この記事では、最もよく使用されるMicrosoft Sentinelブックの一覧を示します。 Microsoft Sentinelの Content ハブからブックを含むソリューションまたはスタンドアロン項目をインストールします。 ソリューションまたはスタンドアロン項目で [管理] を選択して、コンテンツ ハブからブックを取得します。 または、[脅威の管理] のMicrosoft Sentinelで、[ブック] に移動し、使用するブックを検索します。 詳細については、「 データの視覚化と監視」を参照してください。
取り込むデータに関連付けられているブックは、Microsoft Sentinelにデプロイすることをお勧めします。 ブックを使用すると、収集されたデータに基づいて、より広範な監視と調査が可能になります。 詳細については、「Microsoft Sentinel データ コネクタ」および「Microsoft Sentinelすぐに使えるコンテンツを検出して管理する」を参照してください。
一般的に使用されるブック
次の表には、推奨されるブックと、ブックを含む Content ハブ のソリューションまたはスタンドアロン項目が含まれています。
| ブック名 | 説明 | コンテンツ ハブのタイトル |
|---|---|---|
| Analytics Health & 監査 | 分析ルールの正常性と監査を可視化します。 分析ルールが期待どおりに実行されているかどうかを確認し、分析ルールに加えられた変更の一覧を取得します。 詳細については、「 正常性を監視し、分析ルールの整合性を監査する」を参照してください。 |
Analytics Health & 監査 |
| Azure アクティビティ | すべてのユーザー操作とイベントを分析して関連付けることで、organizationのAzureアクティビティに関する広範な分析情報を提供します。 詳細については、「Azure アクティビティ ログを使用した監査」を参照してください。 |
Azure アクティビティ |
| Azure セキュリティ ベンチマーク | クラウド ワークロードのセキュリティ体制を可視化します。 Microsoft のセキュリティ オファリング、Azure、Microsoft 365、サード パーティ、オンプレミス、マルチクラウド ワークロード全体のAzure セキュリティ ベンチマークコントロールに合わせて、ログ クエリ、Azure リソース グラフ、ポリシーを表示します。 詳細については、 TechCommunity ブログを参照してください。 |
Azure セキュリティ ベンチマーク |
| サイバーセキュリティ成熟度モデル認定 (CMMC) | Microsoft のセキュリティ オファリング、Microsoft 365、Microsoft Teams、Intune、Azure Virtual Desktop など、Microsoft ポートフォリオ全体の CMMC コントロールに合わせて調整されたログ クエリを表示する方法を提供します。 詳細については、 TechCommunity ブログを参照してください。 |
サイバーセキュリティ成熟度モデル認定 (CMMC) 2.0 |
| データ収集の正常性の監視 | インジェスト サイズ、待機時間、ソースごとのログ数など、ワークスペースのデータ インジェスト状態に関する分析情報を提供します。 異常を監視および検出して、ワークスペースのデータ収集の正常性を判断するのに役立ちます。 詳細については、「このMicrosoft Sentinel ブックを使用してデータ コネクタの正常性を監視する」を参照してください。 |
データ収集の正常性の監視 |
| Event Analyzer | Windows イベント ログ分析を調べて監査し、高速化します。 セキュリティ、アプリケーション、システム、セットアップ、ディレクトリ サービス、DNS など、すべてのイベントの詳細と属性が含まれます。 | Windows セキュリティ イベント |
| ID & Access | 監査ログとサインイン ログを使用して、Microsoft 製品の使用に関する分析情報を収集し、セキュリティ ログを収集して分析することで、ID とアクセス操作に関する分析情報を提供します。 | Windows セキュリティ イベント |
| インシデントの概要 | インシデントに関する詳細な情報 (一般的な情報、エンティティ データ、トリアージ時間、軽減時間、コメントなど) を提供することで、トリアージと調査を支援するように設計されています。 詳細については、「 Data-Driven SOC 用ツールキット」を参照してください。 |
SOC ハンドブック |
| 調査の分析情報 | インシデント、ブックマーク、エンティティ データに関する分析情報をアナリストに提供します。 一般的なクエリと詳細な視覚化は、アナリストが疑わしいアクティビティを調査するのに役立ちます。 | SOC ハンドブック |
| Microsoft Defender for Cloud Apps - 検出ログ | organizationで使用されるクラウド アプリの詳細と、特定のユーザーとアプリケーションの使用状況の傾向とドリルダウン データからの分析情報を提供します。 詳細については、「Microsoft SentinelのコネクタMicrosoft Defender for Cloud Apps」を参照してください。 |
Microsoft Defender for Cloud Apps |
| 監査ログのMicrosoft Entra | 監査ログを使用して、Microsoft Entra IDシナリオに関する分析情報を収集します。 パスワードとグループの管理、デバイス アクティビティ、アクティブな上位のユーザーとアプリなど、ユーザー操作について説明します。 詳細については、「クイック スタート: Microsoft Sentinelの概要」を参照してください。 |
Microsoft Entra ID |
| サインイン ログのMicrosoft Entra | ユーザーのサインインと場所、電子メール アドレス、ユーザーの IP アドレス、失敗したアクティビティ、エラーをトリガーしたエラーなど、サインイン操作に関する分析情報を提供します。 | Microsoft Entra ID |
| MITRE ATT&CK ブック | MICROSOFT SENTINELの MITRE ATT&CK カバレッジの詳細を提供します。 | SOC ハンドブック |
| Office 365 | すべての操作とアクティビティをトレースして分析することで、Office 365に関する分析情報を提供します。 SharePoint、OneDrive、Teams、Exchange の各データにドリルダウンします。 | Microsoft 365 |
| セキュリティ アラート | Microsoft Sentinel環境のアラートに対するセキュリティ アラート ダッシュボードを提供します。 詳細については、「 Microsoft セキュリティ アラートからインシデントを自動的に作成する」を参照してください。 |
SOC ハンドブック |
| セキュリティ運用の効率 | セキュリティ オペレーション センター (SOC) マネージャーが、チームのパフォーマンスに関する全体的な効率メトリックとメジャーを表示することを目的としています。 詳細については、「 インシデント メトリックを使用して SOC をより適切に管理する」を参照してください。 |
SOC ハンドブック |
| 脅威インテリジェンス | 脅威インジケーターのインジェストに関する分析情報を提供します。 Microsoft ファースト パーティ、サード パーティ、オンプレミス、ハイブリッド、マルチクラウドのワークロード全体で大規模なインジケーターを検索します。 詳細については、「Microsoft Sentinelの脅威インテリジェンスについて」と TechCommunity ブログを参照してください。 |
脅威インテリジェンス |
| ワークスペース使用状況レポート | ワークスペースの使用状況に関する分析情報を提供します。 ワークスペースのデータ消費量、待機時間、推奨されるタスク、コストと使用状況の統計情報を表示します。 | ワークスペース使用状況レポート |
| ゼロ トラスト (TIC3.0) |
信頼されたインターネット接続フレームワークにクロスウォークされた、ゼロ トラスト原則の自動化された視覚化を提供します。 詳細については、ゼロ トラスト (TIC 3.0) ブックのお知らせに関するブログを参照してください。 |
ゼロ トラスト (TIC 3.0) |