演習 - Microsoft Azure Sentinel を使用して脅威をハンティングする

  • 20 分

Contoso で働いているセキュリティ エンジニアであるあなたは、最近、かなりの数の仮想マシンが Azure サブスクリプションから削除されたことに気付きました。 Microsoft Azure Sentinel で、削除された VM をシミュレートし、この発生を分析して、潜在的な脅威の主要な要素を理解する必要があります。

この演習では、VM を削除し、脅威ハンティング クエリを管理し、ブックマークを使用して主な検出結果を保存します。

Note

この演習を完了するには、モジュールの前半で設定の演習を完了している必要があります。 まだ行っていない場合は、ここで実行してください。

VM を削除する

このタスクでは、VM を削除して、ルールの検出とインシデントの作成をテストします。

  1. Azure portal で、[仮想マシン] を検索して選択します。
  2. [仮想マシン] ページで、[simple-vm] というラベルの付いた仮想マシンの横にあるチェック ボックスをオンにし、ツール バーの [削除] を選択します。
  3. [リソースの削除] ペインで、削除を確認して [削除] を選択します。

Microsoft Azure Sentinel の脅威ハンティング クエリを管理する

このタスクでは、脅威ハンティング クエリを作成および管理して、前のタスクでの VM の削除に関連するイベントを確認します。 VM を削除した後、Microsoft Azure Sentinel にイベントが表示されるまでに最大で 5 分かかる場合があります。

  1. Azure portal で、[Microsoft Azure Sentinel] を検索して選択し、以前に作成した Sentinel ワークスペースを選択します。

  2. [Microsoft Azure Sentinel] ページのメニュー バーにある [脅威の管理] セクションで、[ハンティング] を選択します。

  3. [ハンティング] ページで、[クエリ] タブを選択します。次に、[新しいクエリ] を選択します。

  4. [Create custom query](カスタム クエリの作成) ページで、次の入力値を提供し、[作成] を選択します。

    • [名前]: 「Deleted VMs」(削除された VM) と入力します。

    • [説明]: 他のセキュリティ アナリストがルールの内容を理解するのに役立つ詳細な説明を入力します。

    • [カスタム クエリ]: 次のコードを入力します。

        AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

    • 戦術: [影響] を選択します。

  5. [Hunting](ハンティング) ページの [クエリ] タブで、[検索クエリ] フィールドに「Deleted VMs」と入力します。

  6. クエリの一覧で、[Deleted VMs](削除された VM) の横にある星のアイコンを選択し、クエリをお気に入りとしてマークします。

  7. [Deleted VMs] クエリを選択します。 詳細ペインで、[結果の表示] を選択します。

    Note

    削除された VM イベントが Microsoft Azure Sentinel に送信されるまでに最長 15 分かかる場合があります。 VM 削除イベントが表示されない場合は、[結果] タブでクエリの実行を定期的に選択できます。

  8. [ログ] ページの [結果] セクションで、一覧に表示されたイベントを選択します。 この [承認] 列に "action": "Microsoft.Compute/virtualMachines/delete" が含まれている必要があります。 これは、VM が削除されたことを示す Azure アクティビティ ログのイベントです。

  9. 次のタスクのために、このページにとどまります。

主な検出結果をブックマークを使用して保存する

このタスクでは、ブックマークを使用してイベントを保存し、より多くのハンティングを行います。

  1. [ログ] ページの [結果] セクションで、一覧に表示されたイベントの横にあるチェック ボックスをオンにします。 次に、[ブックマークの追加] を選択します。
  2. [ブックマークの追加] ペインで、[作成] を選択します。
  3. ページの上部にある階層リンクの軌跡で、[Microsoft Azure Sentinel] を選択します。
  4. [ハンティング] ページで、[ブックマーク] タブを選択します。
  5. ブックマークの一覧で、[Deleted VMs](削除された VM) で始まるブックマークを選択します。
  6. [詳細] ページで、[調査] を選択します。
  7. [調査] ページで、[Deleted VMs] を選択し、インシデントの詳細を確認します。
  8. [調査] ページで、ユーザーを表すエンティティをグラフ上で選択します。 これは、あなたのユーザー アカウントであり、あなたが VM を削除したことを示しています。

結果

この演習では、VM を削除し、脅威ハンティング クエリを管理し、ブックマークを使用して重要な調査結果を保存しました。

Azure リソースをクリーンアップする

この演習で作成した Azure リソースを使い終わったら、コストが発生しないように、それらを削除します。

  1. Azure portal で [リソース グループ] を検索します。
  2. リソース グループを選択します。
  3. ヘッダー バーで、[リソース グループの削除] を選択します。
  4. [リソース グループ名を入力してください] フィールドにリソース グループの名前を入力し、[削除] を選択します。