Microsoft Sentinel での監査と稼働状況の監視

Microsoft Sentinel は、組織の技術と情報の資産のセキュリティを推進し、保護するための重要なサービスであるため、常にスムーズかつ干渉なく実行されていることが求められます。

サービスの多くの可動部分が常に意図したとおりに機能し、内部ユーザーかそれ以外かにかかわらず、承認されていないアクションによって操作されていないことを確認できることが求められます。 正常性ドリフトや承認されていないアクションの通知を、応答できるか、応答を承認できる関連する利害関係者に送信するように構成することもできます。 たとえば、オペレーション チームやマネージャー、責任者へのメールや Microsoft Teams メッセージの送信をトリガーする条件の設定、チケット システムでの新しいチケットの発行などを行うことができます。

この記事では、Microsoft Sentinel の稼働状況の監視と監査の機能を使用して、サービスの主要なリソースの一部のアクティビティを監視し、サービス内のユーザー アクションのログを検査する方法について説明します。

正常性と監査のデータ ストレージ

正常性と監査のデータは、Log Analytics ワークスペースの次の 2 つのテーブルに収集されます: SentinelHealth および SentinelAudit

監査データは SentinelAudit テーブルに収集されます。

正常性データは SentinelHealth テーブルに収集され、オートメーション ルールが実行されるたびに記録されるイベントと、それらの実行の最終結果がキャプチャされます。 SentinelHealth テーブルには、次のものが含まれます。

• ルールで起動されたアクションが成功したか失敗したか、およびルールが呼び出したプレイブック。
• プレイブックのオンデマンド (手動または API ベース) トリガーを記録するイベント (プレイブックをトリガーした ID とその実行の最終結果を含む)

SentinelHealth テーブルには、プレイブックのコンテンツの実行に関するレコードはなく、プレイブックが正常に起動されたかどうかのみが含まれます。 プレイブック内で実行されたアクション (Logic Apps ワークフロー) のログは、AzureDiagnostics テーブルにリストされます。 AzureDiagnostics を SentinelHealth データと併用することで、オートメーションの正常性の全体像を把握することができます。

このデータを使用する最も一般的な方法は、このテーブルに対してクエリを実行することです。 最適な結果を得るには、テーブルに対してクエリを直接実行する代わりに、これらのテーブルに対する構築済みの関数 (_SentinelHealth() と _SentinelAudit()) でクエリを作成してください。 これらの関数を使用すると、テーブル自体のスキーマに変更が加えられた場合に、クエリの下位互換性が維持されます。

サービスの正常性と監査のデータを確認するための質問

Microsoft Sentinel の正常性と監査のデータの監視をガイドするには、次の質問を使用します。

データ コネクタが正しく実行されているか

データ コネクタにデータが届いているでしょうか。 たとえば、5 分ごとにクエリを実行するように Microsoft Sentinel に指示した場合、そのクエリが実行されているかどうかや、どのように実行されているか、さらに、クエリに関連するリスクや脆弱性があるかどうかを確認します。

オートメーション ルールが想定どおりに実行されたか

オートメーション ルールの実行は想定したタイミングでしたか。つまり、その条件が満たされたときです。 オートメーション ルールのすべてのアクションが正常に実行されているでしょうか。

分析ルールが想定どおりに実行されたか

分析ルールは想定されていたときに実行され、結果が生成されましたか。 キューに特定のインシデントが表示されることを想定しているが表示されない場合は、ルールが実行されたが何も (または十分なものが) 見つからなかったのか、それともまったく実行されなかったのかを調べます。

分析ルールに承認されていない変更が加えられたか

ルールで何かが変更されましたか。 分析ルールから想定した結果が得られず、正常性の問題はありませんでした。 ルールに対して計画外の変更が行われたかどうかを確認し、その場合は、どのような変更誰が、どこから、いつ行ったかを確認する必要があります。

正常性と監査の監視フロー

正常性と監査のデータの収集を開始するには、Microsoft Sentinel の設定で正常性と監査の監視を有効にする必要があります。 これで、Microsoft Sentinel によって収集される正常性と監査のデータについて詳しく調べることができます。

• Microsoft Sentinel の [ログ] ブレードから "SentinelHealth" と "SentinelAudit" データ テーブルに対してクエリを実行します。

  • データ コネクタ
  • オートメーション ルールとプレイブック (Azure Logic Apps 診断との結合クエリ)
  • 分析ルール

• Microsoft Sentinel で提供されている監査と稼働状況の監視ブックを使用します。

  • データ コネクタ
  • オートメーション ルールとプレイブック
  • 分析ルール

• Microsoft Sentinel の実行管理ツールを使用して、スケジュール化された分析規則の実行を監視および最適化します。

• Log Analytics ワークスペースなど各種の宛先にデータをエクスポートし、ストレージ アカウントなどにアーカイブします。 ログのサポートされている宛先をご覧ください。

次のステップ

• Microsoft Sentinel で監査と稼働状況の監視を有効にします。
• オートメーション ルールとプレイブックの正常性を監視します。
• データ コネクタの正常性を監視する。
• 分析ルールの正常性と整合性を監視します。
• "SentinelHealth" および "SentinelAudit" テーブル スキーマの詳細を確認します。

次の用語も参照:

• SAP 向け Microsoft Sentinel ソリューションを使用するには、 その正常性の監視も行います。