Microsoft Sentinel スキルアップ トレーニング
この記事では、Microsoft Sentinel のスキルアップに役立つレベル 400 トレーニングについて説明します。 このトレーニングには、関連する製品ドキュメント、ブログ記事、その他のリソースを表す 21 個のマイペースで進められるモジュールが含まれています。
ここに示すモジュールは、セキュリティ オペレーション センター (SOC) のライフ サイクルに従って 5 つの部分に分かれています。
- モジュール 3: ワークスペースとテナントのアーキテクチャ
- モジュール 4: データ収集
- モジュール 5: ログ管理
- モジュール 6: エンリッチメント: 脅威インテリジェンス、ウォッチリストなど
- モジュール 7: ログ変換
- モジュール 8: 移行
- モジュール 9: Advanced SIEM 情報モデルと正規化
- モジュール 10: Kusto 照会言語
- モジュール 11: 分析
- モジュール 12: SOAR の実装
- モジュール 13: ブック、レポート、視覚化
- モジュール 14: ノートブック
- モジュール 15: ユース ケースとソリューション
- モジュール 16: SOC アナリスト生活の 1 日、インシデント管理、調査
- モジュール 17: ハンティング
- モジュール 18: ユーザーとエンティティの行動分析 (UEBA)
- モジュール 19: Microsoft Sentinel の正常性の監視
パート 1:概要
モジュール 0: その他の学習とサポートのオプション
このスキルアップ トレーニングは、Microsoft Sentinel Ninja トレーニングに基づく、レベル 400 トレーニングです。 あまり深く掘り下げる必要がない場合や、解決する必要がある具体的な問題がある場合は、他のリソースの方が適していることがあります。
- このスキルアップ トレーニングは広範にわたっていますが、当然ながらスクリプトに従う必要があります。また、すべてのトピックについて展開することはできません。 各記事に関する参考ドキュメントを参照してください。
- これで、Microsoft Sentinel を対象とする新しい認定資格、SC-200: Microsoft Security Operations Analyst が与えられます。 また、Microsoft Security スイートについて、より広範に、概要を把握するには、SC-900: Microsoft Security, Compliance, and Identity Fundamentals または AZ-500: Microsoft Azure Security Technologies についても検討することをお勧めします。
- 既に Microsoft Sentinel のスキルを習得している場合は、最新情報を追跡するか、Microsoft Cloud Security Private Community プログラムに参加して今後のリリースをいち早く把握してください。
- 私たちと共有する機能のアイデアをお持ちですか? Microsoft Sentinel のユーザーの声のページでお知らせください。
- プレミア ユーザーですか? オンサイトまたはリモートでの 4 日間の "Microsoft Sentinel の基礎に関するワークショップ" をご利用いただけます。 詳細については、カスタマー サクセス アカウント マネージャーにお問い合わせください。
- 特定の問題がありますか? Microsoft Sentinel テクニカル コミュニティで質問 (または他のユーザーに回答) してください。 また、MicrosoftSentinel@microsoft.com 宛てにメールで質問または問題を送信することもできます。
モジュール 1: Microsoft Sentinel の使用を開始する
Microsoft Sentinel は、スケーラブルでクラウドネイティブのセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Microsoft Sentinel は、セキュリティ分析と脅威インテリジェンスを企業全体に提供します。 この 1 つのソリューションで、アラートの検出、脅威の可視性、予防的ハンティング、脅威への対応が可能になります。 詳細については、「Microsoft Sentinel とは」を参照してください。
Microsoft Sentinel の技術的な機能に関する初期概要が必要な場合は、最初に最新の Ignite プレゼンテーションをご覧ください。 Microsoft Sentinel のクイック スタート ガイドも役立ちます (サイトの登録が必要です)。
さらに詳細な概要については、この Microsoft Sentinel ウェビナー (YouTube、MP4、またはプレゼンテーション) をご覧ください。
最後に、ご自身で試してみたいですか? Microsoft Sentinel オールインワン アクセラレータ (ブログ、YouTube、MP4、プレゼンテーション) を使用すると、簡単に作業を開始できます。 始める方法については、オンボード ドキュメントを参照するか、Insight の Microsoft Sentinel の設定と構成に関するビデオをご覧ください。
他のユーザーから学ぶ
何千もの組織とサービス プロバイダーが Microsoft Sentinel を使用しています。 セキュリティ製品によくあることですが、ほとんどの組織はそのことを公表していません。 それでも、いくつかの例があります。
- 公開されているお客様のユース ケースをご覧ください。
- Security Operations Manager at ASOS の Stuart Gregg は、ハンティングに焦点を当てた、Microsoft Sentinel の経験によるブログ記事に詳細を掲載しています。
アナリストから学ぶ
- Azure Sentinel は Forrester Wave でリーダーの地位を獲得し、戦略部門で上位にランクインしています
- 2021 Gartner Magic Quadrant for SIEM で Microsoft が Microsoft Sentinel に対して Visionary に指名されました
モジュール 2: Microsoft Sentinel の使用方法
多くの組織は、Microsoft Sentinel をそのプライマリ SIEM として使用しています。 このコースのほとんどのモジュールでは、このユース ケースを取り上げます。 このモジュールでは、Microsoft Sentinel の特別な使用方法をいくつか紹介します。
Microsoft セキュリティ スタックの一部として
Microsoft Sentinel、Microsoft Defender for Cloud、Microsoft Defender XDR を併用して、Windows、Azure、Office などの Microsoft ワークロードを保護します。
- Microsoft Sentinel と Microsoft Defender XDR を組み合わせた、Microsoft の包括的な SIEM+XDR ソリューションの詳細を参照してください。
