はじめに
Microsoft Azure Sentinel の分析には、組織内の潜在的な脅威と脆弱性を検出するために使用できるインテリジェントなソリューションが用意されています。
あなたは Contoso, Ltd. のセキュリティ オペレーション センター (SOC) アナリストとして働いているとします。Contoso はロンドンにある中規模の金融サービス会社で、ニューヨークに支店を持っています。 Contoso では、リソースに対するデータ セキュリティと脅威保護を実装するために、いくつかの Microsoft 製品とサービスを使用しています。 次のような製品です。
- Microsoft 365
- Microsoft Entra ID
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- System Center Endpoint Protection
- Microsoft Azure Information Protection
Contoso では、Microsoft Defender for Cloud の有料バージョンを使用して、Azure ベースの、およびオンプレミスのリソースに対する脅威保護を提供しています。 この会社では、Microsoft 以外の他の資産も監視および保護しています。 Contoso のセキュリティ アナリストは、大規模なトリアージの負担に直面しています。 彼らが処理するのは複数の製品からの大量のアラートです。 彼らはアラートを次の方法で関連付けます。
- 別々のプロジェクト ダッシュボードから手動で
- 従来の相関関係エンジンを使用して
さらに、SOC チームは、IT インフラストラクチャの設定と保守に時間を取られて、自分たちのセキュリティ タスクに十分な時間をかけられません。
IT 責任者は、Microsoft Azure Sentinel の分析によって、セキュリティ アナリストが複雑な調査を行う時間を短縮して、自分たちのセキュリティ オペレーション センター (SOC) を向上させることができると考えています。 Contoso のリード システム エンジニアかつ Azure 管理者であるあなたは、SecOps チームが Contoso のリソースに対する攻撃を特定して分析できるように、Microsoft Azure Sentinel で分析ルールを設定するよう求められました。
このモジュールでは、Microsoft Azure Sentinel の分析を使用することの重要性を理解し、既存のテンプレートから分析ルールを作成して実装し、ウィザードを使用して新しいルールとクエリを作成し、変更によってルールを管理します。
このモジュールを完了すると、SecOps チームがサイバー攻撃を特定して阻止するのに役立つように、Microsoft Azure Sentinel で分析ルールを設定できるようになります。
学習の目的
- Microsoft Azure Sentinel の分析の重要性について説明します。
- さまざまな種類の分析ルールについて説明する。
- テンプレートからルールを作成する。
- 分析ルール ウィザードを使用して、新しい分析ルールとクエリを作成する。
- 変更によってルールを管理する。
前提条件
- Azure サービスに関する基本的な知識
- 監視、ログ記録、アラートなどの運用上の概念に関する基本的な知識
- Azure サブスクリプション
- お使いの Azure サブスクリプションの Microsoft Azure Sentinel インスタンス
Note
このモジュールの演習を実行する場合は、お使いの Azure サブスクリプションでコストが発生する可能性があることに注意してください。 コストを見積もるには、「Azure Sentinel の価格」を参照してください