Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Microsoft Sentinel のコンテンツ ハブは、そのまま使える (組み込みの) コンテンツを検出して管理するための一元的な場所です。 そこでは、ドメインまたは業界別に、エンド ツー エンドの製品用のパッケージ ソリューションを見つけることができます。 GitHub リポジトリと機能ブレードでホストされている膨大な数のスタンドアロン コントリビューションにアクセスできます。

  • 状態、コンテンツ タイプ、サポート、プロバイダー、カテゴリに基づく一貫した一連のフィルター機能を使って、ソリューションとスタンドアロン コンテンツを検出します。

  • 一度に、または個別に、コンテンツをワークスペースにインストールします。

  • リスト ビューでコンテンツを表示し、更新プログラムのあるソリューションをすばやく確認します。 スタンドアロン コンテンツが自動的に更新される間に、すべてのソリューションを一度に更新します。

  • ソリューションを管理してそのコンテンツ タイプをインストールし、最新の変更を取得します。

  • 最新のテンプレートに基づいて新しいアクティブなアイテムを作成するように、スタンドアロン コンテンツを構成します。

パートナーが独自のソリューションを作成する場合は、ソリューションの作成と公開に関する Microsoft Sentinel ソリューションのビルド ガイドを参照してください。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

前提条件

コンテンツ ハブ内のスタンドアロン コンテンツまたはソリューションをインストール、更新、または削除するには、リソース グループ レベルでの Microsoft Sentinel 共同作成者ロールが必要です。

Microsoft Azure Sentinel でサポートされている他のロールとアクセス許可の詳細については、「Microsoft Azure Sentinel のアクセス許可」を参照してください。

コンテンツの検出

コンテンツ ハブには、新しいコンテンツを検索したり、既にインストールされているソリューションを管理したりするための、最適な方法が用意されています。

  1. Azure portal の Microsoft Sentinel の [コンテンツ管理] で、[コンテンツ ハブ] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選択します。

    [コンテンツ ハブ] ページには、検索可能なグリッドや、ソリューションとスタンドアロン コンテンツの一覧が表示されます。

  2. フィルターから特定の値を選ぶか、[検索] フィールドにコンテンツの名前または説明の一部を入力して、表示される一覧をフィルター処理します。

    詳細については、「Microsoft Sentinel のすぐに使えるコンテンツとソリューションのカテゴリ」を参照してください。

  3. [カード ビュー] を選択すると、ソリューションに関する詳細情報が表示されます。

    各コンテンツ項目にはそれに適用されるカテゴリが表示され、ソリューションには含まれるコンテンツ タイプが表示されます。 たとえば、次の画像では、Cisco Umbrella ソリューションのカテゴリの 1 つとしてセキュリティ - クラウド セキュリティが表示され、データ コネクタ、分析ルール、ハンティング クエリ、ブックなどが含まれていることが示されています。

コンテンツをインストールまたは更新する

スタンドアロン コンテンツとソリューションを、個別に、またはすべてまとめて、インストールします。 一括操作について詳しくは、次のセクションの「コンテンツを一括でインストールおよび更新する」をご覧ください。

デプロイしたソリューションに前回のデプロイからの更新プログラムがある場合、リスト ビューの状態列に [更新] と表示されます。 ソリューションは、ページ上部の [更新] の数にも含まれます。

個々のソリューションをインストールする例を次に示します。

  1. [コンテンツ ハブ]で、ソリューションを検索して選択します。

  2. [ソリューションの詳細] ウィンドウで、右下から [詳細の表示] を選択します。

  3. [作成] または [更新] を選択します。

  4. [基本] タブに、ソリューションをデプロイするサブスクリプション、リソース グループ、ワークスペースを入力します。 次に例を示します。

    [基本] タブが表示されているソリューションインストールウィザードのスクリーンショット。

  5. [次へ] を選択して残りのタブに移動すると、各コンテンツ コンポーネントについて確認したり、コンポーネントを構成したりすることができます。

    タブは、ソリューションによって提供されるコンテンツに対応しています。 ソリューションによってコンテンツの種類が異なる場合があるため、すべてのソリューションに同じタブが表示されるわけではありません。

    Microsoft Sentinel でシステムに対して認証できるように、サード パーティのサービスに資格情報を入力するように求められる場合もあります。 たとえば、プレイブックでは、システムで規定されている応答アクションを実行しなければならないことがあります。

  6. [確認と作成] タブで、Validation Passed メッセージが表示されるまで待ちます。

  7. [作成] または [更新] を選択して、ソリューションをデプロイします。 [自動化テンプレートのダウンロード] リンクをクリックし、ソリューションをコードとしてデプロイすることもできます。

ソリューション内の各コンテンツ タイプには、構成のための追加のステップが必要になるものがあります。 詳細については、「ソリューションのコンテンツ項目を有効にする」を参照してください。

コンテンツを一括でインストールおよび更新する

コンテンツ ハブでは、既定のカード ビューに加えてリスト ビューがサポートされています。 リスト ビューを選択すると、複数のソリューションとスタンドアロン コンテンツを一度にインストールできます。 スタンドアロン コンテンツは自動的に最新の状態に保たれます。 コンテンツ ハブからインストールされたソリューションまたはスタンドアロン コンテンツに基づいて作成されたアクティブまたはカスタムのコンテンツは変更されません。

  1. 項目を一括でインストールしたり更新したりするには、リスト ビューに変更します。

  2. 検索またはフィルター処理して、一括でインストールまたは更新するコンテンツを検出します。

  3. インストールまたは更新する各ソリューションまたはスタンドアロン コンテンツのチェックボックスをオンにします。

  4. [インストール/更新] ボタンを選択します。 複数のソリューションが選択され、インストールが進行中のソリューション リスト ビューのスクリーンショット。

    選択したソリューションまたはスタンドアロン コンテンツが既にインストールまたは更新されている場合、その項目に対するアクションは実行されません。 この操作が他の項目の更新やインストールを妨げることはありません。