- Azure セキュリティ コンパス (現在の Microsoft セキュリティのベスト プラクティス) を読んで、セキュリティ運用のための Microsoft ブループリントを理解してください。
- このようなセットアップが WebShell 攻撃の検出と対応にどのように役立つのかについて参照および視聴してください (ブログ、ビデオ デモ)。
- ウェビナー「共に向上する | OT および IoT 攻撃の検出、調査、対応」も併せてご覧になることをお勧めします。
マルチクラウド ワークロードを監視するには
クラウドは (いまだ) 新しいため、多くの場合、オンプレミスのワークロードほど広範に監視されません。 このプレゼンテーションを参照し、Microsoft Sentinel を利用して、どのようにクラウド間でのクラウド監視のギャップを埋めることができるかを確認してください。
既存の SIEM と並行して
移行期間中または長期にわたり、クラウド ワークロードに Microsoft Sentinel を使用する場合、既存の SIEM と共に Microsoft Sentinel を使用できます。 また、この両方を Service Now などのチケット システムで使用することもできます。
別の SIEM から Microsoft Sentinel への移行の詳細については、移行に関するウェビナー (YouTube、MP4、またはプレゼンテーション) をご覧ください。
並行デプロイの一般的なシナリオは 3 つあります。
SOC にチケット システムがある場合は、両方の SIEM システムからチケット システム (Service Now など) にアラートまたはインシデントを送信することをお勧めします。 例として、ServiceNow との Microsoft Sentinel インシデントの双方向同期を使用する場合や、対応するイベントによってエンリッチされたアラートを Microsoft Sentinel からサード パーティの SIEM に送信する場合があります。
少なくとも当初は、多くのユーザーが Microsoft Sentinel からオンプレミスの SIEM にアラートを送信します。 詳細については、対応するイベントによってエンリッチされたアラートを Microsoft Sentinel からサード パーティの SIEM に送信する方法に関する記事を参照してください。
時間の経過と共に Microsoft Sentinel がより多くのワークロードに対応するようになると、方向を逆にして、オンプレミスの SIEM から Microsoft Sentinel にアラートを送信するのが一般的になります。 そのためには次を行います。
- Splunk については、Splunk から Microsoft Sentinel にデータと重要なイベントを送信する方法に関する記事を参照してください。
- QRadar については、QRadar オフェンスを Microsoft Sentinel に送信する方法に関する記事を参照してください。
- ArcSight については、Common Event Format (CEF) 転送に関する記事を参照してください。
また、Graph Security API を使って、Microsoft Sentinel からサードパーティ製の SIEM またはチケット システムにアラートを送信することもできます。 この方法はよりシンプルですが、他のデータを送信することはできません。
MSSP の場合
セットアップ コストが不要になり、場所に依存しないため、Microsoft Sentinel がサービスとしての SIEM を提供する一般的な選択肢になります。 Microsoft Sentinel を使用する MISA (Microsoft インテリジェント セキュリティ アソシエーション) メンバー マネージド セキュリティ サービス プロバイダー (MSSP) の一覧はこちらを参照してください。 他の多数の MSSP (特に地域的および小規模のもの) は、Microsoft Sentinel を使用していますが MISA メンバーではありません。
MSSP としての体験を始めるには、「MSSP 用 Microsoft Sentinel テクニカル プレイブック」を参照してください。 MSSP サポートの詳細は、クラウド アーキテクチャとマルチテナントのサポートについて説明する次のモジュールに含まれています。
パート 2: 設計とデプロイ
「パート 1: 概要」では、数分で Microsoft Sentinel を使い始める方法を紹介していますが、運用デプロイを開始する前には、計画を作成することが重要です。
このセクションでは、ソリューションの設計時に考慮する領域について説明し、設計の実装方法に関するガイドラインを示します。
- ワークスペースとテナントのアーキテクチャ
- データ コレクション
- ログの管理
- 脅威インテリジェンスの取得
モジュール 3: ワークスペースとテナントのアーキテクチャ
Microsoft Sentinel インスタンスは "ワークスペース" と呼ばれます。 このワークスペースは Log Analytics ワークスペースと同じであり、すべての Log Analytics 機能をサポートします。 Microsoft Sentinel は、Log Analytics ワークスペースに SIEM 機能を追加するソリューションと考えることができます。
多くの場合、複数のワークスペースが必要であり、これらは 1 つの Microsoft Sentinel システムとして連動できます。 特殊なユース ケースとして、Microsoft Sentinel を使用するサービスの提供があります (たとえば、MSSP (マネージド セキュリティ サービス プロバイダー) による場合や、大規模な組織でのグローバル SOC による場合などです)。
複数のワークスペースを 1 つの Microsoft Sentinel システムとして使用する方法の詳細については、「ワークスペースおよびテナント全体での Microsoft Sentinel の拡張」を参照するか、ウェビナー (YouTube、MP4、またはプレゼンテーション) をご覧ください。
複数のワークスペースを使っている場合は、次の点を考慮します。
- 複数のワークスペースを使用する重要な要因は、データ所在地です。 詳細については、Microsoft Sentinel のデータ所在地に関する記事を参照してください。
- Microsoft Sentinel をデプロイし、複数のワークスペースにまたがるコンテンツを効率的に管理するには、継続的インテグレーション/継続的デリバリー (CI/CD) テクノロジを使って、Microsoft Sentinel をコードとして管理することができます。 Microsoft Sentinel で推奨されているベスト プラクティスは、継続的デプロイを有効にすることです。 詳細については、「Microsoft Sentinel リポジトリを使用してネイティブで継続的デプロイを有効にする」を参照してください
- 複数のワークスペースを MSSP として管理する場合、Microsoft Sentinel で MSSP の知的財産を保護できます。
