. リソース グループ: SC900-Sentinel-RG を選択します。 このリソース グループが一覧にない場合は、[新規作成] を選択して作成し、「SC900-Sentinel-RG」と入力し、[OK] を選択します。
   3. 名前:SC900-Sentinel-workspace。
   4. リージョン: 米国東部 (場所に基づいて別の既定のリージョンが選択されている場合があります)
   5. [確認および作成] を選択します (タグは構成されません)。
   6. 入力した情報を確認してから、[作成] を選択します。
   7. 新しいワークスペースが作成されるまでに 1、2 分かかる場合があります。
   8. 作成されたら、[リソースに移動] を選択してワークスペースに関する情報を表示します。
5. この時点では、Microsoft Sentinel のインスタンスはまだ作成されていません。 Sentinel のインスタンスを作成するには、Microsoft Sentinel ページに移動する必要があります。 ページの上部にある青い検索バーを使用して、Microsoft Sentinel を検索し、検索結果からそれを選択します。
6. ワークスペースを Microsoft Sentinel に追加するには、Microsoft Sentinel ページに移動する必要があります。 ページの上部にある青い検索バーを使用して、Microsoft Sentinel 検索します
   1. Microsoft Sentinel ページで、[+ 作成] を選択します。
   2. これで、作成したワークスペースを追加できるようになりました。 SC900-Sentinel-workspace を選択し、[追加] を選択します。 Microsoft Sentinel の無料試用版がアクティブ化されるため、これには数分かかる場合があります。 アクティブ化されたら、[Ok] を選択します。
7. 次のタスクで使用するため、このページは開いたままにしておきます。

タスク 2

Microsoft Sentinel インスタンスが作成され、それに Log Analytics ワークスペースが割り当てられたら、Microsoft Sentinel のサポートを担当するユーザーに必要なアクセスを許可することが重要です。 これを行うには、指定されたユーザーに必要なロールのアクセス許可を割り当てます。 このタスクでは、使用可能な組み込みの Microsoft Sentinel ロールを表示します。

1. 青い検索ボックスに、「リソース グループ」と入力し、検索結果で [リソース グループ] を選択します。

2. [リソース グループ] ページで、Microsoft Sentinel を使用して作成したリソース グループ [SC900-Sentinel-RG] を選択します。 リソース グループ レベルで作業すると、選択されているすべてのロールが、前のタスクで作成された Microsoft Sentinel インスタンスの一部であるすべてのリソースに確実に適用されます。

3. [SC900-Sentinel-RG] ページの左ナビゲーション ウィンドウで、[アクセス制御 (IAM)] を選択します。

4. [アクセス制御] ページで、[自分のアクセスの表示] を選択します。 Authorized Lab Hoster によって提供される Azure サブスクリプションでは、説明に示すように、必要なすべてのリソースを管理するためのアクセス権を付与するロールが定義されています。 ただし、使用可能な Sentinel 固有のロールについて理解することが重要です。 ウィンドウの右上隅の [X] を選択して、割り当てウィンドウを閉じます。

5. アクセスの制御ページで、ページの上部にある [ロール] タブを選択します。
   1. 検索ボックスに「Microsoft Sentinel」と入力して、Microsoft Sentinel に関連付けられている組み込みロールを表示します。
   2. 一覧表示されている任意のロールから、表示を選択してそのロールの詳細を表示します。 ベスト プラクティスとして、ロールに必要な最小限の特権を割り当てる必要があります。
   3. ウィンドウの右上隅の [X] を選択して、ウィンドウを閉じます。

6. アクセスの制御ページから、ウィンドウの右上隅の [X] を選択して、ウィンドウを閉じます。

7. ウィンドウの左上隅の Microsoft Azure という青いバーのすぐ下にある [ホーム] を選択して、Azure サービスのホーム ページに戻ります。

8. ブラウザーで Azure タブを開いたままにします。

タスク 3

このタスクの目的は、データ ソースへの接続に関連する手順を説明することです。 多くのデータ コネクタは、Microsoft Sentinel ソリューションの一部として、分析ルール、ブック、プレイブックなどの関連するコンテンツと共にデプロイされます。 Microsoft Sentinel のコンテンツ ハブは、そのまま使える (組み込みの) コンテンツを検出して管理するための一元的な場所です。 この手順では、コンテンツ ハブを使用して、Microsoft Sentinel の Microsoft Defender for Cloud ソリューションをデプロイします。 このソリューションを使用すると、Microsoft Defender for Cloud で報告されたセキュリティ アラートを取り込めます。

1. Azure サービスのホーム ページから [Microsoft Sentinel] を選択し、作成したインスタンス [SC900-Sentinel-workspace] を選択します。

2. 左側のナビゲーション パネルで、[コンテンツ管理] を展開して、[コンテンツ ハブ] を選択します。

3. 少し下にスクロールして、使用可能なソリューションの長い一覧と、一覧をフィルター処理するオプションを確認します。 このタスクでは、Microsoft Defender for Cloud を探しています。 それを一覧から選択してください。 開いたサイド ウィンドウで説明を読み、[インストール] を選択します。 インストールが完了すると、メイン ウィンドウの状態列がインストール済みとして表示されます。

