一般的に使用される Microsoft Sentinel ブック
この記事では、最もよく使用される Microsoft Sentinel ブックの一覧を示します。 Microsoft Sentinel の Content ハブからブックを含むソリューションまたはスタンドアロン項目 インストールします。 ソリューションまたはスタンドアロン項目で Manage を選択してContent ハブからブックを取得します。 または、Microsoft Sentinel の Threat Management で Workbooks に移動し 使用するブックを検索します。 詳細については、「データの視覚化と監視」を参照してください。
Microsoft Sentinel に取り込むデータに関連付けられているブックをデプロイすることをお勧めします。 ブックによって、収集したデータに基づいたより広範な監視と調査が可能になります。 詳細については、「 Microsoft Sentinel データ コネクタ と Microsoft Sentinel のすぐに使用するコンテンツの検出と管理を参照してください。
一般的に使用されるブック
次の表には、推奨されるブックと、ブックを含む Content ハブ のソリューションまたはスタンドアロン項目が含まれています。
| ブック名 | 説明 | コンテンツ ハブのタイトル |
|---|---|---|
| Analytics の正常性と監査 | 分析ルールの正常性と監査を可視化します。 分析ルールが想定どおりに実行されているかどうかを確認し、分析ルールに加えられた変更の一覧を取得します。 詳細については、「 正常性を監視し、分析ルールの整合性を監査するを参照してください。 |
Analytics の正常性と監査 |
| Azure アクティビティ | すべてのユーザー操作とイベントを分析して関連付け、組織の Azure アクティビティに対する広範な分析情報が提供されます。 詳細については、Azure のアクティビティログを使用した監査に関するページをご覧ください。 |
Azure アクティビティ |
| Azure セキュリティ ベンチマーク | クラウド ワークロードのセキュリティ体制を可視化します。 Microsoft のセキュリティ オファリング、Azure、Microsoft 365、サード パーティ、オンプレミス、マルチクラウドのワークロード全体で、Azure セキュリティ ベンチマークの制御に合わせたログ クエリ、Azure リソース グラフ、ポリシーを表示します。 詳細については、TechCommunity ブログを参照してください。 |
Azure セキュリティ ベンチマーク |
| Cybersecurity Maturity Model Certification (CMMC) | Microsoft のセキュリティ オファリング、Microsoft 365、Microsoft Teams、Intune、Azure Virtual Desktop など、Microsoft ポートフォリオ全体の CMMC コントロールに合わせてログ クエリを表示する方法を提供します。 詳細については、TechCommunity ブログを参照してください。 |
Cybersecurity Maturity Model Certification (CMMC) 2.0 |
| データ収集の正常性を監視 | ワークスペースのデータ インジェストの状態 (取り込みサイズ、待ち時間、ソースあたりのログ数など) に関する分析情報が提供されます。 異常を監視して検出し、ワークスペースのデータ収集の正常性を判断するのに役立ちます。 詳細については、「この Microsoft Sentinel ブックを使用してデータ コネクタの正常性を監視する」を参照してください。 |
データ収集の正常性を監視 |
| イベント アナライザー | Windows イベント ログ分析を探索、監査、および高速化します。 セキュリティ、アプリケーション、システム、セットアップ、ディレクトリ サービス、DNS など、すべてのイベントの詳細と属性が含まれます。 | Windows セキュリティ イベント |
| ID およびアクセス | 監査ログとサインイン ログを使用してセキュリティ ログを収集および分析し、Microsoft 製品の使用に関する分析情報を収集することで、ID とアクセスの操作に関する分析情報を提供します。 | Windows セキュリティ イベント |
| インシデントの概要 | 一般情報、エンティティ データ、トリアージ時間、軽減時間、コメントなど、インシデントに関する詳細情報を提供することによって、トリアージと調査を支援するように設計されています。 詳細については、データドリブン SOC のためのツールキットに関するページをご覧ください。 |
SOC Handbook |
| 調査の分析情報 | インシデント、ブックマーク、エンティティ データに関する分析情報がアナリストに提供されます。 一般的なクエリと詳細な視覚化は、アナリストが疑わしいアクティビティを調査するのに役立ちます。 | SOC Handbook |
| Microsoft Defender for Cloud Apps - 検出ログ | 組織で使用されているクラウド アプリの詳細と、特定のユーザーおよびアプリケーションの使用傾向やドリルダウン データから得られる分析情報が提供されます。 詳細については、「Microsoft Sentinel 用 Microsoft Defender for Cloud Apps コネクタを参照してください。 |
Microsoft Defender for Cloud Apps |
| Microsoft Entra 監査ログ | 監査ログを使用して、Microsoft Entra ID シナリオに関する分析情報を収集します。 パスワードとグループ管理、デバイス アクティビティ、上位のアクティブなユーザーとアプリなど、ユーザー操作について説明します。 詳細については、クイックスタート:Microsoft Sentinel の概要に関するページを参照してください。 |
Microsoft Entra ID |
| Microsoft Entra サインイン ログ | ユーザーのサインインと場所、電子メール アドレス、ユーザーの IP アドレス、失敗したアクティビティ、エラーをトリガーしたエラーなど、サインイン操作に関する分析情報を提供します。 | Microsoft Entra ID |
| MITRE ATT&CK ブック | Microsoft Sentinel の MITRE ATT&CK カバレッジについて詳細が提供されます。 | SOC Handbook |
| Office 365 | すべての操作とアクティビティをトレースおよび分析することで、Office 365 に関する分析情報が提供されます。 SharePoint、OneDrive、Teams、および Exchange のデータがドリルダウンされます。 | Microsoft 365 |
| セキュリティのアラート | Microsoft Sentinel 環境でのアラートのセキュリティ アラート ダッシュボードが提供されます。 詳細については、「Microsoft セキュリティ アラートからインシデントを自動的に作成する」を参照してください。 |
SOC Handbook |
| セキュリティ操作の効率性 | セキュリティ オペレーション センター (SOC) マネージャーが、チームのパフォーマンスに関する全体的な効率のメトリックとメジャーを表示するためのものです。 詳細については、「インシデント メトリックを使用して SOC をより適切に管理する」をご覧ください。 |
SOC Handbook |
| 脅威インテリジェンス | 脅威インジケーターのインジェストに関する分析情報を提供します。 Microsoft ファースト パーティ、サード パーティ、オンプレミス、ハイブリッド、マルチクラウドのワークロード全体で大規模なインジケーターを検索します。 詳細については、「Microsoft Sentinel の脅威インテリジェンスについて」と TechCommunity のブログを参照してください。 |
脅威インテリジェンス |
| ワークスペース使用状況レポート | ワークスペースの使用状況に関する分析情報を提供します。 ワークスペースのデータ使用量、待機時間、推奨されるタスク、コストと使用状況の統計情報を表示します。 | ワークスペース使用状況レポート |
| ゼロ トラスト (TIC 3.0) | トラステッド インターネット接続フレームワークを横断的に説明したゼロ トラストの原則を自動的に視覚化できます。 詳細については、ゼロ トラスト (TIC 3.0) ブックのお知らせブログを参照してください。 |
ゼロ トラスト (TIC 3.0) |