演習 - Microsoft Sentinel ブックを使用してデータのクエリと視覚化を行う

この「データのクエリと視覚化」演習は省略可能なユニットです。この演習を実行する場合は、Azure リソースを作成できる Azure サブスクリプションにアクセスする必要があります。 Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

Note

このモジュールの演習を行う場合は、お使いの Azure サブスクリプションでコストが発生する場合があることに注意してください。コストを見積もるには、「Azure Sentinel の価格」を参照してください。

演習の前提条件をデプロイするには、以下のタスクを実行します。

タスク 1: リソースを作成する

[カスタムデプロイ] ページで、次の情報を指定します。

名前	説明
サブスクリプション	Azure サブスクリプションを選択します。
Resource group	[新規作成] を選択し、リソースグループの名前 (「azure-sentinel-rg」など) を指定します。
リージョン	ドロップダウンメニューから、Microsoft Sentinel をデプロイする場所を選びます。
ワークスペース名	Microsoft Sentinel ワークスペースの一意の名前 (例: <yourName>-sentinel) を指定します。
場所	既定値 [resourceGroup().location] をそのまま使用します。
Simplevm 名	既定値 [simple-vm] をそのまま使用します。
Simplevm Windows OS のバージョン	既定値 [2016-Datacenter] をそのまま使用します。

[確認と作成] を選択し、次に [作成] を選択します。

Note

デプロイが完了するまで待ちます。デプロイは 5 分以内に完了するはずです。

リソースグループには、次の表に示すリソースが含まれているはずです。

名前	タイプ	説明
<yourName>-sentinel	Log Analytics ワークスペース	Microsoft Sentinel で使われる Log Analytics ワークスペース。前のタスクであなたが選んだワークスペース名です。
simple-vmNetworkInterface	ネットワークインターフェイス	仮想マシン (VM) のネットワークインターフェイス。
SecurityInsights(<yourName>-sentinel)	ソリューション	Microsoft Sentinel のセキュリティ分析情報。
st1xxxxx	ストレージアカウント	VM によって使われるストレージアカウント。ランダムな文字列 xxxxx により、一意のストレージアカウント名が作成されます。
simple-vm	仮想マシン	デモで使用される仮想マシン。
vnet1	仮想ネットワーク	VM の仮想ネットワーク。

Note

この演習のリソースと構成は、次の演習でも必要です。次の演習を完了する予定の場合は、これらのリソースを削除しないでください。

このタスクでは、Microsoft Azure Sentinel コネクタを Azure アクティビティにデプロイします。

Azure portal で [Microsoft Sentinel] を検索して選びます。前のタスクで作成した Microsoft Sentinel ワークスペースを選びます。
[Microsoft Sentinel] ページのメニューバーにある [構成] の [データコネクタ] を選びます。
[データコネクタ] ペインで、[Azure アクティビティ] を検索して選択します。
詳細ウィンドウで、[Open connector page](コネクタページを開く) を選択します。
[Azure アクティビティ] 画面の [手順] で [前提条件] を確認し、[構成] の手順に従います。
[接続済み] の状態が表示されたら、開いているすべてのパネルを閉じて、[Microsoft Sentinel | データコネクタ] に戻ります。

Note

[Azure アクティビティ] のコネクタのデプロイには 15 分かかる場合があります。演習の残りの手順と、このモジュールの以降のユニットを進めることができます。