Microsoft Sentinel のデプロイ ガイド
この記事では、Microsoft Sentinel の計画、デプロイ、微調整に役立つアクティビティについて説明します。
計画と準備の概要
このセクションでは、Microsoft Sentinel をデプロイする前の計画と準備に役立つアクティビティと前提条件について説明します。
計画と準備フェーズは、通常、SOC アーキテクトまたは関連する職務によって実行されます。
| 手順 | 詳細 |
|---|---|
| 1. 概要と前提条件を計画して準備する | Azure テナントの前提条件を確認します。 |
| 2. ワークスペース アーキテクチャを計画する | Microsoft Sentinel で有効になっている Log Analytics ワークスペースを設計します。 次のようなパラメーターを検討します。 - シングル テナントと複数のテナントのどちらを使用するか - データの収集と保存に関するコンプライアンス要件 - Microsoft Sentinel データへのアクセスを制御する方法 次の記事を確認します。 1.ワークスペース アーキテクチャを設計する 3. サンプル ワークスペースの設計を確認する 4. 複数のワークスペースを準備する |
| 3. データ コネクタの優先順位を設定する | デプロイの予算とタイムラインを正確に投影するのに役立つ、必要なデータ ソースとデータ サイズの要件を決定します。 この情報は、ビジネス ユース ケースのレビュー中に、または既にある現在の SIEM を評価することで決定できます。 SIEM が既にある場合は、データを分析して、最も価値が高く、Microsoft Azure Sentinel に取り込む必要があるデータ ソースを把握します。 |
| 4. ロールとアクセス許可を計画する | Azure ロールベースのアクセス制御 (RBAC) を使用して、セキュリティ オペレーション チーム内でロールを作成して割り当て、Microsoft Azure Sentinel への適切なアクセス権を付与します。 さまざまなロールを使用して、Microsoft Sentinel のユーザーが表示および実行できることをきめ細かく制御できます。 Azure ロールは、ワークスペースで直接割り当てるか、ワークスペースが属しているサブスクリプション、またはリソース グループで割り当てることができます (これは、Microsoft Sentinel が継承するものです)。 |
| 5. コストの計画 | 計画した各シナリオのコストへの影響を考慮しながら、予算の計画を開始します。 Microsoft Azure Sentinel と Azure Log Analytics の両方、デプロイされるプレイブックなどのデータ インジェストのコストが予算に含まれていることを確認します。 |
デプロイの概要
デプロイ フェーズは、通常、SOC アナリストまたは関連する職務によって実行されます。
| 手順 | 詳細 |
|---|---|
| 1. Microsoft Sentinel、正常性と監査、コンテンツを有効にする | Microsoft Sentinel を有効にし、正常性と監査機能を有効にして、組織のニーズに応じて特定したソリューションとコンテンツを有効にします。 API を使用して Microsoft Sentinel にオンボードするには、サポートされている最新バージョンの Sentinel オンボードの状態を参照してください。 |
| 2.コンテンツを構成する | さまざまな種類の Microsoft Sentinel セキュリティ コンテンツを構成します。これにより、データ コネクタ、分析ルール、オートメーション ルール、プレイブック、ブック、ウォッチリストなど、システム全体のセキュリティ上の脅威を検出して、監視し、対応できるようになります。 |
| 3. クロスワークスペース アーキテクチャを設定する | 環境に複数のワークスペースが必要な場合、デプロイの一部としてそれらを設定できるようになりました。 この記事では、Microsoft Sentinel を設定し、複数のワークスペースとテナントに拡張する方法について説明します。 |
| 4.ユーザーとエンティティの行動分析 (UEBA) を有効にする | UEBA 機能を有効にして使用し、分析プロセスを合理化します。 |
| 5.対話型データ保持と長期データ保持を設定する | 組織で重要なデータが確実に長期間保持されるように、対話型データ保持と長期データ保持を設定します。 |
微調整と確認: デプロイ後のチェックリスト
デプロイ後のチェックリストを確認します。デプロイ プロセスが想定どおりに動作していること、デプロイしたセキュリティ コンテンツがニーズやユース ケースに沿って機能し、組織を保護していることを確認するうえで役立ちます。
微調整と確認のフェーズは、通常、SOC エンジニアまたは関連する職務によって実行されます。
| Step | アクション |
|---|---|
