演習 - Microsoft Azure Sentinel の分析で脅威を検出する

  • 20 分

Microsoft Azure Sentinel の分析を使用して脅威検出を行うこのモジュールの演習は、省略可能なユニットです。 ただし、この演習を実行する場合は、Azure リソースを作成できる Azure サブスクリプションにアクセスする必要があります。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

演習の前提条件をデプロイするには、以下のタスクを実行します。

Note

このモジュールの演習を実行する場合は、お使いの Azure サブスクリプションでコストが発生する可能性があることに注意してください。 コストを見積もるには、「Azure Sentinel の価格」を参照してください。

タスク 1: ARM テンプレートを使用して Microsoft Azure Sentinel をデプロイする

  1. 次のリンクを選択します。

    Azure にデプロイ。

    Azure にサインインするように求められます。 [カスタム デプロイ] ペインが表示されます。

  2. [基本] タブで、各設定に対して次の値を入力します。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    Resource group [新規作成] を選択して、azure-sentinel-rg のようにリソース グループの名前を指定します。
    インスタンスの詳細
    リージョン ドロップダウン リストから、Microsoft Sentinel をデプロイする場所を選択します。
    ワークスペース名 Microsoft Sentinel ワークスペースには、<yourName>-sentinel のような一意の名前を指定します。ここで、<yourName> は、前のタスクで選択したワークスペース名を表します。
    場所 既定値 [resourceGroup().location] をそのまま使用します。
    Simplevm 名 既定値 [simple-vm] をそのまま使用します。
    Simplevm Windows OS のバージョン 既定値 [2016-Datacenter] をそのまま使用します。

  3. [確認および作成] を選択します。 検証に合格した場合は、[作成] を選択します。

    [カスタム デプロイ] ページのスクリーンショット。

    Note

    デプロイが完了するまで待ちます。 デプロイは 5 分以内に完了するはずです。

タスク 2:作成されたリソースを確認する

  1. Azure portal で [リソース グループ] を検索します。

  2. [azure-sentinel-rg] を選択します。

  3. リソースの一覧を [種類] で並べ替えます。

    リソース グループには、次の表に示すリソースが含まれているはずです。

    名前 種類 説明
    <yourName>-sentinel Log Analytics ワークスペース Microsoft Sentinel で使用される Log Analytics ワークスペース。ここで、<yourName> は、前のタスクで選択したワークスペースの名前を表します。
    simple-vmNetworkInterface ネットワーク インターフェイス VM のネットワーク インターフェイス。
    SecurityInsights(<yourName>-sentinel) ソリューション Microsoft Sentinel のセキュリティ分析情報。
    simple-vm 仮想マシン デモで使用される仮想マシン (VM)。
    st1<xxxxx> ストレージ アカウント VM で使用されるストレージ アカウント。ここで、<xxxxx> は、一意のストレージ アカウント名を作成するために生成されるランダム文字列を表します。
    vnet1 仮想ネットワーク VM の仮想ネットワーク。

Note

この演習でデプロイしたリソースと完了した構成手順は、次の演習で必要になります。 次の演習を完了する予定の場合は、この演習のリソースを削除しないでください。

タスク 3:Microsoft Sentinel データ コネクタを構成する

このタスクでは、Microsoft Azure Sentinel データ コネクタをデプロイして Azure アクティビティを検出します。

  1. Azure portal で、[ホーム] を選択してから Microsoft Azure Sentinel を検索して選択します。

  2. Sentinel ワークスペース名の一覧で、タスク 2 で作成した Microsoft Azure Sentinel ワークスペースを選択します。 Sentinel ワークスペースの [概要] ペインが表示されます。

  3. メニュー ペインの [コンテンツ管理] で、[コンテンツ ハブ] を選択します。 [コンテンツ ハブ] ペインが表示されます。

  4. [検索] ボックスで、Azure Activity ソリューションを検索して選びます。 [Azure Activity] の詳細ウィンドウで、[インストール] を選択します。

  5. インストールが完了するのを待ってから、[管理] を選択します。

  6. [検索] ボックスで、Azure Activity データ コネクタを検索して選びます。

  7. [Azure Activity] の詳細ウィンドウで、[コネクタ ページを開く] を選びます。

  8. [手順] タブの [構成] 領域で、[2] の下まで下にスクロールします。 診断設定の新しい... で Azure Policy の割り当て ウィザードの起動> を選択します。

  9. [基本] タブで、[スコープ] の下にある省略記号ボタン (...) を選択し、ドロップダウン リストから "Azure サブスクリプション" を選んで、[選択] を選択します。

  10. [パラメーター] タブを選択し、[プライマリ Log Analytics ワークスペース] ドロップダウン リストから自分の yourName-sentinel ワークスペースを選びます。

  11. [修復] タブを選択し、 [修復タスクの作成] チェック ボックスをオンにします。 このアクションにより、Log Analytics ワークスペースに情報を送信するサブスクリプション構成が適用されます。

    注意

    既存のリソースにポリシーを適用するには、修復タスクを作成する必要があります。

  12. [確認と作成] ボタンを選択して構成を確認します。

  13. [作成] を選択して完了します。

  14. デプロイが完了すると、[構成/データ コネクタ] ペインに Azure Activity コネクタが [接続済み] の状態 (緑色のバー) で表示されます。

Microsoft Azure Sentinel コネクタのスクリーンショット。

Note

Azure アクティビティのコネクタでは、Microsoft Sentinel に [接続済み] と表示されるまでに 15 分かかる場合があります。 これでこのモジュールの残りの手順と他のユニットを進めることができます。