ラボ: Microsoft Sentinel について調べる

このラボは、次の Learn コンテンツに対応しています。

  • ラーニング パス: Microsoft セキュリティ ソリューションの機能について説明する
  • モジュール: Microsoft Sentinel のセキュリティ機能について説明する
  • ユニット: Microsoft Sentinel の脅威の検出および軽減機能について説明する

ラボのシナリオ

このラボでは、Microsoft Sentinel インスタンスの作成プロセスについて一通り説明します。 また、Microsoft Sentinel をサポートするためにデプロイするリソースへのアクセスを保証するためのアクセス許可を設定します。 この基本的なセットアップが完了したら、Microsoft Sentinel をデータ ソースに接続する手順について説明し、ブックをセットアップして、Microsoft Sentinel で使用できるいくつかの主要な機能について簡単に説明します。

予測される所要時間: 60 分

タスク 1

Microsoft Sentinel インスタンスを作成する

  1. Azure サービスのホーム ページが表示されているはずです。 既にブラウザーを閉じている場合は Microsoft Edge を開きます。 アドレス バーに「portal.azure.com」と入力し、管理者の資格情報を使ってサインインします。 以前にログインしたことがある場合は、MFA の一部として、セカンダリ形式の認証を求められる場合があります。 以前にログインしたことがない場合は、MFA のセットアップを求められる場合があります。 画面の指示に従って MFA を設定します。

  2. ページ上部の青い検索ボックスに、「Microsoft Sentinel」と入力し、検索結果から [Microsoft Sentinel] を選択します。

  3. [Microsoft Sentinel] ページで、[Microsoft Sentinel の作成] を選択します

  4. [ワークスペースへの Microsoft Sentinel の追加] ページで、[新しいワークスペースの作成] を選択します。

  5. [Log Analytics ワークスペースの作成] の [基本] タブに、次の情報を入力します。
    1. サブスクリプション: 既定値のままにします。これは、承認されたラボ ホスト (ALH) によって提供される Azure サブスクリプションです。
    2. リソース グループ: SC900-Sentinel-RG を選択します。 このリソース グループが一覧にない場合は、[新規作成] を選択して作成し、「SC900-Sentinel-RG」と入力し、[OK] を選択します。
    3. 名前: SC900-LogAnalytics-workspace.
    4. リージョン: 米国東部 (場所に基づいて別の既定のリージョンが選択されている場合があります)
    5. [確認および作成] を選択します (タグは構成されません)。
    6. 入力した情報を確認してから、[作成] を選択します。
    7. 1 つのワークスペースが一覧表示されるまでに、1 から 2 分かかる場合があります。それでも表示されない場合は、[更新] を選択してから、[追加] を選択します。
  6. 新しいワークスペースが追加されると、[Microsoft Sentinel ニュース & ガイド] ページが表示され、Microsoft Sentinel の無料試用版がアクティブ化されていることを示します。 [OK] を選択します。 [作業の開始] ページに 3 つの手順が一覧表示されることにご注意ください。
  7. 次のタスクで使用するため、このページは開いたままにしておきます。

タスク 2

Microsoft Sentinel インスタンスが作成されたら、Microsoft Sentinel のサポートを担当するユーザーに必要なアクセスを許可することが重要です。 これを行うには、指定されたユーザーに必要なロールのアクセス許可を割り当てます。 このタスクでは、使用可能な組み込みの Microsoft Sentinel ロールを表示します。

  1. 青い検索ボックスに、「リソース グループ」と入力し、検索結果で [リソース グループ] を選択します。

  2. [リソース グループ] ページで、Microsoft Sentinel を使用して作成したリソース グループ [SC900-Sentinel-RG] を選択します。 リソース グループ レベルで作業すると、選択されているすべてのロールが、前のタスクで作成された Microsoft Sentinel インスタンスの一部であるすべてのリソースに確実に適用されます。

  3. [SC900-Sentinel-RG] ページの左ナビゲーション ウィンドウで、[アクセス制御 (IAM)] を選択します。

  4. [アクセス制御] ページで、[自分のアクセスの表示] を選択します。 Authorized Lab Hoster によって提供される Azure サブスクリプションでは、説明に示すように、必要なすべてのリソースを管理するためのアクセス権を付与するロールが定義されています。 ただし、使用可能な Sentinel 固有のロールについて理解することが重要です。 ウィンドウの右上隅の [X] を選択して、割り当てウィンドウを閉じます。

