Microsoft Azure Sentinel の操作に便利なリソース

この記事では、Microsoft Azure Sentinel の操作の詳細を入手するのに役立つリソースを一覧で示します。

クエリの作成に関する詳細

Microsoft Azure Sentinel では、Azure Monitor Log Analytics の Kusto クエリ言語 (KQL) を使用してクエリを作成します。 詳細については、次を参照してください。

監視するデータ用の Microsoft Sentinel テンプレート

Azure Active Directory セキュリティ運用ガイド」には、いくつかの運用領域について、セキュリティ上の目的で監視する重要なデータに関する具体的なガイダンスと知識が含まれています。

それぞれの記事で、「監視する内容」セクションにある、アラートと調査を推奨するイベントの一覧を確認し、Microsoft Sentinel に直接デプロイする分析ルール テンプレートも確認してください。

オートメーション作成の詳細

Azure Logic Apps と増え続ける組み込みプレイブック ギャラリーを利用し、Microsoft Azure Sentinel でオートメーションを作成します。

詳細については、Azure Logic Apps コネクタに関するページを参照してください。

プレイブック、ブック、ノートブックを比較する

次の表では、Microsoft Azure Sentinel でのプレイブック、ブック、ノートブックの違いを説明します。

カテゴリ プレイブック ブック ノートブック
ペルソナ
  • SOC エンジニア
  • すべてのレベルのアナリスト
  • SOC エンジニア
  • すべてのレベルのアナリスト
  • 脅威の検出者と Tier-2/Tier-3 アナリスト
  • インシデント調査担当者
  • データ サイエンティスト
  • セキュリティ研究者
用途 単純で反復可能なタスクの自動化:
  • 外部データの取り込み
  • TI や GeoIP 検索などを使用したデータ エンリッチメント
  • 調査
  • 修復
  • グラフ
  • Microsoft Azure Sentinel データおよび外部データに対するクエリ
  • TI、GeoIP 検索、WhoIs 検索などを使用したデータ エンリッチメント
  • 調査
  • グラフ
  • 検出
  • 機械学習とビッグ データ分析
長所
  • 単一の反復可能なタスクに最適
  • コーディングのスキルは不要
  • Microsoft Azure Sentinel データの概要に最適
  • コーディングのスキルは不要
  • 反復可能なタスクの複雑なチェーンに最適
  • アドホックでより手続き型の制御
  • 対話機能を使用したピボットがさらに容易に
  • データの操作および視覚化のための Python ライブラリが豊富
  • 機械学習とカスタム分析
  • 分析証拠の文書化および共有が簡単
課題
  • アドホックで複雑なタスク チェーンには適していない
  • 証拠の文書化と共有には適していない
  • 外部データとの統合はできない
  • 高い学習曲線、コーディングに関する知識が必要
詳細情報 Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する 収集されたデータを視覚化する Jupyter のノートブックを使用してセキュリティの脅威を検出する

ブログとフォーラムでコメントしてください

ユーザーの方のご意見をお待ちしています。

Microsoft Azure Sentinel の技術者コミュニティ スペースでは

User Voice プログラムから改善案を送信し、改善にご協力いただけます。

Microsoft Azure Sentinel GitHub コミュニティに参加する

Microsoft Azure Sentinel GitHub リポジトリは、脅威の検出とオートメーションのための強力なリソースです。

Microsoft のセキュリティ アナリストは、新しいブック、プレイブック、捜索クエリなどを常に作成して追加し、お客様の環境で使用できるようにそれらをコミュニティに投稿しています。

プライベート コミュニティの GitHub リポジトリからサンプル コンテンツをダウンロードして、Microsoft Azure Sentinel 用のカスタム ブック、捜索クエリ、ノートブック、プレイブックを作成します。

次のステップ