4. もう一度、一覧から [Microsoft Defender for Cloud] を選択します。 右側のウィンドウで、[管理] を選択します。

5. [Microsoft Defender for Cloud] ページの右側には、コンテンツ ハブのソリューションに関連付けられている説明とメモ、およびこのソリューションの一部として含まれている内容が表示されます。 メイン ウィンドウには、ソリューションのコンポーネントが表示されます。 この場合は、2 つのデータ コネクタと 1 つのデータ ルールがあります。 オレンジ色の三角形は、ある程度の構成が必要であることを示します。 [Subscription-based Microsoft Defender for Cloud (Legacy)](サブスクリプションベースの Microsoft Defender for Cloud (レガシ)) と表示されている横にあるボックスを選択します。 ページの右側にウィンドウが開きます。 Open connector page を選択します。

6. 構成手順に注意してください。 サブスクリプションの名前の横にあるボックスを選択し、[接続] を選択します。 セキュリティ閲覧者のアクセス許可を持つサブスクリプションのみが Microsoft Defender for Cloud アラートのストリーミングを開始することを示すポップアップ ウィンドウが表示される場合があります。 [OK] を選択します。 状態は [接続済み] に変わります。 コネクタが有効になりましたが、コネクタがデータ コネクタ ページに表示されるまでに時間がかかる場合があります。

7. 次に、分析ルールに関する情報を表示します。 ページの上部 (階層リンク) から、Microsoft Defender for Cloud を選択します。 コネクタを既に構成しているため、Microsoft Defender for Cloud と表示される横にあるボックスをオフにします (警告アイコンが消えるまで時間がかかる場合があります)。 [関連するセキュリティ アラートから CoreBackUp 削除アクティビティを検出する] と表示されている場所の横にあるボックスを選択します。 [分析ルール] ページが表示されます。 もう一度、[関連するセキュリティ アラートから CoreBackUp 削除アクティビティを検出する] ルールを選択します。 右側でウィンドウが開き、ルールとその動作に関する情報が示されます。 [ルールの作成] を選択します。
   1. ルール ロジックの詳細は基礎の範囲を超えていますが、ルール作成の各タブで、構成できる情報の種類を確認します
   2. [確認および作成] タブまで移動したら、[保存] を選択します。

8. ページ上部の Analytics ルールと表示されている場所の上にあるブレッドクランプから **[Microsoft Sentinel

   コンテンツ ハブ]** を選択して、Sentinel ページに戻ります。

9. 次のタスクで使用するため、このページは開いたままにしておきます。

タスク 4

このタスクでは、Sentinel で使用できるオプションの一部について説明します。

1. 左側のナビゲーション パネルで、[脅威の管理] を展開し、脅威の管理に記載されているオプションを確認します。
   1. [インシデント] を選択します。 インシデントは見つかりませんが、[概要] セクションを確認します。
   2. [ハンティング] を選択し、[ハント (プレビュー)] タブに表示されている情報を確認します。
   3. [Notebooks] を選択し、[概要] セクションを確認します。
   4. [脅威インテリジェンス] を選択し、ページの情報を確認します。
   5. [MITRE ATT&CK] を選択します。 MITRE ATT&CK は、攻撃者がよく使う戦術と手法の、一般公開されているナレッジ ベースです。 Microsoft Sentinel を使うと、MITRE ATT&CK® フレームワークの戦術と手法に基づいて、ご自分のワークスペース内で既にアクティブになっている検出と構成可能な検出を確認し、組織のセキュリティ カバレッジを把握することができます。 マトリックスから任意のセルを選択し、画面の右側にある情報に注目してください。 注: 情報パネルを表示するには、ウィンドウの右端にある “«” を選択する必要がある場合があります。

2. 左側のナビゲーション パネルで、[コンテンツ管理] を展開して、[コミュニティ] を選択します。 コミュニティ ページには、Microsoft Research からのサイバーセキュリティの分析情報と更新、Microsoft Sentinel ブログの一覧へのリンク、Microsoft Sentinel フォーラムへのリンク、最新エディションの Microsoft Sentinel Hub へのリンクなどが含まれています。 これを必要に応じて確認します。

3. 左側のナビゲーション パネルで、[構成] を展開し、一覧表示されているオプションを確認します。
   1. [分析] を選択します。 2 つのアクティブなルールが必要です。1 つは既定で使用でき、前のタスクで作成したルールです。 既定のルール [高度なマルチステージ攻撃検出] を選択します。 詳細情報を確認します。 注: 情報パネルを表示するには、ウィンドウの右端にある “«” を選択する必要がある場合があります。
   2. 左ナビゲーション ウィンドウで、[自動化] を選択します。 ここでは、単純な自動化ルールを作成したり、既存のプレイブックと統合したり、新しいプレイブックを作成したりできます。 [+ 作成] を選択し、[自動化ルール] を選択します。 画面の右側に表示されるウィンドウと、条件とアクションを作成するために使用できるオプションに注目してください。 画面の下部で、[キャンセル] を選択します。

4. ウィンドウの右上隅の [X] を選択して、ウィンドウを閉じます。

5. ウィンドウの左上隅にある青いバナーで、[Microsoft Azure] を選択して、Azure portal のホーム ページに戻ります。

6. サインアウトし、開いているすべてのブラウザー タブを閉じます。

確認

このラボでは、Microsoft Sentinel をデータ ソースに接続する手順について説明し、ブックをセットアップし、Microsoft Sentinel で使用できるいくつかのオプションについて説明しました。