この記事では、最もよく使用される Microsoft Sentinel ブックの一覧を示します。 Microsoft Sentinel の コンテンツ ハブ から、ブックを含むソリューションまたはスタンドアロン項目をインストールします。 ソリューションまたはスタンドアロン項目で [管理] を選択して、コンテンツ ハブからブックを取得します。 または、Microsoft Sentinel の [脅威の管理] で [ブック] に移動し、使用するブックを検索します。 詳細については、「データの 視覚化と監視」を参照してください。
Microsoft Sentinel に取り込むデータに関連付けられているブックをデプロイすることをお勧めします。 ブックによって、収集したデータに基づいたより広範な監視と調査が可能になります。 詳細については、「 Microsoft Sentinel データ コネクタ 」および「 Microsoft Sentinel のすぐに使用するコンテンツの検出と管理」を参照してください。
一般的に使用されるブック
次の表には、推奨されるブックと、ブックを含む コンテンツ ハブ のソリューションまたはスタンドアロン項目が含まれています。
| ブック名 | 説明 | コンテンツ ハブのタイトル |
|---|---|---|
| Analytics の正常性と監査 | 分析ルールの正常性と監査を可視化します。 分析ルールが想定どおりに実行されているかどうかを確認し、分析ルールに加えられた変更の一覧を取得します。 詳細については、「 正常性を監視し、分析ルールの整合性を監査する」を参照してください。 |
Analytics の正常性と監査 |
| Azure アクティビティ | すべてのユーザー操作とイベントを分析して関連付け、組織の Azure アクティビティに対する広範な分析情報が提供されます。 詳細については、「 Azure アクティビティ ログを使用した監査」を参照してください。 |
Azure アクティビティ |
| Azure セキュリティ ベンチマーク | クラウド ワークロードのセキュリティ体制を可視化します。 Microsoft のセキュリティ オファリング、Azure、Microsoft 365、サード パーティ、オンプレミス、マルチクラウドのワークロード全体で、Azure セキュリティ ベンチマークの制御に合わせたログ クエリ、Azure リソース グラフ、ポリシーを表示します。 詳細については、 TechCommunity ブログを参照してください。 |
Azure セキュリティ ベンチマーク |
| サイバーセキュリティ成熟度モデル認定 (CMMC) | Microsoft のセキュリティ オファリング、Microsoft 365、Microsoft Teams、Intune、Azure Virtual Desktop など、Microsoft ポートフォリオ全体の CMMC コントロールに合わせてログ クエリを表示する方法を提供します。 詳細については、 TechCommunity ブログを参照してください。 |
サイバーセキュリティ成熟度モデル認定 (CMMC) 2.0 |
| データ収集の正常性の監視 | ワークスペースのデータ インジェストの状態 (取り込みサイズ、待ち時間、ソースあたりのログ数など) に関する分析情報が提供されます。 異常を監視して検出し、ワークスペースのデータ収集の正常性を判断するのに役立ちます。 詳細については、「 この Microsoft Sentinel ブックを使用してデータ コネクタの正常性を監視する」を参照してください。 |
データ収集の正常性を監視 |
| Event Analyzer | Windows イベント ログ分析を探索、監査、および高速化します。 セキュリティ、アプリケーション、システム、セットアップ、ディレクトリ サービス、DNS など、すべてのイベントの詳細と属性が含まれます。 | Windows セキュリティ イベント |
| ID とアクセス | 監査ログとサインイン ログを使用してセキュリティ ログを収集および分析し、Microsoft 製品の使用に関する分析情報を収集することで、ID とアクセスの操作に関する分析情報を提供します。 | Windows セキュリティ イベント |
| インシデントの概要 | 一般情報、エンティティ データ、トリアージ時間、軽減時間、コメントなど、インシデントに関する詳細情報を提供することによって、トリアージと調査を支援するように設計されています。 詳細については、「 Data-Driven SOC 用ツールキット」を参照してください。 |
SOC ハンドブック |
| 調査の分析情報 | インシデント、ブックマーク、エンティティ データに関する分析情報がアナリストに提供されます。 一般的なクエリと詳細な視覚化は、アナリストが疑わしいアクティビティを調査するのに役立ちます。 | SOC ハンドブック |
| Microsoft Defender for Cloud Apps - 検出ログ | 組織で使用されているクラウド アプリの詳細と、特定のユーザーおよびアプリケーションの使用傾向やドリルダウン データから得られる分析情報が提供されます。 詳細については、「Microsoft Sentinel 用 Microsoft Defender for Cloud Apps コネクタを参照してください。 |
クラウドアプリ向けのMicrosoft Defender |
| Microsoft Entra 監査ログ | 監査ログを使用して、Microsoft Entra ID シナリオに関する分析情報を収集します。 パスワードとグループ管理、デバイス アクティビティ、上位のアクティブなユーザーとアプリなど、ユーザー操作について説明します。 詳細については、「 クイック スタート: Microsoft Sentinel の使用を開始する」を参照してください。 |
マイクロソフト エントラ ID |
| Microsoft Entra サインイン ログ | ユーザーのサインインと場所、電子メール アドレス、ユーザーの IP アドレス、失敗したアクティビティ、エラーをトリガーしたエラーなど、サインイン操作に関する分析情報を提供します。 | マイクロソフト エントラ ID |
| MITRE ATT&CK ブック | Microsoft Sentinel の MITRE ATT&CK カバレッジについて詳細が提供されます。 | SOC ハンドブック |
| Office 365 | すべての操作とアクティビティをトレースおよび分析することで、Office 365 に関する分析情報が提供されます。 SharePoint、OneDrive、Teams、および Exchange のデータがドリルダウンされます。 | Microsoft 365 |
| セキュリティ アラート | Microsoft Sentinel 環境でのアラートのセキュリティ アラート ダッシュボードが提供されます。 詳細については、「 Microsoft セキュリティ アラートからインシデントを自動的に作成する」を参照してください。 |
SOC ハンドブック |
| セキュリティ運用の効率 | セキュリティ オペレーション センター (SOC) マネージャーが、チームのパフォーマンスに関する全体的な効率のメトリックとメジャーを表示するためのものです。 詳細については、「 インシデント メトリックを使用して SOC をより適切に管理する」を参照してください。 |
SOC ハンドブック |
| 脅威インテリジェンス | 脅威インジケーターのインジェストに関する分析情報を提供します。 Microsoft ファースト パーティ、サード パーティ、オンプレミス、ハイブリッド、マルチクラウドのワークロード全体で大規模なインジケーターを検索します。 詳細については、 Microsoft Sentinel の脅威インテリジェンス と TechCommunity ブログを参照してください。 |
脅威インテリジェンス |
| ワークスペース使用状況レポート | ワークスペースの使用状況に関する分析情報を提供します。 ワークスペースのデータ使用量、待機時間、推奨されるタスク、コストと使用状況の統計情報を表示します。 | ワークスペース使用状況レポート |
| ゼロ トラスト (TIC3.0) |
信頼されたインターネット接続フレームワークにクロスウォークされたゼロ トラスト原則の自動化された視覚化を提供します。 詳細については、 ゼロ トラスト (TIC 3.0) ブックのお知らせブログを参照してください。 |
ゼロ トラスト (TIC 3.0) |