  5. インストールしたソリューションごとに [管理] を選択します。 ソリューション内のコンテンツ タイプには、構成のための詳細情報が必要になるものがあります。 詳細については、「ソリューションのコンテンツ項目を有効にする」を参照してください。

ソリューションのコンテンツ項目を有効にする

コンテンツ ハブからインストールされたソリューションのコンテンツ項目を一元的に管理します。

  1. コンテンツ ハブで、バージョンが 2.0.0 以降のインストール済みソリューションを選択します。

  2. ソリューションの詳細ページで、[管理] を選択します。

    Azure アクティビティ コンテンツ ハブ ソリューションの詳細ページの [管理] ボタンのスクリーンショット。

  3. コンテンツ項目の一覧を確認します。

    Azure アクティビティ ソリューションのソリューションの説明とコンテンツ項目の一覧のスクリーンショット。

  4. 開始するコンテンツ項目を選択します。

各コンテンツ タイプを管理する

次のセクションでは、ソリューションを管理する場合に、さまざまなコンテンツ タイプを扱う方法についていくつかのヒントを示します。

データ コネクタ

データ コネクタを接続するには、構成手順を完了します。

  1. [Open connector page](コネクタ ページを開く) を選択します。

  2. データ コネクタの構成手順を完了します。

    状態が [切断済み] の Azure アクティビティ ソリューションのデータ コネクタ コンテンツ項目のスクリーンショット。

    データ コネクタを構成し、ログが検出されると、状態が [接続済み] に変わります。

分析ルール

テンプレートからルールを作成するか、既存のルールを編集します。

  1. 分析テンプレート ギャラリーでテンプレートを表示します。

  2. テンプレートがまだ使用されていない場合は、[開く]>[ルールの作成] を選択し、ステップに従って分析ルールを有効にします。

    ルールの作成後、テンプレートから作成されたアクティブなルールの数が、[作成されたコンテンツ] 列に表示されます。

  3. アクティブなルールのリンクを選択して、既存のルールを編集します。 たとえば、次の画像のアクティブなルールのリンクは [作成済みコンテンツ] の下にあり、[2 項目] を表示しています。

    Azure アクティビティのソリューション内の分析ルール コンテンツ項目のスクリーンショット。

ハンティング クエリ

指定されたハンティング クエリを実行するか、カスタマイズしてください。

  1. すぐに検索を開始するには、詳細ページから [クエリの実行] を選択すると、すぐに結果を得られます。

    Azure アクティビティのソリューションで複製されたハンティング クエリ コンテンツ項目のスクリーンショット。

  2. ハンティング クエリをカスタマイズするには、[コンテンツ名] 列でリンクを選択します。

    ハンティング ギャラリーから、省略記号メニューにアクセスして、読み取り専用のハンティング クエリ テンプレートの複製を作成できます。 この方法で作成されたハンティング クエリは、コンテンツ ハブの [作成されたコンテンツ] 列に項目として表示されます。

ブック

テンプレートから作成されたブックをカスタマイズするには、ブックのインスタンスを作成します。

  1. [テンプレートの表示] を選択してブックを開き、視覚化を表示します。

  2. [保存] を選択して、ブック テンプレートのインスタンスを作成します。

  3. [保存されたブックの表示] を選択して、保存したカスタマイズ可能なブックを表示します。

  4. コンテンツ ハブから、[作成されたコンテンツ] 列の [1 項目] リンクを選択してブックを管理します。

    Azure アクティビティのソリューションに保存されたブック項目のスクリーンショット。

パーサー

ソリューションがインストールされると、含まれているパーサーはすべて Log Analytics のワークスペース関数として追加されます。

  1. [関数コードを読み込む] を選択して Log Analytics を開き、関数コードを表示して実行します。

  2. [エディターで使用] を選択して、カスタム クエリに追加できるパーサー名で Log Analytics を開きます。

    ソリューション内のパーサー コンテンツ タイプのスクリーンショット。

プレイブック

テンプレートからプレイブックを作成します。

  1. プレイブックの [コンテンツ名] リンクを選択します。

  2. テンプレートを選択し、[プレイブックの作成] を選択します。

  3. プレイブックが作成されると、アクティブなプレイブックが [作成されたコンテンツ] 列に表示されます。

  4. アクティブなプレイブックの [1 項目] のリンクを選択して、プレイブックを管理します。

    ソリューション内のプレイブックの種類のコンテンツ タイプのスクリーンショット。

コンテンツのサポート モデルを見つける

各ソリューションとスタンドアロン コンテンツ項目の詳細ペインには、サポート モデルが説明されています。[サポート] ボックスに [Microsoft] またはパートナーの名前が表示されます。 次に例を示します。

ソリューションのサポートモデルを見つけることができる場所のスクリーンショット。

サポートに連絡する場合は、パブリッシャー、プロバイダー、プラン ID の値など、ソリューションに関するその他の詳細が必要になる場合があります。 詳細ページの [使用状況情報とサポート] タブで、この情報を検索します。

ソリューションの使用状況とサポートの詳細のスクリーンショット。

次のステップ

このドキュメントでは、Microsoft Sentinel 用の組み込みのソリューションとスタンドアロン コンテンツを検索してデプロイする方法について説明しました。

多くのソリューションには、Microsoft Sentinel へのデータの取り込みを開始するために構成する必要があるデータ コネクタが含まれます。 各データ コネクタには、Microsoft Sentinel のデータ コネクタ ページで詳しく説明されている、独自の要件のセットが指定されます。

詳細については、「データ ソースへの接続」を参照してください。