前のデプロイ 手順では、Microsoft Sentinel、正常性の監視、および必要なソリューションを有効にしました。 この記事では、さまざまな種類のMicrosoft Sentinelセキュリティ コンテンツを構成する方法について説明します。これにより、システム全体のセキュリティ上の脅威を検出、監視、対応できます。 この記事は、Microsoft Sentinelのデプロイ ガイドの一部です。
セキュリティ コンテンツを構成する
| 手順 | 説明 |
|---|---|
| データ コネクタを設定する |
デプロイを計画したときに選択したデータ ソースに基づいて、関連するソリューションを有効にした後、データ コネクタをインストールまたは設定できるようになりました。 - 既存のコネクタを使用している場合は、この完全なデータ コネクタの一覧から コネクタを見つけます 。 - カスタム コネクタを作成する場合は、 これらのリソースを使用します。 - CEF ログまたは Syslog ログを取り込むコネクタを設定する場合は、これらの オプションを確認してください。 |
| 分析ルールを設定する | organization全体からデータを収集するようにMicrosoft Sentinelを設定したら、分析ルールの使用を開始して脅威を検出できます。 分析ルールの設定と構成に必要な手順を選択します。 - テンプレートまたはゼロからスケジュールされたルールを作成する: 環境内の脅威や異常な動作を検出するのに役立つ分析ルールを作成します。 - データ フィールドをエンティティにマップする: 分析ルールでエンティティ マッピングを追加または変更します。 - アラートのカスタムの詳細を表示する: 分析ルールでカスタムの詳細を追加または変更します。 - アラートの詳細をカスタマイズする: 基になるクエリ結果のコンテンツを使用して、アラートの既定のプロパティをオーバーライドします。 - 分析ルールのエクスポートとインポート: 分析ルールを Azure Resource Manager (ARM) テンプレート ファイルにエクスポートし、これらのファイルからルールをインポートします。 エクスポート アクションでは、ブラウザーのダウンロード場所に JSON ファイルが作成されます。これにより、他のファイルと同様に名前の変更、移動、その他の処理を行うことができます。 - ほぼリアルタイム (NRT) 検出分析ルールを作成する: すぐに使用できる、ほぼリアルタイムの脅威検出のための分析ルールを作成します。 この種類のルールは、わずか 1 分間隔でクエリを実行することで、応答性が高いように設計されています。 - 異常検出分析ルールの操作: 何千ものデータ ソースと数百万のイベントを使用する組み込みの異常テンプレートを使用するか、ユーザー インターフェイス内の異常のしきい値とパラメーターを変更します。 - スケジュールされた分析ルールのテンプレート バージョンを管理する: 分析ルール テンプレートのバージョンを追跡し、アクティブなルールを既存のテンプレート バージョンに戻すか、新しいテンプレート バージョンに更新します。 - スケジュールされた分析ルールでのインジェスト遅延の処理: インジェストの遅延がスケジュールされた分析ルールに与える影響と、これらのギャップをカバーするように修正する方法について説明します。 |
| 自動化ルールを設定する | 自動化ルールを作成します。 自動化ルールを実行するタイミングを決定するトリガーと条件、ルールで実行できるさまざまなアクション、残りの機能を定義します。 |
| プレイブックを設定する |
プレイブックは、脅威の対応を自動化および調整するために、Microsoft Sentinelからルーチンとして実行する修復アクションのコレクションです。 プレイブックを設定するには: - 推奨されるプレイブックを確認する - テンプレートからプレイブックを作成する: プレイブック テンプレートは、事前構築済みのテスト済みのすぐに使用できるワークフローであり、ニーズに合わせてカスタマイズできます。 テンプレートは、プレイブックをゼロから開発する際のベスト プラクティスのリファレンスとして、または新しい自動化シナリオのインスピレーションとしても役立ちます。 - プレイブックを作成するためのこれらの手順を確認する |
| ブックを設定する |
ブックは、データ分析とMicrosoft Sentinel内の豊富なビジュアル レポートの作成のための柔軟なキャンバスを提供します。 ブック テンプレートを使用すると、データ ソースを接続するとすぐに、データ全体の分析情報をすばやく取得できます。 ブックを設定するには: - 一般的に使用されるブックMicrosoft Sentinel確認する - パッケージ化されたソリューションで使用できる既存のブック テンプレートを使用する - データ全体でカスタム ブックを作成する |
| ウォッチリストを設定する |
ウォッチリストを使用すると、提供したデータ ソースのデータを、Microsoft Sentinel環境のイベントに関連付けることができます。 ウォッチリストを設定するには: - ウォッチリストを作成する - ウォッチリストを使用してクエリまたは検出ルールを構築する: ウォッチリストを結合と参照のテーブルとして扱うことで、ウォッチリストのデータに対して任意のテーブル内のデータをクエリします。 ウォッチリストを作成するときは、SearchKey を定義します。 検索キーは、ウォッチリスト内の列の名前で、他のデータとの結合または頻繁な検索オブジェクトとして使用すると想定されます。 |
次の手順
この記事では、さまざまな種類のMicrosoft Sentinelセキュリティ コンテンツを構成する方法について説明しました。