「MSSP 用 Microsoft Sentinel テクニカル プレイブック」は、これらのトピックの多くに関する詳細なガイドラインを示す内容なので、MSSP だけでなく大規模な組織にも役立ちます。
モジュール 4: データ収集
SIEM の基盤は、イベント、アラート、コンテキスト エンリッチメント情報 (脅威インテリジェンス、脆弱性データ、資産情報など) といったテレメトリの収集です。 参照できるソースの一覧は次のとおりです。
- 「Microsoft Sentinel データ コネクタ」を参照してください。
- サポートされている既定のすべてのデータ コネクタを確認するには、「Microsoft Sentinel データ コネクタを見つける」を参照してください。 一般的なデプロイ手順へのリンクと、特定のコネクタで必要な追加の手順があります。
- データ収集シナリオ: Logstash/CEF/WEF などの収集方法について確認します。 その他の一般的なシナリオとして、テーブルへのアクセス許可制限、ログのフィルター処理、アマゾン ウェブ サービス (AWS) または Google Cloud Platform (GCP) のログ収集、Microsoft 365 の生のログなどがあります。 いずれも、データ収集のシナリオに関するウェビナー (YouTube、MP4、またはプレゼンテーション) で確認できます。
各コネクタに関して表示される 1 つ目の情報は、そのデータ インジェスト方法です。 そこに表示される方法は、次の一般的なデプロイ手順の 1 つへのリンクになっており、データ ソースを Microsoft Sentinel に接続するために必要な情報のほとんどを確認できます。
| データ インジェスト方法 | 関連する記事 |
|---|---|
| Azure サービス間の統合 | Azure、Windows、Microsoft、Amazon サービスへの接続 |
| Syslog を介した Common Event Format (CEF) | デバイスまたはアプライアンスの CEF 形式のログを Microsoft Sentinel に取得する |
| Microsoft Sentinel データ コレクター API | データ ソースを Microsoft Sentinel のデータ コレクター API に接続してデータを取り込む |
| Azure Functions と REST API | Azure Functions を使用して Microsoft Sentinel をデータ ソースに接続する |
| syslog | Syslog を使用して Linux ベースのソースからデータを収集する |
| カスタム ログ | Log Analytics エージェントを使用してカスタム ログ形式のデータを Microsoft Sentinel に収集する |
ソースがない場合は、カスタム コネクタを作成できます。 カスタム コネクタはインジェスト API を使用するため、直接のソースと同様です。 ほとんどの場合、カスタム コネクタは、コードなしのオプションを提供する Azure Logic Apps や、Azure Functions を使って実装します。
モジュール 5: ログ管理
Microsoft Sentinel を構成するときに考慮すべき最初のアーキテクチャの決定事項は、いくつのワークスペースを使うかと、どれを使用するかです。 考慮すべきその他の主要なログ管理アーキテクチャの決定事項は次のとおりです。
- データを保持する場所と期間。
- データへの最適なアクセス管理とデータ保護の方法。
Microsoft Sentinel 内でのデータの取り込み、アーカイブ、検索、復元
始めに、ウェビナー「インジェスト、アーカイブ、検索、復元のための新しい方法を使用してログのライフサイクルを管理する」をご覧ください。
この一連の機能には、以下が含まれます。
- Basic インジェスト レベル: Azure Monitor Logs の新しい価格レベルです。より低コストでログを取り込むことができます。 このデータは、8 日間だけワークスペースに保持されます。
- Archive レベル: Azure Monitor ログでは、保持機能を 2 年から 7 年に拡張しました。 この新しいレベルを使うと、低コストなアーカイブ状態で、データを最長 7 年間保持することができます。
- 検索ジョブ: 限定された KQL を実行し、すべての関連ログを検索して返す検索タスク。 これらのジョブを使うと、分析レベル、Basic レベル、アーカイブされたレベルにまたがるデータを検索できます。
- データの復元: データ テーブルと時間範囲を選び、復元テーブルを介してワークスペースにデータを復元することができる新機能。
このような新機能の詳細については、「Microsoft Sentinel でのデータの取り込み、アーカイブ、検索、復元」を参照してください。
Microsoft Sentinel プラットフォーム以外の代替データ保持オプション
"データを保持する" 期間が 2 年間を超える場合、または "保持コストを削減" する必要がある場合は、Azure Data Explorer を使用して Microsoft Sentinel ログの長期保持を検討してください。 ウェビナーのスライド、ウェビナーの録画、またはブログを参照してください。
さらに詳細な情報が必要な場合は、 ADX サポート、追加のエンティティの種類、更新された MITRE 統合を使用して脅威ハンティングの種類と対象範囲を向上する方法に関するウェビナーをご覧ください。
別の長期保持ソリューションを使用する場合は、Microsoft Sentinel または Log Analytics ワークスペースから Azure Storage と Event Hubs にエクスポートする、または Azure Logic Apps を使用してログを長期ストレージに移動する方法に関する記事を参照してください。 Logic Apps を使用する利点は、履歴データをエクスポートできることです。
最後に、テーブル レベルの保持設定を使用して、保持期間をきめ細かく設定できます。 詳細については、「Azure Monitor Logs でのデータの保持ポリシーとアーカイブ ポリシーの構成 (プレビュー)」を参照してください。
ログのセキュリティ
リソースのロールベースのアクセス制御 (RBAC) またはテーブルレベルの RBAC を使用して、複数のチームで 1 つのワークスペースを使用できるようにします。
必要に応じて、ワークスペースから顧客のコンテンツを削除します。
アラート ブックとクエリを使用して、ワークスペース クエリと Microsoft Sentinel の使用を監査する方法を確認します。
プライベート リンクを使用して、ログがプライベート ネットワークの外に出ないようにします。
専用クラスター
予想されるデータ インジェストが 1 日あたり約 500 GB またはそれを超える場合、専用のワークスペース クラスターを使用します。 専用クラスターを使用すると、Microsoft Sentinel データのリソースをセキュリティ保護でき、大規模なデータ セットのクエリ パフォーマンスを向上させることができます。
モジュール 6: エンリッチメント: 脅威インテリジェンス、ウォッチリストなど
