演習 - Microsoft Azure Sentinel を使用して脅威をハンティングする
Contoso で働いているセキュリティ エンジニアであるあなたは、最近、かなりの数の仮想マシンが Azure サブスクリプションから削除されたことに気付きました。 Microsoft Azure Sentinel で、削除された VM をシミュレートし、この発生を分析して、潜在的な脅威の主要な要素を理解する必要があります。
この演習では、VM を削除し、脅威ハンティング クエリを管理し、ブックマークを使用して主な検出結果を保存します。
Note
この演習を完了するには、モジュールの前半で設定の演習を完了している必要があります。 まだ行っていない場合は、ここで実行してください。
VM を削除する
このタスクでは、VM を削除して、ルールの検出とインシデントの作成をテストします。
- Azure portal で、[仮想マシン] を検索して選択します。
- [仮想マシン] ページで、[simple-vm] というラベルの付いた仮想マシンの横にあるチェック ボックスをオンにし、ツール バーの [削除] を選択します。
- [リソースの削除] ペインで、削除を確認して [削除] を選択します。
Microsoft Azure Sentinel の脅威ハンティング クエリを管理する
このタスクでは、脅威ハンティング クエリを作成および管理して、前のタスクでの VM の削除に関連するイベントを確認します。 VM を削除した後、Microsoft Azure Sentinel にイベントが表示されるまでに最大で 5 分かかる場合があります。
Azure portal で、[Microsoft Azure Sentinel] を検索して選択し、以前に作成した Sentinel ワークスペースを選択します。
[Microsoft Azure Sentinel] ページのメニュー バーにある [脅威の管理] セクションで、[ハンティング] を選択します。
[ハンティング] ページで、[クエリ] タブを選択します。次に、[新しいクエリ] を選択します。
[Create custom query](カスタム クエリの作成) ページで、次の入力値を提供し、[作成] を選択します。
[名前]: 「Deleted VMs」(削除された VM) と入力します。
[説明]: 他のセキュリティ アナリストがルールの内容を理解するのに役立つ詳細な説明を入力します。
[カスタム クエリ]: 次のコードを入力します。
AzureActivity | where OperationName == 'Delete Virtual Machine' | where ActivityStatus == 'Accepted' | extend AccountCustomEntity = Caller | extend IPCustomEntity = CallerIpAddress
戦術: [影響] を選択します。
[Hunting](ハンティング) ページの [クエリ] タブで、[検索クエリ] フィールドに「Deleted VMs」と入力します。
クエリの一覧で、[Deleted VMs](削除された VM) の横にある星のアイコンを選択し、クエリをお気に入りとしてマークします。
[Deleted VMs] クエリを選択します。 詳細ペインで、[結果の表示] を選択します。
Note
削除された VM イベントが Microsoft Azure Sentinel に送信されるまでに最長 15 分かかる場合があります。 VM 削除イベントが表示されない場合は、[結果] タブでクエリの実行を定期的に選択できます。
[ログ] ページの [結果] セクションで、一覧に表示されたイベントを選択します。 この [承認] 列に
"action": "Microsoft.Compute/virtualMachines/delete"
が含まれている必要があります。 これは、VM が削除されたことを示す Azure アクティビティ ログのイベントです。次のタスクのために、このページにとどまります。
主な検出結果をブックマークを使用して保存する
このタスクでは、ブックマークを使用してイベントを保存し、より多くのハンティングを行います。
- [ログ] ページの [結果] セクションで、一覧に表示されたイベントの横にあるチェック ボックスをオンにします。 次に、[ブックマークの追加] を選択します。
- [ブックマークの追加] ペインで、[作成] を選択します。
- ページの上部にある階層リンクの軌跡で、[Microsoft Azure Sentinel] を選択します。
- [ハンティング] ページで、[ブックマーク] タブを選択します。
- ブックマークの一覧で、[Deleted VMs](削除された VM) で始まるブックマークを選択します。
- [詳細] ページで、[調査] を選択します。
- [調査] ページで、[Deleted VMs] を選択し、インシデントの詳細を確認します。
- [調査] ページで、ユーザーを表すエンティティをグラフ上で選択します。 これは、あなたのユーザー アカウントであり、あなたが VM を削除したことを示しています。
結果
この演習では、VM を削除し、脅威ハンティング クエリを管理し、ブックマークを使用して重要な調査結果を保存しました。
Azure リソースをクリーンアップする
この演習で作成した Azure リソースを使い終わったら、コストが発生しないように、それらを削除します。
- Azure portal で [リソース グループ] を検索します。
- リソース グループを選択します。
- ヘッダー バーで、[リソース グループの削除] を選択します。
- [リソース グループ名を入力してください] フィールドにリソース グループの名前を入力し、[削除] を選択します。