一般的に使用される Microsoft Sentinel ブック
次の表は、最も一般的に使用される組み込みの Microsoft Sentinel ブックを示しています。
左側の [脅威管理]>[ブック] で Microsoft Sentinel のブックにアクセスし、使用するブックを検索します。 詳細については、「データの視覚化と監視」を参照してください。
ヒント
取り込みしているデータに関連しているブックをデプロイすることをお勧めします。 ブックによって、収集したデータに基づいたより広範な監視と調査が可能になります。
詳細については、データ ソースの接続に関するページと「Microsoft Sentinel のすぐに使えるコンテンツとソリューションを一元的に検出してデプロイする」を参照してください。
| ブック名 | 説明 |
|---|---|
| 分析の効率 | SOC のパフォーマンスを向上させることができる、ご使用の分析ルールの有効性に関する分析情報が提供されます。 詳細については、データドリブン SOC のためのツールキットに関するページをご覧ください。 |
| Azure アクティビティ | すべてのユーザー操作とイベントを分析して関連付け、組織の Azure アクティビティに対する広範な分析情報が提供されます。 詳細については、Azure のアクティビティログを使用した監査に関するページをご覧ください。 |
| Microsoft Entra 監査ログ | Microsoft Entra 監査ログを使用して、Microsoft Entra のシナリオに関する分析情報を提供します。 詳細については、クイックスタート:Microsoft Sentinel の概要に関するページを参照してください。 |
| Microsoft Entra 監査、アクティビティ、サインイン ログ | 1 つのブックで AMicrosoft Entra 監査、アクティビティ、サインイン データに関する分析情報が提供されます。 サインインなどのアクティビティを場所別、デバイス別、エラー理由別、ユーザー操作別に示します。 このブックは、セキュリティ管理者と Azure 管理者の両者が使用できます。 |
| Microsoft Entra サインイン ログ | Microsoft Entra サインイン ログを使用して、Microsoft Entra のシナリオに関する分析情報を提供します。 |
| Microsoft クラウド セキュリティ ベンチマーク | Microsoft クラウドセキュリティ ベンチマークの制御要件に対応するデータを収集および管理し、25 以上の Microsoft セキュリティ製品からデータを集約するための 1 つのペインが用意されています。 詳細については、TechCommunity ブログを参照してください。 |
| Cybersecurity Maturity Model Certification (CMMC) | Microsoft のセキュリティ製品、Office 365、Teams、Intune、Azure Virtual Desktop など、Microsoft ポートフォリオ全体にわたり、CMMC コントロールに合わせてログ クエリを表示するためのメカニズムが用意されています。 詳細については、TechCommunity ブログを参照してください。 |
| データ収集の正常性を監視 / 利用状況の監視 | ワークスペースのデータ インジェストの状態 (取り込みサイズ、待ち時間、ソースあたりのログ数など) に関する分析情報が提供されます。 モニターを表示し、異常を検出して、ワークスペースのデータ収集の正常性を判断します。 詳細については、「この Microsoft Sentinel ブックを使用してデータ コネクタの正常性を監視する」を参照してください。 |
| イベント アナライザー | セキュリティ、アプリケーション、システム、セットアップ、ディレクトリ サービス、DNS などのすべてのイベントの詳細と属性を含む、Windows イベント ログの分析を調査および監査したり高速化したりできます。 |
| Exchange Online | すべての Exchange 操作とユーザー アクティビティをトレースおよび分析することで、Microsoft Exchange Online に関する分析情報が提供されます。 |
| ID およびアクセス | 監査およびサインイン ログを含むセキュリティログを使用して、Microsoft 製品の使用における ID およびアクセス操作に関する分析情報が提供されます。 |
| インシデントの概要 | 一般情報、エンティティ データ、トリアージ時間、軽減時間、コメントなど、インシデントに関する詳細情報を提供することによって、トリアージと調査を支援するように設計されています。 詳細については、データドリブン SOC のためのツールキットに関するページをご覧ください。 |
| 調査の分析情報 | インシデント、ブックマーク、エンティティ データに関する分析情報がアナリストに提供されます。 一般的なクエリと詳細な視覚化は、アナリストが疑わしいアクティビティを調査するのに役立ちます。 |
| Microsoft Defender for Cloud Apps - 検出ログ | 組織で使用されているクラウド アプリの詳細と、特定のユーザーおよびアプリケーションの使用傾向やドリルダウン データから得られる分析情報が提供されます。 詳細については、Microsoft Defender for Cloud Apps からのデータの接続に関するセクションを参照してください。 |
| MITRE ATT&CK ブック | Microsoft Sentinel の MITRE ATT&CK カバレッジについて詳細が提供されます。 |
| Office 365 | すべての操作とアクティビティをトレースおよび分析することで、Office 365 に関する分析情報が提供されます。 SharePoint、OneDrive、Teams、および Exchange のデータがドリルダウンされます。 |
| セキュリティのアラート | Microsoft Sentinel 環境でのアラートのセキュリティ アラート ダッシュボードが提供されます。 詳細については、「Microsoft セキュリティ アラートからインシデントを自動的に作成する」を参照してください。 |
| セキュリティ操作の効率性 | セキュリティ オペレーション センター (SOC) マネージャーが、チームのパフォーマンスに関する全体的な効率のメトリックとメジャーを表示するためのものです。 詳細については、「インシデント メトリックを使用して SOC をより適切に管理する」をご覧ください。 |
| 脅威インテリジェンス | 脅威の種類と重要度、時間の経過に伴う脅威アクティビティ、Office 365 やファイアウォールなどの他のデータソースとの相関関係など、脅威インジケーターに関する分析情報が提供されます。 詳細については、「Microsoft Sentinel の脅威インテリジェンスについて」と TechCommunity のブログを参照してください。 |
| ゼロ トラスト (TIC 3.0) | トラステッド インターネット接続フレームワークを横断的に説明したゼロ トラストの原則を自動的に視覚化できます。 詳細については、ゼロ トラスト (TIC 3.0) ブックのお知らせブログを参照してください。 |