ブックを使って Microsoft Sentinel の移行を追跡する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

組織のセキュリティ オペレーション センター (SOC) が処理するデータの量が増えるにつれ、デプロイの状態を計画し、監視することが不可欠になります。 Microsoft Project、Microsoft Excel、Microsoft Teams、Azure DevOps などの汎用ツールを使って移行プロセスを追跡することはできますが、これらのツールはセキュリティ情報イベント管理 (SIEM) の移行の追跡に特化したものではありません。 追跡に役立つように、Microsoft Sentinel には [Microsoft Sentinel のデプロイと移行] という名前の専用ブックが用意されています。

このブックは、次の場合に役立ちます。

  • 移行の進行状況を視覚化する
  • データ ソースのデプロイと追跡
  • 分析ルールとインシデントのデプロイと監視
  • ブックのデプロイと利用
  • オートメーションのデプロイと実行
  • ユーザーとエンティティの行動分析 (U E B A) のデプロイとカスタマイズ

この記事では、[Microsoft Sentinel Deployment and Migration](Microsoft Sentinel のデプロイと移行) ブックを使って移行を追跡する方法、ブックをカスタマイズして管理する方法、ブック タブを使ってデータ コネクタ、分析、インシデント、プレイブック、オートメーション規則、U E B A、データ管理をデプロイおよび監視する方法について説明します。 Microsoft Sentinel での Azure Monitor ブックの使用方法について詳しく説明します。

ブックのコンテンツをデプロイしてブックを表示する

このブックを取得するには、まず Microsoft Sentinel の [コンテンツ ハブ] からスタンドアロン項目をインストールします。

  1. Microsoft Sentinel コンテンツ ハブで、コンテンツ タイプ = ブックで一覧表示されたコンテンツをフィルター処理し、検索バーに「移行」と入力します。

  2. 検索結果から [Microsoft Sentinel のデプロイと移行] ブックを選び、[インストール] を選択します。 Microsoft Sentinel によってブックがデプロイされ、お使いの環境にブックが保存されます。

  3. Microsoft Sentinel の [脅威の管理] で、[ブック]>[テンプレート] を選択します。

  4. [Microsoft Sentinel のデプロイと移行] ブックを選び、[テンプレートの表示] を選択します。

ウォッチリストをデプロイする

次の手順では、Microsoft Sentinel GitHub リポジトリから関連するウォッチリストをデプロイします。

  1. Microsoft Sentinel GitHub リポジトリで、DeploymentandMigration フォルダーを選び、[Deploy to Azure](Azure にデプロイ) を選んで Azure でのテンプレートのデプロイを開始します。
  2. Microsoft Sentinel のリソース グループとワークスペース名を指定します。 ウォッチリストを Azure にデプロイするスクリーンショット。
  3. [確認と作成] を選択します。
  4. 情報を確認したら、[作成] を選びます。

デプロイと移行のアクションを使ってウォッチリストを更新する

この手順は、追跡設定プロセスにとって非常に重要です。 この手順をスキップすると、ブックに追跡対象の項目が反映されません。

デプロイと移行のアクションを使ってウォッチリストを更新するには:

  1. Azure または Microsoft Defender のポータルで Microsoft Sentinel を選び、[ウォッチリスト] を選びます。
  2. 別名が [デプロイ] のウォッチリストを選択します。
  3. 次に、[ウォッチリストの更新] > [ウォッチリスト アイテムの編集] を選択します。
  4. デプロイと移行に必要なアクションの情報を入力します。 デプロイおよび移行アクションでウォッチリスト項目を更新するスクリーンショット。
  5. [保存] を選択します。

これで移行トラッカー ブック内のウォッチリストを表示できるようになりました。 詳細については、ウォッチリストを管理する方法を参照してください。

さらに、デプロイ プロセス中にチームがタスクを更新したり完了したりすることがあります。 これらの変更に対応するために、新しいユース ケースを特定したり、新しい要件を設定したりする際に、既存のアクションを更新するか新しいアクションを追加します。 アクションを更新または追加するには、デプロイした [デプロイ] ウォッチリストを編集します。 このプロセスを簡単にするには、ブックで [デプロイ ウォッチリストの編集] を選び、ブックからウォッチリストを直接開きます。

デプロイの状態を確認する

デプロイの進行状況をすばやく表示するには、[Microsoft Sentinel Deployment and Migration](Microsoft Sentinel のデプロイと移行) ブックで [デプロイ] を選び、下にスクロールして [Summary of progress](進行状況の概要) を見つけます。 この領域には、次の情報を含むデプロイの状態が表示されます。