SIEM の重要な機能の 1 つは、コンテキスト情報をイベント ストリームに適用し、検出、アラートの優先順位付け、インシデント調査を実行できるようにすることです。 コンテキスト情報には、脅威インテリジェンス、IP インテリジェンス、ホストとユーザーの情報、ウォッチリストなどが含まれます。
Microsoft Sentinel には、脅威インテリジェンスをインポート、管理、使用するための包括的なツールが用意されています。 その他の種類のコンテキスト情報に対しては、Microsoft Sentinel によってウォッチリストやその他の代替ソリューションが提供されます。
脅威インテリジェンス
脅威インテリジェンスは、SIEM の重要な構成要素です。 Microsoft Sentinel の脅威インテリジェンスの機能に関するウェビナーをご覧ください。
Microsoft Sentinel では、TAXII (Trusted Automated eXchange of Indicator Information) サーバーの組み込みのコネクタを使うか、Microsoft Graph Security API を使って、脅威インテリジェンスを統合できます。 詳細については、「Microsoft Sentinel での脅威インテリジェンスの統合」を参照してください。 脅威インテリジェンスのインポートの詳細については、「モジュール 4: データ収集」セクションを参照してください。
インポート後の脅威インテリジェンスは、Microsoft Sentinel 全体で広く使用されます。 次の機能は、脅威インテリジェンスの使用に焦点を当てています。
インポートした脅威インテリジェンスを Microsoft Sentinel の新しい [脅威インテリジェンス] の領域の [ログ] に表示し、管理します。
組み込みの脅威インテリジェンス分析ルール テンプレートを使用して、インポートした脅威インテリジェンスを利用したセキュリティのアラートとインシデントを生成します。
脅威インテリジェンス ブックを使用して、Microsoft Sentinel で、脅威インテリジェンスに関する重要な情報を視覚化します。
ウェビナー「RiskIQ 脅威インテリジェンスを使用した Microsoft Sentinel でのトリアージの取り組みの自動化」 (YouTube またはプレゼンテーション) をご覧ください。
あまり時間がない場合は、 この Ignite セッション (28 分) をご覧ください。
さらに詳細な情報が必要な場合は、 ウェビナー「脅威インテリジェンスの詳細」 (YouTube、MP4、またはプレゼンテーション) をご覧ください。
ウォッチリストとその他の検索メカニズム
任意の種類のコンテキスト情報をインポートして管理するために、Microsoft Sentinel にはウォッチリストが用意されています。 ウォッチリストを使用すると、CSV 形式でデータ テーブルをアップロードし、KQL クエリで使用できます。 詳細については、「Microsoft Sentinel でウォッチリストを使用する」を参照してください。または、ウェビナー「ウォッチリストを使用してアラートを管理し、アラート疲れを軽減し、SOC 効率を向上する」 (YouTube またはプレゼンテーション) をご覧ください。
ウォッチリストは、以下のような場合に使用します。
迅速に脅威の調査とインシデントへの対応を行う: IP アドレス、ファイル ハッシュ、およびその他のデータを CSV ファイルから短時間でインポートします。 データのインポート後は、アラート ルール、脅威ハンティング、ブック、ノートブック、および一般的なクエリの結合とフィルターに、ウォッチリストの名前と値のペアを使用します。
ビジネス データをウォッチリストとしてインポートする: たとえば、特権のあるシステム アクセス権を持つユーザーや、退社した従業員の一覧をインポートします。 次に、ウォッチリストを使用して、許可リストとブロック リストを作成し、それらのユーザーがネットワークにログインするのを検出または防止します。
アラート疲れを軽減する: 通常はアラートをトリガーするタスクを実行する承認済み IP アドレスのユーザーなど、ユーザー グループからのアラートが表示されないように許可リストを作成します。 問題のないイベントがアラートにならないようにします。
イベント データをエンリッチする: ウォッチリストを使用して、外部データ ソースから派生した名前と値の組み合わせでイベント データを強化します。
ウォッチリストに加えて、KQL externaldata 演算子、カスタム ログ、KQL 関数を使用して、コンテキスト情報を管理してクエリを実行することもできます。 4 つの方法にはそれぞれ長所と短所があります。それらの比較については、Microsoft Sentinel での検索の実装に関するブログ記事を参照してください。それぞれの方法は異なりますが、結果の情報をクエリで使う方法は似ており、簡単に切り替えることができます。
分析ルール以外でウォッチリストを使うアイデアについては、「ウォッチリストを利用して Microsoft Sentinel での調査時の効率を高める」を参照してください。
ウォッチリストを使用してアラートを管理し、アラート疲れを軽減し、SOC 効率を向上させる方法に関するウェビナー (YouTube またはプレゼンテーション) をご覧ください。
モジュール 7: ログ変換
Microsoft Sentinel では、データのインジェストと変換の 2 つの新機能がサポートされています。 Log Analytics により提供されるこれらの機能は、データをワークスペースに格納する前でも機能します。 次の機能があります。
ログ インジェスト API: これを使って、任意のデータ ソースからカスタム形式のログを Log Analytics ワークスペースに送信し、特定の標準テーブル、または自分が作成したカスタム形式のテーブルにそれらのログを格納できます。 このようなログの実際の取り込みは、直接の API 呼び出しを使って実行できます。 Azure Monitor のデータ収集ルールを使用して、これらのワークフローを定義および構成します。
標準ログのためのワークスペース データ変換: データ収集ルールを使って無関係なデータを除外し、データをエンリッチまたはタグ付けし、機密情報や個人情報を非表示にすることができます。 データ変換は、取り込み時に次の種類の組み込みデータ コネクタ向けに構成できます。
- Azure Monitor エージェント (AMA) ベースのデータ コネクタ (新しい Azure Monitor エージェントに基づく)
- Microsoft Monitoring Agent (MMA) ベースのデータ コネクタ (レガシ Azure Monitor Logs エージェントに基づく)
- 診断設定を使用するデータ コネクタ
- サービス間のデータ コネクタ
詳細については、次を参照してください。
モジュール 8: 移行
多くの場合 (大多数ではありませんが)、SIEM を既にお持ちであり、Microsoft Sentinel への移行が必要です。 最初からやり直して SIEM の実装を再考する良い機会になるとも考えられますが、現在の実装に既に組み込んでいる資産の一部を利用することも適切です。 (Splunk、QRadar、ArcSight から Azure Microsoft Sentinel へ) 検出ルールを変換するためのベスト プラクティスに関するウェビナー (YouTube、MP4、プレゼンテーション、ブログ) をご覧ください。
