Microsoft Sentinel 運用ガイド
この記事では、セキュリティ運用 (SOC) チームとセキュリティ管理者が Microsoft Sentinel で通常のセキュリティ アクティビティの一部として計画および実行することを推奨する運用アクティビティの一覧を示します。 セキュリティ操作の管理の詳細については、「 セキュリティ操作の概要を参照してください。
毎日のタスク
次のアクティビティを毎日スケジュールします。
| タスク | description |
|---|---|
| インシデントのトリアージと調査 | Microsoft Sentinel [インシデント] ページで、現在設定されている分析ルールによって生成された新しいインシデントを確認し、新しいインシデントの調査を開始します。 詳細については、「Microsoft Azure Sentinel でインシデントを調査する」を参照してください。 |
| ハンティング クエリとブックマークを探索する | すべての組み込みクエリの結果を確認し、既存のハンティング クエリとブックマークを更新します。 新しいインシデントを手動で生成するか、該当する場合は古いインシデントを更新します。 詳細については、「: - 自動的に Microsoft セキュリティ アラートからインシデントを作成する - Microsoft Sentinel を使用した脅威の検出 - Microsoft Sentinel を使用したハンティング中のデータの追跡 |
| 分析ルール | 新しくリリースされたルールと最近接続されたデータ コネクタから新たに利用可能になったルールなど、必要に応じて新しい分析ルールを確認し、有効にします。 |
| データ コネクタ | 各データコネクタから受信した最後のログの状態、日付、時刻を確認し、データが流れていることを確認します。 新しいコネクタを検査しインジェストを調査して、指定の制限を超えていないことを確認します。 詳細については、「データ コレクションのベスト プラクティス」と「データ ソースの接続」を参照してください。 |
| Azure Monitor エージェント | サーバーとワークステーションのワークスペースへの接続が有効なことを確認し、失敗した接続のトラブルシューティングと修復を行います。 詳細については、「Azure Monitor エージェントの概要」を参照してください。 |
| プレイブックの失敗 | プレイブックの状態を確認し、エラーが発生した場合はトラブルシューティングを行います。 詳細については、「チュートリアル: Microsoft Sentinel の自動化ルールでプレイブックを使用して脅威に対応する」を参照してください。 |
毎週行うタスク
次のアクティビティを毎週スケジュールします。
| タスク | description |
|---|---|
| ソリューションまたはスタンドアロン コンテンツのコンテンツ レビュー | インストールされているソリューションまたはスタンドアロン コンテンツのコンテンツ更新プログラムをコンテンツ ハブから取得します。 分析ルール、ブック、ハンティング クエリ、プレイブックなど、環境にとって価値のある新しいソリューションまたはスタンドアロン コンテンツを確認します。 |
| Microsoft Sentinel の監査 | Microsoft Sentinel のアクティビティをレビューして、誰が分析ルールやブックマークなどのリソースの更新や削除を行ったかを確認します。 詳細については、「Microsoft Sentinel クエリとアクティビティの監査」をご覧ください。 |
毎月行うタスク
次のアクティビティを毎月スケジュールします。
| タスク | description |
|---|---|
| ユーザー アクセスを確認する | ユーザーのアクセス許可を確認し、無効なユーザーを検査します。 詳細については、「Microsoft Sentinel のアクセス許可」を参照してください。 |
| Log Analytics ワークスペースのレビュー | Log Analytics ワークスペースのデータ保持ポリシーが組織のポリシーと引き続き整合していることを確認します。 詳細については、「データ保持ポリシー」と、「Azure Data Explorer の統合によるログの長期保存」を参照してください。 |