演習の設定

  • 20 分

このオプションの演習を完了するには、Azure サブスクリプションにアクセスして、Azure リソースを作成する必要があります。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

Note

このモジュールの演習を実行すると、ご自身の Azure サブスクリプションに料金が発生する可能性があります。 コストの見積もりについては、「Microsoft Sentinel の価格」を参照してください。

演習の前提条件をデプロイするには、次のタスクを実行します。

演習環境用の Azure Resource Manager テンプレートをデプロイする

  1. 次のリンクを選択します。

    Deploy To Azure.

    Azure にサインインするように求められます。

  2. [カスタム デプロイ] ページで、次の情報を指定します。

    名前 説明
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [新規作成] を選択して、azure-sentinel-rg のようにリソース グループの名前を指定します。
    [リージョン] Azure リージョンを選択します。
    ワークスペース名 Microsoft Sentinel ワークスペースには、<yourName>-sentinel のような一意の名前を指定します。ここで、<yourName> は、前のタスクで選択したワークスペース名を表します。
    場所 既定値 [resourceGroup().location] をそのまま使用します。
    Simplevm 名 既定値 [simple-vm] をそのまま使用します。
    Simplevm Windows OS のバージョン 既定値 [2016-Datacenter] をそのまま使用します。

  3. [確認と作成] を選択し、次に [作成] を選択します。

    Note

    デプロイが完了するのを待機します。 デプロイは 5 分以内に完了するはずです。

作成されたリソースを確認する

  1. Azure portal で [リソース グループ] を検索します。

  2. リソース グループを選択します。

  3. リソースの一覧を [種類] で並べ替えます。

  4. リソース グループには、次の表に示すリソースが含まれている必要があります。

    名前 タイプ 説明
    <yourName>-sentinel Log Analytics ワークスペース Microsoft Sentinel で使用される Log Analytics ワークスペース。ここで、<yourName> は、前のタスクで選択したワークスペースの名前を表します。
    simple-vmNetworkInterface ネットワーク インターフェイス 仮想マシン (VM) のネットワーク インターフェイス。
    SecurityInsights(<yourName>-sentinel) ソリューション Microsoft Sentinel のセキュリティ分析情報。
    simple-vm 仮想マシン デモで使用される VM。
    st1<xxxxx> ストレージ アカウント VM で使用されるストレージ アカウント。ここで、<xxxxx> は、一意のストレージ アカウント名を作成するために生成されるランダム文字列を表します。
    vnet1 仮想ネットワーク VM の仮想ネットワーク。

Microsoft Azure Sentinel コネクタを構成する

このタスクでは、Microsoft Azure Sentinel コネクタを Azure アクティビティにデプロイします。

  1. Azure portal で、Microsoft Azure Sentinel を検索して選択し、以前に作成した Microsoft Azure Sentinel ワークスペースを選択します。
  2. [Microsoft Azure Sentinel] ページのメニュー バーにある [構成] セクションで、[データ コネクタ] を選択します。
  3. [データ コネクタ] ペインで、[Azure アクティビティ] を見つけて選択します。 [詳細] ペインで、[Open connector page](コネクタ ページを開く) を選択します。
  4. 前提条件を確認します。 Azure Policy 割り当てスコープに所有者ロールが割り当てられている必要があります。
  5. ''従来の方法'' でサブスクリプションを接続している場合は、それを切断するように指示されます。その際に、構成 の手順 (1. 従来の方法からサブスクリプションを切断します) を使用します。
  6. 従来の方法でコネクタを構成していない場合は、 [構成] 領域の [2. 診断設定の新しい...] に進みます。
  7. [[Azure Policy の割り当て] ウィザードの起動>] を選択します。
  8. [基本] タブで、[スコープ] の下にある省略記号ボタン [...] を選択し、ドロップダウン リストからサブスクリプションを選びます。 次に [選択] を選択します。
  9. [パラメーター] タブを選択し、[プライマリ Log Analytics ワークスペース] ドロップダウン リストから自分の <一意の名前-sentinel> ワークスペースを選びます。
  10. [修復] タブを選択し、[修復タスクの作成] ボックスをオンにします。
  11. [確認と作成] ボタンを選択して構成を確認します。
  12. [作成] を選択して完了します。

注意

Azure アクティビティのコネクタでポリシー割り当てが使用されているため、状態が [接続済み] と表示されるまで 15 から 30 分かかる場合があります。