次のリソースも役立つ可能性があります。
モジュール 9: Advanced SIEM 情報モデルと正規化
さまざまなデータ型とテーブルを一緒に操作することは困難な場合があります。 分析ルール、ブック、ハンティング クエリを一意に組み合わせて記述し、使用する際には、そのようなデータ型とスキーマを理解する必要があります。 また、調査やハンティングに必要なデータ型を相互に関連付けることも難しい場合があります。
Advanced SIEM Information Model (ASIM) は、さまざまなソースを統一的で正規化されたビューで処理するシームレスなエクスペリエンスを提供します。 ASIM は、Open-Source Security Events Metadata (OSSEM) の Common Information Model に準拠し、ベンダーに依存しない業界全体での正規化を促進します。 ウェビナー「Advanced SIEM Information Model (ASIM): Microsoft Sentinel に組み込まれました」 (YouTube またはプレゼンテーション) をご覧ください。
現在の実装は、KQL 関数を使用するクエリ時間の正規化に基づいています。
正規化されたスキーマでは、簡単に使用して統一された機能を構築できる、予測可能なイベントの種類の標準セットがカバーされています。 このスキーマでは、イベントを表すフィールド、正規化された列の名前付け規則、フィールド値の標準形式を定義します。
パーサーは、既存のデータを正規化されたスキーマにマップします。 パーサーを実装するには、KQL 関数を使います。 ウェビナー「ASIM の拡張と管理: パーサーの開発、テスト、デプロイ」 (YouTube またはプレゼンテーション) をご覧ください。
それぞれの正規化されたスキーマのコンテンツには、分析ルール、ブック、ハンティング クエリが含まれます。 このコンテンツは、ソース固有のコンテンツを作成することなく、正規化されたデータに対して機能します。
ASIM を使用すると、次のような利点が得られます。
クロス ソース検出: 正規化された分析ルールは、オンプレミスとクラウドのソースにまたがって機能します。 このルールで、ブルート フォースなどの攻撃や、Okta、AWS、Azure などのシステムにまたがるあり得ない移動を検出します。
ソースに依存しないコンテンツの許可: ASIM を使用した組み込みコンテンツとカスタム コンテンツの両方を対象する範囲は、コンテンツの作成後にソースが追加された場合でも、ASIM をサポートする任意のソースに自動的に拡張されます。 たとえば、プロセス イベント分析では、Microsoft Defender for Endpoint、Windows イベント、Sysmon など、ユーザーがデータを取り込むために使用できるすべてのソースがサポートされます。 リリース時には、Sysmon for Linux と WEF を追加する準備ができています。
組み込み分析におけるカスタム ソースのサポート
使いやすさ: ASIM を学んだアナリストであれば、フィールド名は常に同じなのでクエリの記述が非常に簡単であることがわかります。
ASIM の詳細情報
これらのリソースを利用します。
Azure Sentinel での正規化の概要に関するウェビナー (YouTube またはプレゼンテーション) をご覧ください。
ウェビナー「Microsoft Sentinel の正規化パーサーと正規化されたコンテンツの詳細」 (YouTube、MP3、プレゼンテーション) をご覧ください。
ウェビナー「ASIM を向上する: 正規化がパフォーマンスに影響を与えるのではなく、パフォーマンスに役立つことを確認する」 (YouTube、MP4、またはプレゼンテーション) をご覧ください。
ASIM ドキュメントを参照してください。
ASIM をデプロイする
GitHub の parsers フォルダー内の "ASIM*" で始まるフォルダーからパーサーをデプロイします。
ASIM を使用する分析ルールをアクティブにします。 テンプレート ギャラリーで normal を検索して、その一部を見つけます。 すべての一覧を取得するには、こちらの GitHub 検索を使用します。
ASIM を使用する
ログ画面で KQL を使っているときに ASIM クエリを使います。
ASIM を使用して独自の分析ルールを作成するか、既存のルールを変換します。
カスタム ソースのパーサーを記述して ASIM と互換性を持つようにし、組み込みの分析に取り込みます
パート 3: コンテンツの作成
Microsoft Sentinel のコンテンツとは?
Microsoft Sentinel のセキュリティの価値は、その組み込みの機能と、カスタム機能を作成して組み込み機能をカスタマイズできることを、併せて利用できる点です。 組み込みの機能の中には、ユーザーとエンティティの行動分析 (UEBA)、機械学習、または既定で使用できる分析ルールがあります。 カスタマイズされた機能は、多くの場合 "コンテンツ" と呼ばれ、分析ルール、ハンティング クエリ、ブック、プレイブックなどを含みます。
このセクションでは、このようなコンテンツを作成する方法や組み込みコンテンツをニーズに合わせて変更する方法を学ぶモジュールを、グループにまとめました。 まず、Azure Microsoft Sentinel の共通言語である KQL から始めます。 次のモジュールでは、ルール、プレイブック、ブックなどのコンテンツの構成要素の 1 つについて説明します。 脅威の検出、ハンティング、ガバナンスなどの特定のセキュリティ目標に対処する、さまざまな種類の要素を含むユース ケースについて説明していきます。
モジュール 10: Kusto 照会言語
ほとんどの Microsoft Sentinel 機能では、Kusto 照会言語 (KQL) を使います。 ログ内の検索、ルールの記述、ハンティング クエリの作成、またはブックの設計を行う場合は、KQL を使用します。
ルールの記述に関する次のセクションでは、特定のコンテキストの SIEM ルールで KQL を使用する方法について説明します。
Microsoft Sentinel KQL を学習するために推奨されているユーザー体験
Pluralsight KQL コース: 基本を理解できます
必修の KQL: 20 パート KQL シリーズ。最初の分析ルールを作成する基本の手順について説明します (評価と認定が含まれています)。
Microsoft Sentinel KQL ラボ: Microsoft Sentinel に必要な内容に焦点を当てた、KQL を教える対話型ラボ:
- 学習モジュール (SC-200 パート 4)
- プレゼンテーションまたはラボの URL
- あるバージョンの Jupyter Notebook。ノートブック内のクエリをテストできます。
- 学習ウェビナー: YouTube または MP4
- ラボ ソリューションのレビュー ウェビナー: YouTube または MP4
