この記事では、Microsoft Sentinelデプロイの計画、デプロイ、微調整に役立つアクティビティについて説明します。
概要の計画と準備
このセクションでは、Microsoft Sentinelをデプロイする前に計画および準備するのに役立つアクティビティと前提条件について説明します。
計画と準備フェーズは、通常、SOC アーキテクトまたは関連するロールによって実行されます。
| 手順 | 詳細 |
|---|---|
| 1. 概要と前提条件を計画して準備する | Azure テナントの前提条件を確認します。 |
| 2. ワークスペース アーキテクチャを計画する | Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースを設計します。 Microsoft Defender ポータルにオンボードするかどうかに関係なく、Log Analytics ワークスペースは引き続き必要です。 次のようなパラメーターを検討してください。 - 1 つのテナントを使用するか、複数のテナントを使用するか - データ収集とストレージに関するコンプライアンス要件 - Microsoft Sentinel データへのアクセスを制御する方法 次の記事を確認します。 1. ワークスペース アーキテクチャを設計する 3. サンプル ワークスペース デザインを確認する 4. 複数のワークスペースの準備 |
| 3. データ コネクタの優先順位付け | デプロイの予算とタイムラインを正確に予測するのに役立つ、必要なデータ ソースとデータ サイズの要件を決定します。 この情報は、ビジネス ユース ケース レビュー中に、または既に設定されている現在の SIEM を評価することによって判断できます。 SIEM が既にある場合は、データを分析して、最も価値の高いデータ ソースを把握し、Microsoft Sentinelに取り込む必要があります。 |
| 4. ロールとアクセス許可を計画する | Azureロールベースのアクセス制御 (RBAC) を使用して、セキュリティ運用チーム内でロールを作成して割り当てて、Microsoft Sentinelへの適切なアクセス権を付与します。 さまざまなロールにより、ユーザーが表示および実行できるMicrosoft Sentinelをきめ細かく制御できます。 Azureロールは、ワークスペース内で直接割り当てることも、ワークスペースが属するサブスクリプションまたはリソース グループ内に割り当てることもできます。これは、Microsoft Sentinelが継承します。 |
| 5. コストを計画する | 計画されている各シナリオのコストへの影響を考慮して、予算の計画を開始します。 Microsoft SentinelとAzure Log Analytics、デプロイされるプレイブックなど、両方のデータ インジェストのコストが予算でカバーされていることを確認します。 |
展開の概要
デプロイ フェーズは、通常、SOC アナリストまたは関連ロールによって実行されます。
| 手順 | 詳細 |
|---|---|
| 1. Microsoft Sentinel、正常性と監査、およびコンテンツを有効にする | Microsoft Sentinelを有効にし、正常性と監査機能を有効にし、organizationのニーズに応じて特定したソリューションとコンテンツを有効にします。
API を使用してMicrosoft Sentinelにオンボードするには、サポートされている最新バージョンのSentinelオンボード状態に関するページを参照してください。 |
| 2. コンテンツを構成する | さまざまな種類のMicrosoft Sentinelセキュリティ コンテンツを構成します。これにより、データ コネクタ、分析ルール、自動化ルール、プレイブック、ブック、ウォッチリストなど、システム全体のセキュリティ上の脅威を検出、監視、対応できます。 |
| 3. クロスワークスペース アーキテクチャを設定する | 環境で複数のワークスペースが必要な場合は、デプロイの一部として設定できるようになりました。 この記事では、複数のワークスペースとテナント間で拡張するようにMicrosoft Sentinelを設定する方法について説明します。 |
| 4. ユーザーとエンティティの動作分析 (UEBA) を有効にする | UEBA 機能を有効にして使用して、分析プロセスを合理化します。 |
| 5. データ レイクMicrosoft Sentinel構成する | 対話型およびデータ保持設定を構成して、organizationが重要な長期データを保持するようにします。Microsoft Sentinel データ レイクを利用して、コスト効率の高いストレージ、可視性の強化、高度な分析ツールとのシームレスな統合を実現します。 |
