top of page
検索

Sentinel初心者ガイド - 初期設定

  • ryujitsukimori
  • 6月21日
  • 読了時間: 4分

更新日:6月23日

■重要なポイント

①Sentinelを使用する前にLog Analyticsワークスペースを作成する

②データ保持期間を変更することが可能

③ウォッチリストやカスタムの脅威インジケーターを作成できる


■Microsoft Sentinelとは

Microsoft Sentinel は、スケーラブルなクラウドネイティブのセキュリティ情報およびイベント管理 (SIEM) であり、SIEM およびセキュリティ オーケストレーション、自動化、応答 (SOAR) 用のインテリジェントで包括的なソリューションを提供します。 Microsoft Sentinel は、サイバー脅威の検出、調査、対応、プロアクティブな追求を提供し、これに企業全体を一目で見渡せるビューを使用できます。

Microsoft Sentinelには以下の4つの機能があります。

・データ収集

 Microsoftソースだけでなく様々なデータソースからデータ収集が可能

・検知

 クエリを実行し合致するイベントがあった場合にアラートを作成する

・調査

 グラフィカルな影響範囲を調査できる

・対処

 自動化の構成による検知したアラートに対する処理を行う


■Sentinelのワークスペースの作成

(1)Azureポータルにアクセスし、ログインします。(https://portal.azure.com

(2)検索ボックスに「Sentinel」と入力し[Microsoft Sentinel]を押下します。

(3)[作成] > [新しいワークスペースの作成]の順に押下します。

Log AnalyticsワークスペースとはAzure全体のログ保管サービスです。

(4)「基本」タブの以下の項目を選択します。

・サブスクリプション

・リソースグループ

・インスタンスの名前

・インスタンスのリージョン

(5)「タグ」タブの入力はスキップし、[確認と作成]を押下します。

(6)表示内容を確認して[作成]を押下します。

(7)作成したワークスペースの画面に、「デプロイが完了しました」と表示されたことを確認します。


■Sentinelをワークスペースにデプロイする

(1)Microsoft Azureのホーム画面に移動し、[Microsoft Sentinel]を押下します。

(2)[作成]を押下します。

(3)先ほど作成したLog Analyticsワークスペースを選択し、[追加]を押下します。

(4)画面に「Microsoft Sentinel が正常に追加されました」と表示されたことを確認します。


■データ保持の構成

変更すると追加料金が発生しますので、必要であれば変更してください。

(1)Microsoft Azureのホーム画面に移動し、検索ボックスに「Log Analytics」と検索し、[Log Analyticsワークスペース]を押下します。

(2)前手順で作成したワークスペース名を押下します。

(3)[設定] > [使用量と推定コスト]を順に押下します。

(4)[データ保持]を押下します。

(5)デフォルトの30日から任意の日数に変更し、[OK]を押下します。。

記載にある通り、テーブル毎にデータ保持期間を設定することも可能です。


■ウォッチリストの作成

ウォッチリストは、検索、検出規則、脅威ハンティング、応答プレイブックで使用します。 ウォッチリストは、名前と値のペアとして Watchlist テーブルの Microsoft Sentinel ワークスペースに格納されます。 これらは、最適なクエリ パフォーマンスと低待機時間のためにキャッシュされます。

(1)Microsoft Azureのホーム画面に移動し、[Microsoft Sentinel]を押下します。

(2)前手順でSentinelに追加したワークスペース名を押下します。

(3)[構成] > [ウォッチリスト]を順に押下します。

(4)[新規]を押下します。

(5)「全般」タブの以下脳項目を入力し、[ソース]を押下します。

・名前

・説明

・エイリアス

(6)[ファイルの参照]を押下して、csvファイルをアップロードします。

画面右側に「ファイルのプレビュー」が表示されますので、意図した表示が確認します。

(7)「SearchKey」は、検索時に入力する任意の列を選択し、[確認と作成]を押下します。

(8)表示された内容を確認して、[作成]を押下します。


■脅威インジケーターの作成

(1)Sentinelのホーム画面にある、[脅威管理] > [脅威インテリジェンス]を順に押下します。

(2)[新規] > [TIオブジェクト]を順に押下します。

(3)「オブジェクトの種類」は「インジケーター」を選択し、「新しい監視可能対象」は「ドメイン名」を選択し対象のドメインを入力します。

(4)任意の名前を入力し、「インジケーターの種類」は任意の項目を選択します。

(5)要すれば「有効期間の開始」と「有効期限」を変更します。

(6)「説明」にわかりやすい説明を入力し、[追加]を押下します。

作成後、[最新の情報に更新]を押下すると更新が反映されます。


■アラートポリシーのアクティブ化

本記事では、Microsoft Defender fot Cloudのアラートに基づいてインシデントを作成するルールを作成します。

(1)Sentinelのホーム画面にある、[構成] > [分析]を順に押下します。

(2)[作成] > [Microsoft インシデントの作成規則]を順に押下します。

(3)「全般」タブでは、以下の項目を入力し、[確認と作成]を押下します。

・名前

・状態は、[有効]

・Microsoftのセキュリティサービスは、Microsoft Defender for Cloud

・重要度でフィルター処理は、[カスタム]で[低][中][高]

(4)表示された内容を確認し、[保存]を押下します。


■まとめ

SentinelのログはLog Analyticsワークスペースというサービスに保管される。

Comentários

Não é mais possível comentar esta publicação. Contate o proprietário do site para mais informações.
bottom of page