top of page
検索

Sentinel初心者ガイド - Microsoftソースの接続

  • Tsukimori
  • 6月22日
  • 読了時間: 4分

■重要なポイント

①手動でコネタクを構成する必要があります。


■Microsoft Defender for XDRデータコネクを接続

有効な製品ライセンスを持っている場合、XDRには以下の要素が含まれます。

・Microsoft Defender XDR

・Microsoft Defender for Endpoint

・Microsoft Defender for Identity

・Microsoft Defender for Office 365

・Microsoft Defender for Cloud Apps

・Microsoft Defender のアラート

・Microsoft Purview データ損失防止

・Microsoft Entra ID 保護

(1)Azureポータルにアクセスし、ログインします。(https://portal.azure.com

(2)Azure portal の検索バーに「Sentinel」と入力し、 [Microsoft Sentinel] を選択します。

(3)対象のワークスペースを押下します。

(4)[コンテンツ管理] > [コンテンツハブ]を押下します。

(5)コンテンツハブ内の検索ボックスで「Microsoft Defender XDR」と検索し、[Microsoft Defender XDR]を押下します。

(6)画面右側に表示されたMicrosoft Defender XDRのウィンドウの[管理]を押下します。

※インストールされていない場合は、先にインストールしてください。

(7)コンテンツの中から「Microsoft Defender XDR」のチェックボックスを[オン]にし、[コネクタページを開く]を押下します。

(8)「構成」セクションの「インシデントとアラートを接続する」の「これらの製品の Microsoft インシデント作成ルールをすべてオフにすることをお勧めします。」が選択されていることを確認して、[インシデントとアラートを接続する]を押下します。

(9))「構成」セクションの「エンティティの接続」の[UEBA 構成ページに移動する]を押下します。

(10)「1. UEBA 機能を有効にする」のトグルを[オン]にします。

(11)「2. Microsoft Sentinel を次のディレクトリ サービスの 1 つ以上と同期させる」の「Active Directory(プレビュー)」と「Microsoft Entra ID」を選択し、[適用]を押下します。

(12)前のページに戻り、「イベントの接続」のすべてのテーブルを選択し、[変更の適用]を押下します。


■Microsoft Defender for Cloudデータコネクタを接続

(1)Microsoft Sentinelのホーム画面に移動します。

(2)対象のワークスペースを押下します。

(3)[コンテンツ管理] > [コンテンツハブ]を押下します。

(4)コンテンツハブ内の検索ボックスで「Microsoft Defender for Cloud」と検索し、[Microsoft Defender for Cloud]を押下します。

(5)画面右側に表示されたMicrosoft Defender for Cloudのウィンドウの[管理]を押下します。

(6)コンテンツの中から「Subscription-based Microsoft Defender for Cloud (Legacy)」のチェックボックスを[オン]にし、[コネクタページを開く]を押下します。

(7)「Configuration」セクションに表示されている対象のサブスクリプションのチェックボックスを[オン]にし、[Connect]を押下します。

※双方向の同期を有効にするには、[Enable Microsoft Defender for all subscriptions]から有効にします。

(8)下図の表示があり、「Status」が「Connected」に変わっていることを確認します。

(9)双方向同期設定を有効化すると下図の表示になります。


■Azure Activityデータコネクタを接続

(1)Microsoft Sentinelのホーム画面に移動します。

(2)対象のワークスペースを押下します。

(3)[コンテンツ管理] > [コンテンツハブ]を押下します。

(4)コンテンツハブ内の検索ボックスで「Azure Activity」と検索し、[Azure Activity]を押下します。

(5)画面右側に表示されたAzure Activityのウィンドウの[管理]を押下します。

(6)コンテンツ内の「Azure Activity」のチェックボックスを[オン]にし、[コネクタページを開く]を押下します。

(7)「構成」セクションの[Azure Policyの割り当てウィザードの起動]を押下します。

(8)「基本」タブは、以下の項目を選択します。

・スコープは対象のサブスクリプション

 リソースグループは選択なし

(9)「パラメーター」タブは、以下の項目を選択します。

プライマリ Log Analytics ワークスペースは対象のワークスペース

(10)「修復」タブは、「修復タスクを作成する」のチェックボックスを[オン]にします。

(11)[レビューと作成]を押下し、表示された内容を確認して、[作成]を押下します。


■Microsoft365データコネクタを接続

(1)Microsoft Sentinelのホーム画面に移動します。

(2)対象のワークスペースを押下します。

(3)[コンテンツ管理] > [コンテンツハブ]を押下します。

(4)コンテンツハブ内の検索ボックスで「Microsoft 365」と検索し、[Microsoft 365]を押下します。

(5)画面右側に表示されたMicrosoft 365のウィンドウの[管理]を押下します。

(6)コンテンツ内の「Microsoft 365」のチェックボックスを[オン]にし、[コネクタページを開く]を押下します。

(7)「構成」セクションの以下の項目を選択し、[変更の適用]を押下します。

・Exchange

・SharePoint

・Teams


■まとめ

すべて手動でコネタクを構成する必要があります。

Yorumlar

Bu gönderiye yorum yapmak artık mümkün değil. Daha fazla bilgi için site sahibiyle iletişime geçin.
bottom of page