Azure Microsoft Sentinel KQL クエリのパフォーマンスを最適化する方法に関するウェビナー (YouTube、MP4、または プレゼンテーション)
ウェビナー「Microsoft Sentinel 用 KQL フレームワーク: KQL に精通する」: YouTube、プレゼンテーション。
KQL を学習する際には、次のリファレンスも役立つ可能性があります。
モジュール 11: 分析
スケジュール化された分析ルールの記述
Microsoft Sentinel では、組み込みのルール テンプレートの使用、環境に合わせたテンプレートのカスタマイズ、またはカスタム ルールの作成を行うことができます。 ルールの中核は KQL クエリです。ただし、ルール内では、さらに多くの内容を構成する必要があります。
ルールを作成する手順については、「脅威を検出するためのカスタム分析ルールを作成する」を参照してください。 ルールを記述する方法 (つまり、ルール用の KQL に焦点を当ててルールに何を含めるか) については、ウェビナー (YouTube、MP4、プレゼンテーション) をご覧ください。
SIEM 分析ルールには、特定のパターンがあります。 ルールを実装し、それらのパターンに合わせて KQL を記述する方法を、以下で確認してください。
相関ルール: リストと "in" 演算子の使用、または "join" 演算子の使用に関する記事を参照してください。
集計: リストと "in" 演算子の使用、またはスライディング ウィンドウを処理するより高度なパターンに関する記事を参照してください。
検索: 通常、または近似的、部分的、および結合された検索
擬陽性の処理
遅延イベント: どの SIEM でもよく起こることであり、対応が困難です。 Microsoft Sentinel を利用すると、ルール内の遅延を軽減できる可能性があります。
KQL 関数を "構成要素" として使用する: パラメーター化された関数を使用して Windows セキュリティ イベントをエンリッチします。
ブログ記事「BLOB と File Storage の調査」は、有用な分析ルールを記述する手順の例を示しています。
組み込みの分析の使用
独自のルールを作成する前に、組み込みの分析機能を利用することを検討してください。 必要となる作業は多くありませんが、これらについて学ぶことは重要です。
組み込みのスケジュール化されたルール テンプレートを使用します。 これらのテンプレートを調整するには、スケジュール化されたルールを編集する場合と同じ方法で変更します。 テンプレートは、データ コネクタの [次の手順] タブに一覧表示された、接続するデータ コネクタに対してデプロイしてください。
Microsoft Sentinel の機械学習機能の詳細 (YouTube、MP4、またはプレゼンテーション) をご覧ください。
既定で有効になっている、Microsoft Sentinel の高度なマルチステージ攻撃検出 (Fusion) の一覧を確認します。
スケジュールされた分析ルールによる Fusion 機械学習検出に関するウェビナー (YouTube、MP4、プレゼンテーション) をご覧ください。
詳細については、Microsoft Sentinel の組み込みの SOC 機械学習の異常に関する記事を参照してください。
カスタマイズされた SOC 機械学習の異常とその使用方法に関するウェビナー (YouTube、MP4、プレゼンテーション) をご覧ください。
新しい脅威と構成 UI の Fusion 機械学習検出に関するウェビナー (YouTube または プレゼンテーション) をご覧ください。
モジュール 12: SOAR の実装
Microsoft Sentinel などのモダン SIEM では、インシデントがトリガーされた瞬間から解決されるまでのプロセス全体を SOAR で構成しています。 このプロセスは、インシデントの調査から始まり、自動応答へと進みます。 ブログ記事「インシデント対応、オーケストレーション、オートメーションに Microsoft Sentinel を使用する方法」で、SOAR の一般的なユース ケースの概要を示しています。
オートメーション ルールは、Microsoft Sentinel でのオートメーションの始点となります。 これらは、抑制、偽陽性処理、自動割り当てなど、インシデントの一元的な自動処理のための軽量な手段を提供します。
堅牢なワークフロー ベースのオートメーション機能を提供するために、オートメーション ルールでは Logic Apps プレイブックを使用します。 詳細については、以下を参照してください。
ウェビナー「プロのようにオートメーションの Jedi トリックを解き、Logic Apps プレイブックを構築する」 (YouTube、MP4、またはプレゼンテーション) をご覧ください。
Microsoft Sentinel プレイブックを推進するコア テクノロジである Logic Apps に関する記事を参照してください。
Logic Apps と Microsoft Sentinel 間のリンクである Microsoft Sentinel Logic Apps コネクタに関する記事を参照してください。
Microsoft Sentinel GitHub の Playbooks フォルダーに多くの有用なプレイブックがあります。また、プレイブック チュートリアルのウォッチリストを使用してサブスクリプションの所有者にアラートを知らせるプレイブックに関する記事を参照してください。
モジュール 13: ブック、レポート、視覚化
Workbooks
SOC の中枢として、Microsoft Sentinel で、これによって収集および生成される情報を視覚化する必要があります。 Microsoft Sentinel でデータを視覚化するにはブックを使用します。
ブックを作成する方法については、Azure Workbooks のドキュメントを参照するか、Billy York のブックのトレーニング (および付随するテキスト) をご覧ください。
前述のリソースは、Microsoft Sentinel に特化したものではありません。 これらはブック全般に適用されます。 Microsoft Sentinel のブックの詳細については、ウェビナー (YouTube、MP4、またはプレゼンテーション) をご覧ください。 ドキュメントを参照してください。
ブックは対話型の場合があり、単なるグラフ作成以上のことを多く実行できます。 ブックを使用すると、組み込み機能を補完する Microsoft Sentinel 用のアプリまたは拡張機能モジュールを作成できます。 また、ブックを使用して Microsoft Sentinel の機能を拡張することもできます。 このようなアプリの例をいくつか次に示します。
調査分析情報ブックには、インシデントを調査するための代替手法が用意されています。
外部 Teams コラボレーションのグラフ視覚化を使用すると、Teams の危険な使用を追求できます。
ユーザーのトラベル マップ ブックを使用すると、地理的な場所のアラートを調査できます。
Microsoft Sentinel の安全でないプロトコルのブックの実装ガイド、最近の機能強化、概要ビデオ) では、ネットワーク内の安全でないプロトコルの使用を特定できます。