  5. アクセスの制御ページで、ページの上部にある [ロール] タブを選択します。
    1. 検索ボックスに「Microsoft Sentinel」と入力して、Microsoft Sentinel に関連付けられている組み込みロールを表示します。
    2. 一覧表示されている任意のロールから、表示を選択してそのロールの詳細を表示します。 ベスト プラクティスとして、ロールに必要な最小限の特権を割り当てる必要があります。
    3. ウィンドウの右上隅の [X] を選択して、ウィンドウを閉じます。

  6. アクセスの制御ページから、ウィンドウの右上隅の [X] を選択して、ウィンドウを閉じます。

  7. ウィンドウの左上隅の Microsoft Azure という青いバーのすぐ下にある [ホーム] を選択して、Azure サービスのホーム ページに戻ります。

  8. ブラウザーで Azure タブを開いたままにします。

タスク 3

このタスクの目的は、データ ソースへの接続に関連する手順を説明することです。 多くのデータ コネクタは、Microsoft Sentinel ソリューションの一部として、分析ルール、ブック、プレイブックなどの関連するコンテンツと共にデプロイされます。 Microsoft Sentinel のコンテンツ ハブは、そのまま使える (組み込みの) コンテンツを検出して管理するための一元的な場所です。 この手順では、コンテンツ ハブを使用して、Microsoft Sentinel の Microsoft Defender for Cloud ソリューションをデプロイします。 このソリューションを使用すると、Microsoft Defender for Cloud で報告されたセキュリティ アラートを取り込めます。

  1. Azure サービスのホーム ページで Microsoft Sentinel を選択し、作成 したインスタンス SC900-LogAnalytics-workspace を選択します。

  2. 左ナビゲーション パネルの [コンテンツ] を選びます。

  3. 少し下にスクロールして、使用可能なソリューションの長い一覧と、一覧をフィルター処理するオプションを確認します。 このタスクでは、Microsoft Defender for Cloud を探しています。 それを一覧から選択してください。 開いたサイド ウィンドウで説明を読み、[インストール] を選択します。 インストールが完了すると、メイン ウィンドウの状態列がインストール済みとして表示されます。

  4. もう一度、一覧から [Microsoft Defender for Cloud] を選択します。 右側のウィンドウで、[管理] を選択します。

  5. [Microsoft Defender for Cloud] ページの右側には、コンテンツ ハブのソリューションに関連付けられている説明とメモ、およびこのソリューションの一部として含まれている内容が表示されます。 メイン ウィンドウには、ソリューションのコンポーネントが表示されます。 この場合は、2 つのデータ コネクタと 1 つのデータ ルールがあります。 オレンジ色の三角形は、ある程度の構成が必要であることを示します。 [Subscription-based Microsoft Defender for Cloud (Legacy)](サブスクリプションベースの Microsoft Defender for Cloud (レガシ)) と表示されている横にあるボックスを選択します。 ページの右側にウィンドウが開きます。 Open connector page を選択します。

  6. 構成手順に注意してください。 サブスクリプションの名前の横にあるボックスを選択し、[接続] を選択します。 セキュリティ閲覧者のアクセス許可を持つサブスクリプションのみが Microsoft Defender for Cloud アラートのストリーミングを開始することを示すポップアップ ウィンドウが表示される場合があります。 [OK] を選択します。 状態は [接続済み] に変わります。 コネクタが有効になりましたが、コネクタがデータ コネクタ ページに表示されるまでに時間がかかる場合があります。

  7. 次に、分析ルールに関する情報を表示します。 ページの上部 (階層リンク) から、Microsoft Defender for Cloud を選択します。 コネクタを既に構成しているため、Microsoft Defender for Cloud と表示される横にあるボックスをオフにします (警告アイコンが消えるまで時間がかかる場合があります)。 [関連するセキュリティ アラートから CoreBackUp 削除アクティビティを検出する] と表示されている場所の横にあるボックスを選択します。 [分析ルール] ページが表示されます。 もう一度、[関連するセキュリティ アラートから CoreBackUp 削除アクティビティを検出する] ルールを選択します。 右側でウィンドウが開き、ルールとその動作に関する情報が示されます。 [ルールの作成] を選択します。
    1. ルール ロジックの詳細は基礎の範囲を超えていますが、ルール作成の各タブで、構成できる情報の種類を確認します
    2. [確認および作成] タブまで移動したら、[保存] を選択します。
  8. ページ上部の Analytics ルールと表示されている場所の上にあるブレッドクランプから **[Microsoft Sentinel コンテンツ ハブ]** を選択して、Sentinel ページに戻ります。
  9. 次のタスクで使用するため、このページは開いたままにしておきます。