  • データを報告するテーブル
  • データを報告するテーブルの数
  • 報告されるログの数とログ データを報告するテーブル
  • 有効な規則とデプロイされていない規則の数
  • デプロイされた推奨されるブック
  • デプロイされたブックの合計数
  • デプロイされたプレイブックの合計数

データ コネクタのデプロイと監視

デプロイされたリソースを監視し、新しいコネクタをデプロイするには、[Microsoft Sentinel Deployment and Migration](Microsoft Sentinel のデプロイと移行) ブックで [データ コネクタ] > [モニター] を選びます。 [モニター] ビューには次の情報が表示されます。

  • 現在のインジェストの傾向
  • データを取り込むテーブル
  • 各テーブルが報告しているデータの量
  • Microsoft Monitoring Agent (MMA) を使って報告するエンドポイント
  • Azure Monitoring Agent (AMA) を使って報告するエンドポイント
  • MMA と AMA の両エージェントを使って報告するエンドポイント
  • リソース グループ内のデータ収集規則と、規則にリンクされているデバイス
  • データ コネクタの正常性 (変更とエラー)
  • 指定した時間範囲内の正常性ログ

ブックの [データ コネクタ] タブの [モニター] ビューのスクリーンショット。

データ コネクタを構成するには:

  1. [構成] ビューを選びます。
  2. 構成するコネクタの名前が付いたボタンを選択します。
  3. 開いたコネクタの状態画面でコネクタを構成します。 必要なコネクタが見つからない場合は、コネクタ名を選び、コネクタ ギャラリーまたはソリューション ギャラリーを開きます。 ブックの [構成] ビューのスクリーンショット。

分析とインシデントのデプロイと監視

ワークスペースでデータが報告されたら、分析規則を構成して監視します。 [Microsoft Sentinel のデプロイと移行] ブックで [分析] タブを選択すると、デプロイされたすべての規則テンプレートとリストが表示されます。 このビューは、現在使われている規則と、規則によってインシデントが生成される頻度を示します。

ブックの [分析] タブのスクリーンショット。

より多くのカバレッジが必要な場合は、左側のテーブルの下にある [Review MITRE coverage](MITRE カバレッジの確認) を選びます。 このオプションを使って、移行プロジェクトの任意の段階で、どの領域により多くのカバレッジを与え、どの規則をデプロイするかを定義します。

ブックの MITRE カバレッジ ビューのスクリーンショット。

分析規則をデプロイし、Defender 製品コネクタがアラートを送信するように構成されたら、[デプロイ] > [進行状況の概要] でインシデントの作成と頻度を監視します。 この領域には、SOC の正常性と最も注意が必要なアラートを示すアラートの生成に関するメトリックが、製品、タイトル、分類ごとに表示されます。 アラートの生成量が多すぎる場合は、[分析] タブに戻り、ロジックを変更します。

ブックの [分析] タブの進行状況の概要のスクリーンショット。

ブックのデプロイと利用

Microsoft Sentinel が実行するデータ インジェストと検出に関する情報を視覚化するには、[Microsoft Sentinel Deployment and Migration](Microsoft Sentinel のデプロイと移行) ブックで [ブック] を選びます。 [データ コネクタ] タブと同様に、[モニター][構成] のビューを使って監視と構成情報を表示できます。

[ブック] タブで実行できる便利なタスクをいくつか紹介します。

  • 環境内のすべてのブックの一覧とデプロイされているブックの数を表示するには、[モニター] を選びます。

  • [Microsoft Sentinel Deployment and Migration](Microsoft Sentinel のデプロイと移行) ブック内の特定のブックを表示するには、ブックを選び、[Open Selected Workbook](選んだブックを開く) を選びます。

    [ブック] タブでのブックの選択のスクリーンショット。

  • ブックをまだデプロイしていない場合は、[構成] を選んで、よく使われ、推奨されるブックの一覧を表示します。 ブックが一覧にない場合は、[Go to Workbook Gallery](ブック ギャラリーに移動) または [Go to Content Hub](コンテンツ ハブに移動) を選び、目的のブックをデプロイします。

    [ブック] タブからのブックの表示のスクリーンショット。

プレイブックとオートメーション規則のデプロイと監視

データ インジェスト、検出、視覚化を構成したら、次はオートメーションに進むことができます。 [Microsoft Sentinel Deployment and Migration](Microsoft Sentinel のデプロイと移行) ブックで [オートメーション] を選んでデプロイされたプレイブックを表示し、現在オートメーション規則に接続されているプレイブックを確認できます。 オートメーション規則が存在する場合、ブックの各規則に関する以下の情報が強調表示表示されます。