最後に、ブック内の API 呼び出しを使用して任意のソースの情報を統合する方法を確認します。
Microsoft Sentinel GitHub の Workbooks フォルダーに多数のブックがあります。 その一部は、Microsoft Sentinel ブック ギャラリーにもあります。
レポートとその他の視覚化オプション
ブックはレポートに使用できます。 レポートのスケジュール設定と配布、ピボット テーブルなどの、より高度なレポート機能では、以下を使用できます。
Power BI。Azure Monitor Logs および Microsoft Sentinel とネイティブに統合されています。
Excel。Azure Monitor Logs と Microsoft Sentinel をデータ ソースとして使用できます。また、Azure Monitor を使った Azure Monitor Logs と Excel の統合に関するビデオをご覧ください。
この後のハンティングに関するモジュールで説明するトピックである Jupyter ノートブックも優れた視覚化ツールです。
モジュール 14: ノートブック
Jupyter Notebook は、Microsoft Sentinel と完全に統合されています。 これはハンターのツール チェストに入っている重要なツールと見なされ、以下のハンティングのセクションのウェビナーで語られていますが、その価値はその内容をはるかに上回ります。 ノートブックは、高度な視覚化、調査ガイド、高度なオートメーションに役立ちます。
ノートブックについて理解を深めるには、ノートブックの紹介ビデオをご覧ください。 ノートブックのウェビナー (YouTube、MP4、またはプレゼンテーション) を使用して作業を開始するか、ドキュメントを参照してください。 Microsoft Sentinel ノートブック Ninja シリーズは、ノートブックでのスキルアップのための継続的なトレーニング シリーズです。
統合の重要な部分は MSTICPy によって実装されます。これは、Jupyter Notebook で使用するために Microsoft の研究チームによって開発された Python ライブラリです。 これにより、Microsoft Sentinel インターフェイスと高度なセキュリティ機能がノートブックに追加されます。
モジュール 15: ユース ケースとソリューション
コネクタ、ルール、プレイブック、ブックを使用すると、"ユース ケース" (脅威の検出と対応を目的としたコンテンツ パックを表す SIEM 用語) を実装できます。 Microsoft Sentinel の組み込みのユース ケースをデプロイするには、各コネクタの接続時に推奨されているルールをアクティブにします。 "ソリューション" は、特定の脅威ドメインに対処するユース ケースのグループです。
ウェビナー「ID に取り組む」 (YouTube、MP4、またはプレゼンテーション) では、ユース ケースの意味とその設計へのアプローチ方法について説明し、ID の脅威に総合的に対処するいくつかのユース ケースを紹介します。
関連するもう 1 つのソリューション領域は、リモート作業の保護です。 リモート ワークの保護に関する Ignite セッションをご覧ください。また、次の具体的なユース ケースについて詳細を参照してください。
Microsoft Teams ハンティングのユース ケースと外部 Microsoft Teams コラボレーションのグラフ視覚化
Microsoft Sentinel を使用した Zoom の監視: カスタム コネクタ、分析ルール、ハンティング クエリ。
Microsoft Sentinel を使用した Azure Virtual Desktop の監視: Windows セキュリティ イベント、Microsoft Entra サインイン ログ、Microsoft Defender XDR for Endpoints、Azure Virtual Desktop 診断ログを使用して Azure Virtual Desktop の脅威を検出して追求します。
クエリとブックを使用して Microsoft Intune を監視します。
最後に、最近の攻撃に焦点を当てて、Microsoft Sentinel でソフトウェア サプライ チェーンを監視する方法について確認します。
Microsoft Sentinel ソリューションを使用すると、Microsoft Sentinel のエンドツーエンドの製品、ドメイン、垂直のソリューションを、製品内で簡単に検出し、ワンステップでデプロイして、有効にすることができます。 詳細については、「Microsoft Sentinel コンテンツとソリューションについて」を参照してください。また、ウェビナー「独自の Microsoft Sentinel ソリューションを作成する」 (YouTube またはプレゼンテーション) をご覧ください。
パート 4: 運用
モジュール 16: インシデントの処理
SOC を構築したら、その使用を開始する必要があります。 SOC アナリスト生活の 1 日に関するウェビナー (YouTube、MP4、プレゼンテーション) では、SOC で Microsoft Sentinel を使用してインシデントをトリアージ、調査、対応する方法について説明します。
チームが組織全体で、また外部の利害関係者とシームレスに共同作業できるようにするには、Microsoft Sentinel から Microsoft Teams と直接統合する方法に関する記事を参照してください。 また、ウェビナー「Microsoft Sentinel を Microsoft Teams と統合して SOC の MTTR (平均応答時間) を短縮する」をご覧ください。
インシデント調査に関するドキュメント記事を参照することもできます。 調査の一環として、エンティティ ページを使用して、インシデントに関連するエンティティ、または調査の一部として特定されたエンティティに関する詳細を取得することもできます。
Microsoft Sentinel でのインシデント調査は、中核となるインシデント調査機能を超えて拡大したものです。 ブックとノートブックを使って、さらに調査ツールを構築できます。ノートブックについては、次のセクション「モジュール 17: ハンティング」を参照してください。 追加の調査ツールを構築したり、特定のニーズに合わせて既存のものを変更したりすることもできます。 たとえば、次のようになります。
調査分析情報ブックには、インシデントを調査するための代替手法が用意されています。
ノートブックを使用すると、調査のエクスペリエンスが向上します。 「セキュリティ調査に Jupyter を使用する理由」を参照ししてください。また、Microsoft Sentinel と Jupyter ノートブックを使用して調査する方法について確認してください。
モジュール 17: ハンティング
これまでの説明のほとんどは検出とインシデント管理に焦点を当てていましたが、"ハンティング" は Microsoft Sentinel でのもう 1 つの重要なユース ケースです。 ハンティングは、アラートに対するリアクティブ型の対応ではなく、脅威を事前に探索することです。
