ブックを使用してMicrosoft Sentinel移行を追跡する

organizationのセキュリティ オペレーション センター (SOC) が大量のデータを処理するため、デプロイの状態を計画して監視することが不可欠です。 Microsoft Project、Microsoft Excel、Microsoft Teams、Azure DevOps などの汎用ツールを使用して移行プロセスを追跡できますが、これらのツールはセキュリティ情報とイベント管理 (SIEM) 移行追跡に固有ではありません。 追跡に役立つよう、Microsoft Sentinel配置と移行という名前の専用ブックMicrosoft Sentinel用意されています。

ブックは、次のことに役立ちます。

• 移行の進行状況を視覚化する
• データ ソースのデプロイと追跡
• 分析ルールとインシデントのデプロイと監視
• ブックをデプロイして利用する
• 自動化のデプロイと実行
• ユーザーとエンティティの行動分析のデプロイとカスタマイズ (U E B A)

この記事では、Microsoft Sentinel展開と移行ブックを使用して移行を追跡する方法、ブックをカスタマイズおよび管理する方法、ブック タブを使用してデータ コネクタ、分析、インシデント、プレイブック、オートメーション ルール、U E B A、およびデータ管理を展開および監視する方法について説明します。 Microsoft SentinelでAzure Monitor ブックを使用する方法の詳細を確認してください。

ブックのコンテンツをデプロイし、ブックを表示する

ブックを取得するには、まず、Microsoft Sentinelの Content ハブからスタンドアロン項目をインストールします。

1. Microsoft Sentinel コンテンツ ハブで、コンテンツ タイプ = Workbooks で一覧表示されているコンテンツをフィルター処理し、検索バーに「migration」と入力します。

2. 検索結果から、[デプロイと移行] ブックMicrosoft Sentinel選択し、[インストール] を選択します。 Microsoft Sentinelブックをデプロイし、環境内にブックを保存します。

3. Microsoft Sentinelの [脅威の管理] で、[ブック>テンプレート] を選択します。

4. [デプロイと移行] ブックと [表示] テンプレートMicrosoft Sentinel選択します。

ウォッチリストをデプロイする

次の手順では、関連するウォッチリストを Microsoft Sentinel GitHub リポジトリからデプロイします。

1. Microsoft Sentinel GitHub リポジトリで、[DeploymentandMigration] フォルダーを選択し、[Deploy to Azure] を選択して、Azureでテンプレートのデプロイを開始します。
2. Microsoft Sentinelリソース グループとワークスペース名を指定します。
3. [ 確認と作成] を選択します。
4. 情報が検証されたら、[ 作成] を選択します。

デプロイと移行アクションを使用してウォッチリストを更新する

この手順は、追跡のセットアップ プロセスに不可欠です。 この手順をスキップした場合、ブックには追跡用の項目は反映されません。

デプロイアクションと移行アクションを使用してウォッチリストを更新するには:

1. AzureまたはMicrosoft Defender ポータルで、[Microsoft Sentinel] を選択し、[ウォッチリスト] を選択します。
2. [デプロイ] エイリアスを含むウォッチリストを選択します。
3. 次に、[ ウォッチリストの更新] を選択 > ウォッチリスト項目を編集します。
4. デプロイと移行に必要なアクションの情報を指定します。
5. [保存] を選択します。

移行トラッカー ブック内でウォッチリストを表示できるようになりました。 ウォッチリストを管理する方法について説明します。

さらに、チームは、デプロイ プロセス中にタスクを更新または完了する場合があります。 これらの変更に対処するには、新しいユース ケースを特定したり、新しい要件を設定したりするときに、既存のアクションを更新するか、新しいアクションを追加します。 アクションを更新または追加するには、 デプロイしたデプロイ ウォッチリストを編集します。 プロセスを簡略化するには、ブックで [ 展開ウォッチリストの編集 ] を選択して、ブックからウォッチリストを直接開きます。