タスク 4

このタスクでは、Sentinel で使用できるオプションの一部について説明します。

  1. 左側のナビゲーション ウィンドウから、[ハンティング] を選択します。 ページの上部にある [クエリ] タブを選択します。追求クエリの説明を読みます。 追求クエリは、コンテンツ ハブを介して追加できます。 以前にインストールされたすべてのクエリがここに一覧表示されます。 [コンテンツ ハブに移動] を選択します。 コンテンツ ハブには、ソリューションの一部またはスタンドアロン クエリとしてクエリを含むコンテンツが一覧表示されます。 下にスクロールして、使用可能なオプションを表示します。 ウィンドウの右上隅の [X] を選択して、コンテンツ ハブを閉じます。

  2. 左側のナビゲーション ウィンドウから、[MITRE ATT&CK] を選択します。 MITRE ATT&CK は、攻撃者がよく使う戦術と手法の、一般公開されているナレッジ ベースです。 Microsoft Sentinel を使うと、MITRE ATT&CK® フレームワークの戦術と手法に基づいて、ご自分のワークスペース内で既にアクティブになっている検出と構成可能な検出を確認し、組織のセキュリティ カバレッジを把握することができます。 マトリックスから任意のセルを選択し、画面の右側にある情報に注目してください。 : 情報パネルを表示するには、ウィンドウの右端にある “«” を選択する必要がある場合があります。

  3. 左側のナビゲーション ウィンドウから、[コミュニティ] を選択します。 コミュニティ ページには、Microsoft Research からのサイバーセキュリティの分析情報と更新、Microsoft Sentinel ブログの一覧へのリンク、Microsoft Sentinel フォーラムへのリンク、最新エディションの Microsoft Sentinel Hub へのリンクなどが含まれています。 これを必要に応じて確認します。

  4. 左ナビゲーション ウィンドウで、[分析] を選択します。 2 つのアクティブなルールが必要です。1 つは既定で使用でき、前のタスクで作成したルールです。 既定のルール [高度なマルチステージ攻撃検出] を選択します。 詳細情報に注目してください。 Microsoft Sentinel では、スケーラブルな機械学習アルゴリズムに基づく相関関係エンジンである Fusion を使用して、キル チェーンのさまざまな段階で観察される異常な動作と疑わしいアクティビティの組み合わせを特定することによって、マルチステージ攻撃 (永続的脅威とも呼ばれます) を自動的に検出します。 これらの検出を基に、Microsoft Sentinel では、Microsoft Sentinel 以外では検出が困難であろうインシデントが生成されます。 : 情報パネルを表示するには、ウィンドウの右端にある “«” を選択する必要がある場合があります。

  5. 左ナビゲーション ウィンドウで、[自動化] を選択します。 ここでは、単純な自動化ルールを作成したり、既存のプレイブックと統合したり、新しいプレイブックを作成したりできます。 [+ 作成] を選択し、[自動化ルール] を選択します。 画面の右側に表示されるウィンドウと、条件とアクションを作成するために使用できるオプションに注目してください。 画面の下部で、[キャンセル] を選択します。

  6. 左ナビゲーション パネルで、[ブック] を選択します。 Microsoft Sentinel ブックの説明を読みます。 ブックはコンテンツ ハブを介して追加できます。 以前にインストールされたすべてのブックがここに一覧表示されます。 [コンテンツ ハブに移動] を選択します。 コンテンツ ハブには、ソリューションの一部またはスタンドアロン ブックとしてブックを含むコンテンツが一覧表示されます。 下にスクロールして、使用可能なオプションを表示します。

  7. ウィンドウの右上隅の [X] を選択して、ウィンドウを閉じます。

  8. ウィンドウの左上隅にある青いバーのすぐ下にある [ホーム] を選択して、Azure portal のホーム ページに戻ります。

  9. サインアウトし、開いているすべてのブラウザー タブを閉じます。

確認

この lV では、Microsoft Sentinel をデータ ソースに接続する手順について説明し、ブックをセットアップし、Microsoft Sentinel で使用できるいくつかのオプションについて説明しました。