ハンティング ダッシュボードは常に更新されています。 そこには、Microsoft のセキュリティ アナリスト チームによって記述されたすべてのクエリと、自分で作成または変更した追加のクエリが表示されます。 各クエリには、検出の対象と、クエリを実行するデータの種類に関する説明が示されます。 これらのテンプレートは、さまざまな方針でグループ化されています。 右側のアイコンは、初期アクセス、永続化、侵入など、脅威の種類を分類しています。 詳細については、「Microsoft Sentinel を使用して脅威を追求する」を参照してください。
ハンティングとは何か、Microsoft Sentinel でそれがどのようにサポートされるかの詳細については、脅威のハンティングに関する入門ウェビナー (YouTube、MP4、またはプレゼンテーション) をご覧ください。 このウェビナーは、新機能の更新から始まります。 ハンティングについて学習するには、スライド 12 から始めてください。 YouTube ビデオは、そこから開始するようにあらかじめ設定されています。
入門ウェビナーではツールに焦点を当てていますが、ハンティングはすべてセキュリティに関する内容です。 Microsoft のセキュリティ調査チームによるウェビナー (YouTube、MP4、またはプレゼンテーション) は、実際にハンティングを行う方法に焦点を当てています。
フォローアップとなる Microsoft Sentinel を使用した AWS 脅威ハンティングに関するウェビナー (YouTube、MP4、またはプレゼンテーション) では、価値の高いターゲット環境でのエンド ツー エンドのハンティング シナリオを示すことで、ポイントを絞って説明しています。
最後に、オンプレミスの Microsoft Exchange サーバーの最新の脆弱性に基づく、Microsoft Sentinel を使用した SolarWinds のセキュリティ侵害後のハンティングと WebShell ハンティングを行う方法について確認できます。
モジュール 18: ユーザーとエンティティの行動分析 (UEBA)
新しく導入された Microsoft Sentinel のユーザーとエンティティの行動分析 (UEBA) モジュールを利用して、組織内の脅威とその潜在的な影響 (送信元が侵害されたエンティティか、悪意のあるインサイダーか) を特定して調査できます。
Microsoft Sentinel では、接続されているすべてのデータ ソースからログとアラートを収集すると、それらを分析して、時間とピア グループの期間全体にわたる組織のエンティティ ("ユーザー"、"ホスト"、"IP アドレス"、"アプリケーション" など) のベースライン行動プロファイルを構築します。 さまざまな手法や機械学習機能を使用して、Microsoft Sentinel で異常なアクティビティを特定でき、資産が侵害されているかどうかを判定するのに役立ちます。 それだけではなく、特定の資産の相対的な機密性を見つけたり、資産のピア グループを識別したり、特定の侵害された資産の潜在的な影響 (その "影響範囲") を評価したりすることもできます。 これらの情報を利用して、調査やインシデント処理に効果的に優先順位を付けることができます。
UEBA の詳細については、ウェビナー (YouTube、MP4、またはプレゼンテーション) をご覧ください。また、SOC での調査に UEBA を使用する方法に関する記事を参照してください。
最近の更新プログラムについては、Microsoft Sentinel でのユーザー エンティティ行動分析の未来に関するウェビナーをご覧ください。
モジュール 19: Microsoft Sentinel の正常性の監視
SIEM の運用の一環として、それがスムーズに動作すること、および Azure Microsoft Sentinel において進化している領域であることを確認します。 Microsoft Sentinel の正常性を監視するには、以下を使用します。
Microsoft Sentinel の正常性データ テーブルには、コネクタごとの最新の障害イベントや、成功状態から失敗状態に変化したコネクタなど、正常性ドリフトに関する分析情報が表示されます。これを使用して、アラートや他の自動アクションを作成することができます。 詳しくは、データ コネクタの正常性の監視に関するページをご覧ください。 データ コネクタの正常性の監視ブックに関するビデオをご覧ください。 また、異常に関する通知を受け取ります。
エージェントの正常性ソリューション (Windows のみ) とハートビート テーブル (Linux と Windows) を使用してエージェントを監視します。
クエリの実行や正常性の取り込みなど、Log Analytics ワークスペースを監視します (YouTube、MP4、またはプレゼンテーション)。
コスト管理も、SOC の重要な運用手順です。 インジェスト コスト アラート プレイブックを使用して、コストの増加に常に気を配ります。
パート 5: 上級
モジュール 20: Microsoft Sentinel API を使用した拡張と統合
クラウドネイティブの SIEM として、Microsoft Sentinel は API ファーストのシステムです。 API を通じてすべての機能を構成および使用できるため、他のシステムと簡単に統合でき、独自のコードで Microsoft Sentinel を拡張できます。 API が難しそうに思える場合でも、心配はいりません。 API を使って実行できることはすべて、PowerShell を使って実行することもできます。
Microsoft Sentinel API の詳細については、短い入門ビデオをご覧ください。また、こちらのブログ記事を参照してください。 さらに詳細については、Sentinel の拡張と統合 (API) に関するウェビナー (YouTube、MP4、またはプレゼンテーション) をご覧ください。また、ブログ記事「Microsoft Sentinel の拡張: API、統合、管理のオートメーション」を参照してください。
モジュール 21: 独自の機械学習モデルを構築する
Microsoft Sentinel は、独自の機械学習アルゴリズムを実装するための優れたプラットフォームになります。 これを "独自の機械学習モデルの構築" (BYO ML) と呼びます。 BYO ML は上級ユーザーを対象にしています。 組み込みの行動分析が必要な場合は、Microsoft の機械学習分析ルールや UEBA モジュールを使用するか、独自の行動分析の KQL に基づく分析ルールを記述してください。
Microsoft Sentinel に独自の機械学習を持ち込むことから始めるには、独自の機械学習モデルの持ち込みに関するビデオをご覧ください。また、AI イマーシブ型 Azure Sentinel SIEM に独自の機械学習モデルの検出を構築する方法に関するブログ記事を参照してください。 BYO ML のドキュメントを参照することもできます。
次のステップ
- Microsoft Azure Sentinel のデプロイ前のアクティビティとデプロイの前提条件
- クイックスタート: Microsoft Sentinel をオンボードする
- Microsoft Sentinel の新機能