演習 - Microsoft Azure Sentinel の分析で脅威を検出する
Contoso で働いているセキュリティ エンジニアであるあなたは、最近、かなりの数の VM が Azure サブスクリプションから削除されたことに気付きました。 このような状況を分析し、今後同様のアクティビティが発生したときにアラートが表示されるようにします。 あなたは、既存の VM をだれかが削除したときにインシデントを作成するための分析ルールを実装することにします。
演習: Microsoft Azure Sentinel の分析を使用した脅威検出
この演習では、Microsoft Azure Sentinel の分析ルールを調べて、次のタスクを実行します。
- 既存のテンプレートからインシデント ルールを作成する。
- インシデントを発生させ、関連付けられているアクションを確認する。
- ルール テンプレートから分析ルールを作成する。
Note
この演習を完了するためには、ユニット 2 の演習の設定ユニットを完了している必要があります。 まだ完了していない場合は、今すぐ完了してから、この演習の手順を続行してください。
タスク 1:分析ルール ウィザードから分析ルールを作成する
Azure portal で、Microsoft Azure Sentinel を検索して選択し、以前に作成した Microsoft Azure Sentinel ワークスペースを選択します。
Microsoft Azure Sentinel メニューの [構成] で、[分析] を選択します。
[Microsoft Azure Sentinel | 分析] ヘッダー バーで、[作成]、[スケジュール済みクエリ ルール] の順に選択します。
[全般] タブで、次の表の入力値を入力してから、[次: ルールのロジックを設定] を選択します。
名前 Azure VM の削除。 [説明] だれかが Azure 仮想マシンを削除するときにアラートを出す単純な検出。 MITRE ATT&CK [MITRE ATT&CK] ドロップダウン メニューから、[影響] を選択します。 重要度 [重大度] ドロップダウン メニューを選択して、[中] を選択します。 Status 状態が [有効] になっていることを確認します。 多数の擬陽性が生じる場合は、[無効] を選択してルールを無効にできます。 ![[分析ルール ウィザード - 新しいルールの作成] のスクリーンショット。](../../wwl-sci/analyze-data-in-sentinel/media/07-analytics-rule-wizard-create-new-rule.png)
[ルールのロジックを設定] タブで、次のコードをコピーして [ルールのクエリ] テキスト ボックスに貼り付けます。
AzureActivity | where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE" | where ActivityStatusValue == "Success"[結果のシミュレーション] ウィンドウで [現在のデータでテストする] を選択し、結果を確認します。
![[分析ルール セット ロジック] タブのスクリーンショット。](../../wwl-sci/analyze-data-in-sentinel/media/07-set-rule-logic-page.png)
[エンティティ マッピング] の [Alert enhancement] (アラート強化) セクションで、エンティティ (クエリ ルールの一部として返されるものと、詳細分析を行なうために使用できるもの) をマップします。
[クエリのスケジュール設定] セクションで、クエリを実行する頻度と、どれだけ履歴をさかのぼって検索するかを構成します。 5 分ごとに実行するクエリを選択して、既定の履歴である 5 時間をそのまま使用します。
[アラートのしきい値] セクションでは、ルールに対して陽性の結果が何回返されたらアラートが生成されるかを指定します。 既定の値を受け入れる。
[イベント グループ化] セクションで、既定の [すべてのイベントを単一のアラートにグループ化する] をそのまま使用します。
[抑制] セクションで、[アラートの生成後にクエリの実行を停止する] を [オン] に設定します。
既定値の 5 時間をそのまま使用し、[Next: Incident setting (Preview)](次へ: インシデント設定 (プレビュー)) を選択します。
[インシデント設定] タブで、この分析ルールによってトリガーされるアラートによるインシデントの作成に対して確実に [有効] を選択してください。
[アラート グループ化] セクションで、[有効] を選択して関連するアラートをインシデントにグループ化し、[すべてのエンティティが一致した場合にアラートを 1 つのインシデントにグループ化する (推奨)] を確実に選択します。
[Reopen closed matching incidents](終了した一致するインシデントを再度開く) を確実に [無効] にして、[次: 自動応答] を選択します。
[自動応答] ウィンドウで、アラートが生成されたときに自動的に実行するプレイブックを選択します。 ロジック アプリ Microsoft Azure Sentinel コネクタが含まれているプレイブックのみが表示されます。
確認\) をクリックします。
[確認と作成] ページで、検証が成功したことを確認し、[保存] を選択してください。
![[分析ルール セット ロジック] タブのスクリーンショット。](../../wwl-sci/analyze-data-in-sentinel/media/07-set-rule-logic-page.png#lightbox)
タスク 2:インシデントを発生させ、関連付けられているアクションを確認する
- Azure portal で [ホーム] を選択して、[検索] オムニボックスで「virtual machines」と入力して、Enter を選択します。
- [仮想マシン] ページで、この演習のリソース グループで作成した simple-vm 仮想マシンを見つけて選択し、ヘッダー バーで [削除] を選択します。 [仮想マシンの削除] プロンプトで、[はい] を選択します。
- [仮想マシンの削除] プロンプトで [OK] を選択して、仮想マシンを削除します。
Note
このタスクにより、タスク 1 で作成した分析ルールに基づいてインシデントが作成されます。 インシデントの作成には最大 15 分かかることがあります。 このユニットの残りの手順を進めてから、後で結果を確認することができます。
タスク 3:既存のテンプレートから分析ルールを作成する
Azure portal で [ホーム] を選択し、[Microsoft Azure Sentinel] を選択してから、このモジュールのユニット 2 で作成した Microsoft Azure Sentinel ワークスペースを選択します。
Microsoft Azure Sentinel を開き、左側メニューの [構成] で、[分析] を選択します。
[分析] ウィンドウで、[規則のテンプレート] タブを選択します。
検索フィールドに、「Create incidents based on Microsoft Defender for Cloud」(Microsoft Defender for Cloud に基づいてインシデントを作成) と入力して、その規則テンプレートを選択します。
詳細ウィンドウで、[ルールの作成] を選択します。
[全般] ペインで、分析ルールの名前を確認し、ルールの [状態] が [有効] になっていることを確認します。
[分析ルールのロジック] セクションで、[Microsoft Defender for Cloud] が選択されているのを Microsoft セキュリティ サービスが示していることを確認します。
[重要度でフィルター処理] セクションで、[カスタム] を選択し、ドロップダウン メニューで [高] および [中] を選択します。
Microsoft Defender for Cloud からのアラートに追加のフィルターが必要な場合は、[特定のアラートを含める] および [特定のアラートを除外する] にテキストを追加することができます。
[Next: Automated response](次へ: 自動応答) を選択してから、[次へ: 確認] を選択します。
[確認と作成] ページで、[作成] を選択します。
結果
この演習を完了すると、既存のテンプレートからインシデント ルールが作成され、独自のクエリ コードを使用してスケジュールされたクエリ ルールが作成されています。
演習を完了したら、コストが発生しないようにリソースを削除する必要があります。
リソースのクリーンアップ
- Azure portal で [リソース グループ] を検索します。
- [azure-sentinel-rg] を選択します。
- ヘッダー バーで、[リソース グループの削除] を選択します。
- [リソース グループ名の入力] フィールドに、リソース グループの名前「azure-sentinel-rg」を入力し、[削除] を選択します。