次の方法で共有


Microsoft Sentinel のベスト プラクティス

ベスト プラクティスのガイダンスは、Microsoft Sentinel の技術ドキュメント全体において提供されています。 この記事では、Microsoft Sentinel をデプロイ、管理、使用する場合に利用できる主要ないくつかのガイダンスに焦点を当てます。

重要

Microsoft Sentinel は現在、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

Microsoft Sentinel の設定

Microsoft Sentinel のデプロイ ガイドから始めます。 このデプロイ ガイドでは、Microsoft Sentinel のデプロイについて、計画、デプロイ、微調整するための大まかな手順が説明されています。 このガイドで、デプロイの各ステージに関する詳細なガイダンスへのリンクを選択します。

Microsoft のセキュリティ サービスの統合

Microsoft Sentinel は、ワークスペースにデータを送信するコンポーネントによって強化されており、他の Microsoft サービスとの統合によってより強力になります。 Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint、Microsoft Defender for Identity などの製品に取り込まれたログは、これらのサービスにより検知情報が作成され、その検知情報が Microsoft Sentinel に提供されます。 また、ログを Microsoft Sentinel に直接取り込んで、イベントやインシデントの全体像を把握することもできます。

たとえば次の図は、Microsoft Sentinel がどのように他の Microsoft サービスやマルチクラウド、パートナーのプラットフォームからデータを取り込み、環境のカバレッジを提供するかを示しています。

Microsoft Sentinel と他の Microsoft やパートナーのサービスとの統合

Microsoft Sentinel は、他のソースからアラートやログを取り込むだけでなく、以下のような機能も備えています。

  • 取り込んだ情報を機械学習で利用することで、より優れたイベントの相関、アラートの集約、異常検知などが可能になります。
  • ワークブックを使って、トレンドや関連情報、管理業務や調査に使用する主要データを示すインタラクティブなビジュアルを構築し、提示します。
  • アラートに対応するためのプレイブックを実行し、情報の収集、アイテムに対するアクションの実行、各種プラットフォームへの通知の送信を行います。
  • ServiceNow や Jira などのパートナー プラットフォームと統合し、SOC チームに必要なサービスを提供します。
  • 脅威インテリジェンス プラットフォームからエンリッチメント フィードを取り込み、フェッチし、調査のための貴重なデータを提供します。

他のサービスやプロバイダーからのデータの統合についての詳細は、「Microsoft Sentinel のデータ コネクタ」を参照してください。

Microsoft Sentinel を Microsoft Defender ポータルにオンボードして、インシデント管理や高度なハンティングなどの Microsoft Defender XDR の機能と統合することを検討してください。 詳細については、次の記事をご覧ください。

インシデントの管理と対応

次の図は、インシデント管理と応答プロセスで推奨される手順を示しています。

インシデント管理プロセスの図: トリアージ。準備。修復。根絶。インシデントの事後対応。

次の表では、インシデントの管理と対応に Microsoft Sentinel の機能を使用する方法について、概要を説明しています。 詳細については、「Microsoft Azure Sentinel でインシデントを調査する」を参照してください。

機能 ベスト プラクティス
インシデント 生成されたインシデントはすべて [インシデント] ページに表示されます。このページは、トリアージおよび早期調査の中心地として機能します。 [インシデント] ページには、タイトル、重大度、関連するアラート、ログ、および関心のあるエンティティが一覧表示されます。 インシデントには、収集されたログや、インシデントに関連するすべてのツールへのクイック ジャンプも用意されています。
調査グラフ [インシデント] ページは調査グラフと連動しています。これは、ユーザーがアラートを調査して深く掘り下げ、攻撃の全容を示すことができるインタラクティブなツールです。 その後、ユーザーはイベントのタイムラインを構築し、脅威チェーンの範囲を検出できます。

アカウント、Url、IP アドレス、ホスト名、アクティビティ、タイムラインなどの主要なエンティティを検出します。 このデータを使用して、偽陽性があるかどうかを把握します。この場合、インシデントを直接閉じることができます。

インシデントが真陽性であることが判明した場合、 [インシデント] ページから直接アクションを起こし、ログやエンティティを調査し、脅威の連鎖を検査します。 脅威を特定し、アクション プランを作成したら、Microsoft Sentinel の他のツールおよび他の Microsoft セキュリティサービスを使用して、引き続き調査を行います。
情報の視覚化 環境で発生していることを視覚化し分析情報を入手するには、まず Microsoft Sentinel の概要ダッシュボードを見て、組織のセキュリティ態勢を把握します。 詳細については、「収集データを視覚化する」を参照してください。

Microsoft Sentinel の概要ページの情報や傾向以外に、ブックも重要な調査ツールとなります。 たとえば、調査分析情報ブックを使用して、関連付けられているエンティティやアラートと共に特定のインシデントを調査します。 このブックを使用すると、関連するログ、アクション、およびアラートを表示することで、エンティティをより深く掘り下げていくことができます。
脅威の捜索 根本原因の調査と検索では、組み込みの脅威検索クエリを実行し、セキュリティ侵害の兆候について結果を確認します。 詳細については、「Microsoft Sentinel の脅威ハンティング」を参照してください。

調査中、または脅威の修復と根絶に関する措置を講じた後、ライブストリームを使用します。 ライブストリームを使用すると、残存する悪意あるイベントがないかどうかや、悪意のあるイベントがまだ継続しているかどうかをリアルタイムで監視できます。
エンティティの動作 Microsoft Sentinel のエンティティ行動を使用すると、ユーザーは特定のエンティティのアクションとアラートの確認や調査を行えます (アカウントやホスト名の調査など)。 詳細については、以下を参照してください:

- Microsoft Sentinel でのユーザーとエンティティの動作分析 (UEBA) の有効化
- UEBA データを使用したインシデントの調査
- Microsoft Sentinel UEBA エンリッチメント リファレンス
ウォッチリスト 取り込まれたデータと、エンリッチ データなど外部ソースからのデータを結合するウォッチリストを使用します。 たとえば、組織または最近終了した従業員が使用する IP アドレス範囲のリストを作成します。 プレイブックでウォッチリストを使用することで、悪意のある IP アドレスをウォッチリストに追加するなど、エンリッチメント データを収集し、検知、脅威のハンティングや調査の際に使用できます。

インシデントの発生時にはウォッチリストを使用して調査データを格納し、調査が完了したらそれらを削除して、機密データが表示されないようにします。

詳細については、「Microsoft Sentinel のウォッチリスト」を参照してください。