デプロイの状態を表示する

デプロイの進行状況をすばやく表示するには、[デプロイと移行] ブックMicrosoft Sentinelで [デプロイ] を選択し、下にスクロールして [進行状況の概要] を見つけます。 この領域には、次の情報を含むデプロイの状態が表示されます。

• レポート データのテーブル
• レポート データを報告するテーブルの数
• 報告されたログの数と、ログ データを報告するテーブル
• 有効なルールの数とデプロイされていないルールの数
• 推奨されるブックがデプロイされました
• デプロイされたブックの合計数
• デプロイされたプレイブックの合計数

データ コネクタのデプロイと監視

デプロイされたリソースを監視し、新しいコネクタをデプロイするには、[Microsoft Sentinel展開と移行] ブックで、[データ コネクタ] > [監視] を選択します。 [モニター] ビューには、次の一覧が表示されます。

• 現在のインジェストの傾向
• データを取り込むテーブル
• 各テーブルがレポートしているデータの量
• Azure Monitor Agent (AMA) を使用したエンドポイント レポート
• リソース グループ内のデータ収集ルールと、ルールにリンクされているデバイス
• データ コネクタの正常性 (変更とエラー)
• 指定した時間範囲内の正常性ログ

データ コネクタを構成するには:

1. [構成] ビューを 選択 します。
2. 構成するコネクタの名前を含むボタンを選択します。
3. 開いたコネクタの状態画面でコネクタを構成します。 必要なコネクタが見つからない場合は、コネクタ名を選択してコネクタ ギャラリーまたはソリューション ギャラリーを開きます。

分析とインシデントのデプロイと監視

ワークスペースでデータが報告されたら、分析ルールを構成して監視します。 [デプロイと移行] ブックMicrosoft Sentinelで、[分析] タブを選択して、デプロイされたすべてのルール テンプレートとリストを表示します。 このビューは、現在使用されているルールと、ルールがインシデントを生成する頻度を示します。

さらにカバレッジが必要な場合は、左側の表の下にある [ MITRE カバレッジの確認 ] を選択します。 このオプションを使用して、移行プロジェクトの任意の段階で、より多くのカバレッジを受け取る領域とデプロイされるルールを定義します。

分析ルールを展開し、Defender 製品コネクタがアラートを送信するように構成されている場合は、[ 展開] > [進行状況の概要] でインシデントの作成と頻度を監視します。 この領域には、SOC の正常性と最も注意が必要なアラートを示すために、製品、タイトル、分類別のアラート生成に関するメトリックが表示されます。 アラートの生成量が多すぎる場合は、[ 分析 ] タブに戻ってロジックを変更します。

ブックをデプロイして利用する

Microsoft Sentinel実行されるデータ インジェストと検出に関する情報を視覚化するには、Microsoft Sentinelの [配置と移行] ブックで [ブック] を選択します。 [データ コネクタ] タブと同様に、[監視] ビューと [構成] ビューを使用して、監視と構成の情報を表示します。

[ブック] タブで実行する便利なタスク を次に 示します。

• 環境内のすべてのブックの一覧と、デプロイされているブックの数を表示するには、[監視] を選択 します。

• Microsoft Sentinel配置および移行ブック内の特定のブックを表示するには、ブックを選択し、[選択したブックを開く] を選択します。

  

• まだブックを展開していない場合は、[ 構成 ] を選択して、一般的に使用されるブックと推奨されるブックの一覧を表示します。 ブックが一覧にない場合は、[ ブック ギャラリーに移動] または [ コンテンツ ハブに移動 ] を選択して、関連するブックを展開します。

  

プレイブックと自動化ルールをデプロイして監視する

データ インジェスト、検出、視覚化を構成するときに、自動化について調ることができるようになりました。 [デプロイと移行] ブックMicrosoft Sentinelで、[Automation] を選択してデプロイされたプレイブックを表示し、現在オートメーション ルールに接続されているプレイブックを確認します。 オートメーション ルールが存在する場合、ブックでは各ルールに関する次の情報が強調表示されます。