| ✅インシデントとインシデント プロセスを確認する | - 表示されているインシデントとインシデントの数が、実際の環境内で発生している事象を反映しているかどうかを確認します。 - SOC のインシデント プロセスでインシデントが効率的に処理されているかどうかを確認します: インシデントをその種類に応じて SOC の各レイヤー/レベルに割り当てていますか? インシデントを確認して調査する方法と、インシデント タスクに対応する方法について詳細を確認してください。 |
| ✅分析ルールを確認して微調整する | - インシデント レビューに基づいて、分析ルールが想定どおりにトリガーされるかどうか、対象となるインシデントの種類がルールに反映されているかどうかをチェックします。 オートメーションを使用するか、スケジュールが設定された分析ルールを変更して、- 偽陽性を処理します。 - Microsoft Sentinel には、分析ルールの分析に役立つ組み込みの微調整機能が用意されています。 これらの組み込みの分析情報を確認し、該当する推奨事項を実装します。 |
| ✅オートメーション ルールとプレイブックを確認する | - 分析ルールと同様に、オートメーション ルールが想定どおりに動作しているか、懸念しているインシデントや対象のインシデントを反映しているかをチェックします。 - プレイブックが想定どおりにアラートとインシデントに対応しているかどうかを確認します。 |
| ✅ウォッチリストにデータを追加する | ウォッチリストが最新であることを確認します。 新しいユーザーやユース ケースなど、環境内で変更が生じた場合は、それに応じてウォッチリストを更新します。 |
| ✅コミットメント レベルを確認する | 最初に設定したコミットメント レベルを確認し、これらのレベルに現在の構成が反映されていることを確認します。 |
| ✅インジェスト コストを把握する | インジェスト コストを把握するには、次のいずれかのブックを使用します。 - ワークスペース使用状況レポート ブックにより、ワークスペースのデータ消費量、コスト、使用統計が提供されます。 ブックでは、ワークスペースのデータ インジェストの状態と、無料データと課金対象データの量が示されます。 ブックのロジックを使用して、データ インジェストとコストを監視し、カスタム ビューやルールベースのアラートを作成することができます。 - Microsoft Sentinel Cost ブックでは、インジェストと保持期間のデータ、対象となるデータ ソースのインジェスト データ、Logic Apps の課金情報など、Microsoft Sentinel のコストにより重点が置かれたビューが提供されます。 |
| ✅データ収集規則 (DCR) を微調整する | - DCR にデータ インジェストのニーズとユース ケースが反映されていることを確認します。 - 必要に応じて、インジェスト時の変換を実装すると、ワークスペースに格納される前であっても、重要でないデータをフィルターで除外することができます。 |
| ✅MITRE フレームワークに対する分析ルールを確認する | Microsoft Sentinel の MITRE ページで MITRE カバレッジをチェックします。MITRE ATT&CK® フレームワークの戦術と手法に基づいて組織のセキュリティ カバレッジを把握するために、ご使用のワークスペース内で既にアクティブになっている検出と構成できる検出を確認します。 |
| ✅疑わしいアクティビティを検出する | SOC にプロアクティブな脅威ハンティングのためのプロセスがあることを確認します。 ハンティングは、セキュリティ アナリストが未検出の脅威や悪意のある動作を探し出すプロセスです。 仮説を作成し、データを検索し、その仮説を検証することで、何に対処するかを決定します。 アクションには、新しい検出や新しい脅威インテリジェンスの作成、または新しいインシデントの作成が含まれます。 |
関連記事
この記事では、Microsoft Sentinel のデプロイに役立つ各フェーズのアクティビティについて確認しました。
現在のフェーズに応じて適切な手順を選択してください。
- 計画と準備 - Azure Sentinel をデプロイするための前提条件
- デプロイ - Microsoft Sentinel および初期機能とコンテンツを有効にする
- 微調整とレビュー - Microsoft Sentinel でのインシデントの確認と調査
Microsoft Sentinel のデプロイが完了したら、一般的なタスクに関するチュートリアルを確認し、Microsoft Sentinel の機能を引き続き調べます。
- Azure Monitor エージェントを使用して、Microsoft Sentinel を含む Log Analytics ワークスペースに Syslog データを転送する
- データ保持ポリシーを構成する
- 分析ルールを使用して脅威を検出する
- インシデント内の IP アドレス評価情報を自動的に確認して記録する
- 自動化を使用して脅威に対応する
- 非ネイティブ アクションを持つインシデント エンティティを抽出する
- UEBA を使用して調査する
- ゼロ トラストの構築と監視
毎日、毎週、毎月実行することが推奨される定期的な SOC アクティビティについては、「Microsoft Sentinel 運用ガイド」を参照してください。