  • 名前
  • Status
  • 規則の 1 つ以上のアクション
  • 規則が最後に変更された日付と、その規則を変更したユーザー
  • 規則が作成された日付

ブックの現在のセクション内でオートメーションを表示、デプロイ、テストするには、左下の [Deploy automation resources](オートメーション リソースのデプロイ) を選びます。

プレイブックオートメーション規則に関する Microsoft Sentinel SOAR の機能の記事を参照してください。

ブックの [オートメーション] タブのスクリーンショット。

U E B A のデプロイと監視

データのレポートと検出はエンティティ レベルで行われるため、エンティティの動作と傾向を監視することが不可欠です。 Microsoft Sentinel 内で U E B A 機能を有効にするには、[Microsoft Sentinel Deployment and Migration](Microsoft Sentinel のデプロイと移行) ブックで [UEBA] を選びます。 ここでは、エンティティ ページのエンティティ タイムラインをカスタマイズし、どのエンティティ関連テーブルにデータが入力されているかを表示することができます。

ブックの [UEBA] タブのスクリーンショット。

U E B A を有効にするには:

  1. テーブルの一覧の上にある [Enable UEBA](UEBA を有効にする) を選びます。
  2. U E B A を有効にするには、[オン] を選択します。
  3. 分析情報の生成に使うデータ ソースを選びます。
  4. 適用を選択します。

U E B A を有効にしたら、Microsoft Sentinel が U E B A データを生成していることを監視して確認します。

タイムラインをカスタマイズするには:

  1. テーブル一覧の上にある [Customize Entity Timeline](エンティティ タイムラインのカスタマイズ) を選びます。
  2. カスタム項目を作成するか、すぐに使えるテンプレートのいずれかを選びます。
  3. テンプレートをデプロイし、ウィザードを完了するには、[作成] を選びます。

詳細については、U E B A の詳細、またはタイムラインのカスタマイズの方法を参照してください。

データ ライフサイクルの構成と管理

Microsoft Sentinel をデプロイまたは移行する場合、受信ログの使用状況とライフサイクルを管理することが不可欠です。 [Microsoft Sentinel のデプロイと移行] ブックで [データ管理] を選択し、テーブルの保持とアーカイブを表示および構成します。

ブックの [データ管理] タブのスクリーンショット。

以下に関する情報を表示できます。

  • 基本的なログの取り込み用に構成されたテーブル
  • 分析階層の取り込み用に構成されたテーブル
  • アーカイブするように構成されたテーブル
  • 既定のワークスペース保持に関するテーブル

テーブルの既存のアイテム保持ポリシーを変更するには:

  1. [Default Retention Tables](既定の保持テーブル) ビューを選びます。
  2. 変更するテーブルを選び、[Update Retention](保持の更新) を選びます。 必要に応じて次の情報を編集します。
    • ワークスペース内の現在の保持
    • アーカイブ内の現在の保持
    • 環境内にデータが保持される合計日数
  3. TotalRetention 値を編集して、環境内に存在する必要があるデータの新しい合計日数を設定します。

ArchiveRetention 値を計算するには、InteractiveRetention 値から TotalRetention 値を引きます。 ワークスペースの保持を調整する必要がある場合、構成されたアーカイブを含むテーブルには変更が影響しないため、データは失われません。 InteractiveRetention 値を編集し、TotalRetention 値が変更しない場合、Azure Log Analytics によって変更を補うためにアーカイブ保持が調整されます。

UI で変更したい場合は、[UI で保持を更新] を選択して関連するページを開きます。

データ ライフサイクル管理に関する記事を参照してください。

移行のヒントと手順を有効にする

デプロイと移行のプロセスを支援するために、ブックには、各タブの使用方法を説明するヒントと、関連するリソースへのリンクが含まれています。 ヒントは、Microsoft Sentinel の移行ドキュメントに基づいており、現在の SIEM に関連しています。 ヒントと手順を有効にするには、[Microsoft Sentinel Deployment and Migration](Microsoft Sentinel のデプロイと移行) ブックで、右上にある MigrationTipsInstruction[はい] に設定します。

ブックの移行のヒントと手順のスクリーンショット。

次のステップ

この記事では、[Microsoft Sentinel Deployment and Migration](Microsoft Sentinel のデプロイと移行) ブックを使って移行を追跡する方法について学習しました。