Microsoft Sentinel のコンテンツを構成する
前のデプロイ手順では、Microsoft Sentinel、稼働状況の監視、および必要なソリューションを有効にしました。 この記事では、さまざまな種類の Microsoft Sentinel セキュリティ コンテンツを構成する方法について説明します。これにより、システム全体のセキュリティ上の脅威を検出して監視し、対応できるようになります。 この記事は、Microsoft Sentinel のデプロイ ガイドの一部です。
セキュリティ コンテンツを構成する
| 手順 | 説明 |
|---|---|
| データ コネクタを設定する | デプロイの計画時に選択したデータ ソースに基づいて、関連するソリューションを有効化した後、データ コネクタをインストールまたは設定できるようになりました。 - 既存のコネクタを使用している場合は、こちらのデータ コネクタの完全な一覧からお使いのコネクタを見つけてください。 - カスタム コネクタを作成する場合は、こちらのリソースを使用します。 - CEF または Syslog ログを取り込むコネクタを設定する場合は、これらのオプションを確認します。 |
| 分析ルールを設定する | 組織全体からデータを収集するように Microsoft Sentinel を設定したら、脅威を検出するために分析ルールの使用を開始できます。 分析ルールを設定して構成するために必要な手順を選択します。 - スケジュール済みルールをテンプレートからまたは最初から作成する: 環境内の脅威や異常な動作を検出するのに役立つ分析ルールを作成します。 - データ フィールドをエンティティにマップする: 分析ルールのエンティティ マッピングを追加または変更します。 - アラートのカスタム詳細を表示する: 分析ルールのカスタム詳細を追加または変更します。 - アラートの詳細をカスタマイズする: 基になるクエリ結果のコンテンツでアラートの既定のプロパティをオーバーライドします。 - 分析ルールのエクスポートとインポート: 分析ルールを Azure Resource Manager (ARM) テンプレート ファイルにエクスポートし、これらのファイルからルールをインポートします。 エクスポート操作により、ブラウザーのダウンロード場所に JSON ファイルが作成されます。このファイルは、ファイル名の変更や移動など、他のファイルと同様に処理することができます。 - ほぼリアルタイム (NRT) の検出分析ルールを作成する: 面倒な設定のない、最新の方法による脅威検出のための分析ルールを作成します。 この型のルールは、わずか1分サイクル間隔でクエリを実行することにより、応答性が高くなるように設計されています。 - 異常検出分析ルールを操作する: 何千ものデータ ソースと数百万のイベントを使用する組み込みの異常テンプレートを操作するか、ユーザー インターフェイス内の異常のしきい値とパラメータを変更します。 - スケジュール化された分析ルール テンプレートのバージョンを管理する: 分析ルール テンプレートのバージョンを追跡し、アクティブなルールを既存のテンプレート バージョンに戻すか、新しいバージョンに更新します。 - スケジュール化された分析ルールでのインジェストの遅延の処理: インジェストの遅延がスケジュール化された分析ルールにどのような影響を与えるか、また、どのように修正すれば、これらのギャップをカバーできるかについて学習します。 |
| オートメーション ルールを設定する | オートメーション ルールを作成します。 オートメーション ルールを実行するタイミングを決定するトリガーと条件、ルールを実行できるさまざまなアクション、および残りの機能を定義します。 |
| プレイブックを設定する | プレイブックは、Microsoft Sentinel からルーチンとして実行する修復アクションのコレクションであり、脅威への対応を自動化および調整するのに役立ちます。 プレイブックを設定するには、次のようにします。 ‐ 推奨されるプレイブックを確認する - テンプレートからプレイブックを作成する: プレイブック テンプレートは、事前に構築されてテストされた、すぐに使用できるワークフローであり、ニーズに合わせてカスタマイズできます。 テンプレートは、プレイブックをゼロから開発するときのベスト プラクティスのリファレンスとして、または新しい自動化シナリオのためのインスピレーションを得るためにも、役に立つ場合があります。 - こちらのプレイブックの作成手順を確認します |
| ブックを設定する | ブックでは、Microsoft Sentinel 内でデータを分析し、高度な視覚的レポートを作成するための柔軟なキャンバスが提供されます。 ブック テンプレートを使用すると、データ ソースに接続してすぐにデータ全体の分析情報をすばやく得ることができます。 ブックを設定するには、次のようにします。 ‐ 一般的に使用される Microsoft Sentinel ブックを確認する - パッケージ化されたソリューションで使用できる既存のブック テンプレートを使用します - データ全体でカスタム ブックを作成します |
| ウォッチリストを設定する | ウォッチリストを使用すると、指定したデータ ソースのデータを Microsoft Sentinel 環境内のイベントと関連付けることができます。 ウォッチリストを設定するには、次のようにします。 - ウォッチリストを作成します - ウォッチリストを使用してクエリまたは検出ルールを構築する: ウォッチリストを結合または検索のテーブルとして扱うことで、あるテーブルに含まれるデータがウォッチリストのデータにないか照合します。 ウォッチリストを作成するときは、SearchKey を定義します。 検索キーは、他のデータとの結合または頻繁に検索されるオブジェクトとして使用するウォッチリスト内の列の名前です。 |
次の手順
この記事では、さまざまな種類の Microsoft Sentinel セキュリティ コンテンツを構成する方法について説明しました。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示