• 名前
• 状態
• ルールのアクションまたはアクション
• ルールが変更された最後の日付と、ルールを変更したユーザー
• ルールが作成された日付

ブックの現在のセクション内で自動化を表示、デプロイ、テストするには、左下にある [ 自動化リソースのデプロイ ] を選択します。

プレイブックとオートメーション ルールのMICROSOFT SENTINEL SOAR 機能について説明します。

U E B A のデプロイと監視

データのレポートと検出はエンティティ レベルで行われるため、エンティティの動作と傾向を監視することが不可欠です。 Microsoft Sentinel内で U E B A 機能を有効にするには、Microsoft Sentinelデプロイと移行ブックで UEBA を選択します。 ここでは、エンティティ ページのエンティティ タイムラインをカスタマイズし、データが設定されているエンティティ関連のテーブルを表示できます。

U E B A を有効にするには:

1. テーブルの一覧の上にある [UEBA を有効にする] を選択 します。
2. U E B A を有効にするには、[ オン] を選択します。
3. 分析情報の生成に使用するデータ ソースを選択します。
4. [適用] を選択します。

U E B A を有効にした後、Microsoft Sentinelが U E B A データを生成していることを監視し、確認します。

タイムラインをカスタマイズするには:

1. テーブルの一覧の上にある [ エンティティ タイムラインのカスタマイズ ] を選択します。
2. カスタム項目を作成するか、すぐに使えるテンプレートのいずれかを選択します。
3. テンプレートをデプロイしてウィザードを完了するには、[ 作成] を選択します。

U E B A の詳細を確認するか、タイムラインをカスタマイズする方法について説明します。

データ ライフサイクルの構成と管理

Microsoft Sentinelにデプロイまたは移行するときは、受信ログの使用状況とライフサイクルを管理することが不可欠です。 [配置と移行] ブックMicrosoft Sentinelで、[データ管理] を選択して、テーブルの保持とアーカイブを表示および構成します。

次に関する情報を表示します。

• 基本的なログ インジェスト用に構成されたテーブル
• 分析レベルのインジェスト用に構成されたテーブル
• アーカイブされるように構成されたテーブル
• 既定のワークスペースリテンション期間のテーブル

テーブルの既存のアイテム保持ポリシーを変更するには:

1. [既定の保持テーブル] ビューを選択します。
2. 変更するテーブルを選択し、[ 保持期間の更新] を選択します。 必要に応じて、次の情報を編集します。
   • ワークスペース内の現在の保持期間
   • アーカイブ内の現在の保持期間
   • データが環境内に存在する合計日数
3. TotalRetention 値を編集して、環境内にデータを存在させる新しい合計日数を設定します。

ArchiveRetention 値は、InteractiveRetention 値から TotalRetention 値を減算することによって計算されます。 ワークスペースのリテンション期間を調整する必要がある場合、変更は構成済みのアーカイブを含むテーブルには影響せず、データは失われません。 InteractiveRetention 値を編集しても TotalRetention の値が変更されない場合は、Log Analytics Azureアーカイブのリテンション期間が調整され、変更が補正されます。

UI で変更を加える場合は、[UI の保持期間の更新 ] を選択して、関連するページを開きます。

データ ライフサイクル管理について説明します。

移行のヒントと手順を有効にする

配置と移行のプロセスを支援するために、ブックには、さまざまなタブの使用方法を説明するヒントと、関連するリソースへのリンクが含まれています。 このヒントは、Microsoft Sentinel移行に関するドキュメントに基づいており、現在の SIEM に関連しています。 ヒントと手順を有効にするには、Microsoft Sentinel展開と移行ブックの右上にある [MigrationTips and Instruction]\(移行ヒントと命令\) を [はい] に設定します。

次の手順

この記事では、Microsoft Sentinelデプロイと移行ブックを使用して移行を追跡する方法について説明しました。

• ArcSight 検出ルールを移行する
• Splunk 検出ルールを移行する
• QRadar 検出ルールを移行する