微調整とレビュー: デプロイ後のチェックリスト
デプロイ後のチェックリストを確認して、デプロイ プロセスが期待どおりに機能していること、デプロイしたセキュリティ コンテンツが機能していることを確認し、ニーズやユース ケースに応じてorganizationを保護します。
微調整とレビューのフェーズは、通常、SOC エンジニアまたは関連するロールによって実行されます。
| 手順 | アクション |
|---|---|
| ✅ インシデントとインシデント プロセスを確認する | - インシデントと発生しているインシデントの数が、環境内で実際に発生している内容を反映しているかどうかを確認します。 - SOC のインシデント プロセスがインシデントの効率的な処理に取り組んでいるかどうかを確認する: さまざまな種類のインシデントを SOC の異なるレイヤー/層に割り当てましたか? インシデントを 移動して調査 する方法と、インシデント タスクを操作する方法の詳細について説明します。 |
| ✅ 分析ルールの確認と微調整 | - インシデント レビューに基づいて、分析ルールが期待どおりにトリガーされるかどうか、およびルールに関心のあるインシデントの種類が反映されているかどうかをチェックします。 - 自動化を使用するか、スケジュールされた分析ルールを変更して、誤検知を処理します。 - Microsoft Sentinelには、分析ルールの分析に役立つ微調整機能が組み込まれています。 これらの組み込みの分析情報を確認し、関連する推奨事項を実装します。 |
| ✅ オートメーション ルールとプレイブックを確認する | - 分析ルールと同様に、自動化ルールが期待どおりに機能していることをチェックし、懸念しているインシデントと関心のあるインシデントを反映します。 - プレイブックが期待どおりにアラートとインシデントに応答しているかどうかを確認します。 |
| ✅ ウォッチリストにデータを追加する | ウォッチリストが最新の状態であることを確認します。 新しいユーザーやユース ケースなど、環境内で変更が発生した場合は、 それに応じてウォッチリストを更新します。 |
| ✅ コミットメントレベルを確認する | 最初に設定したコミットメント レベルを確認し、これらのレベルに現在の構成が反映されていることを確認します。 |
| ✅ インジェスト コストを追跡する | インジェスト コストを追跡するには、次のいずれかのブックを使用します。 - ワークスペース使用状況レポート ブック には、ワークスペースのデータ使用量、コスト、使用状況の統計情報が表示されます。 ブックには、ワークスペースのデータ インジェストの状態と、空きデータと課金対象データの量が表示されます。 ブック ロジックを使用して、データ インジェストとコストを監視したり、カスタム ビューやルール ベースのアラートを作成したりできます。 - [Microsoft Sentinel コスト] ブックでは、インジェストとリテンション期間のデータ、対象となるデータ ソースのインジェスト データ、Logic Apps の課金情報など、Microsoft Sentinelコストのより焦点を絞ったビューが提供されます。 |
| ✅ データ収集規則 (DCR) を微調整する | - DCR に データ インジェストのニーズとユース ケースが反映されていることを確認します。 - 必要に応じて、 インジェスト時変換を実装 して、ワークスペースに最初に格納される前に無関係なデータを除外します。 |
| ✅ MITRE フレームワークに対する分析ルールの確認 | [MICROSOFT SENTINEL MITRE] ページで MITRE カバレッジを確認します。MITRE ATT&CK® フレームワークの戦術と手法に基づいて、ワークスペースで既にアクティブになっている検出と、構成可能な検出を確認して、organizationのセキュリティ カバレッジを把握します。 |
| ✅ 不審なアクティビティを検索する | SOC に プロアクティブな脅威ハンティングのプロセスがあることを確認します。 ハンティングは、セキュリティ アナリストが検出されない脅威と悪意のある動作を探すプロセスです。 仮説を作成し、データを検索し、その仮説を検証することで、何に対処するかを決定します。 アクションには、新しい検出の作成、新しい脅威インテリジェンス、または新しいインシデントの作成が含まれます。 |
関連記事
この記事では、Microsoft Sentinelの展開に役立つ各フェーズのアクティビティを確認しました。
使用しているフェーズに応じて、適切な次の手順を選択します。
- 計画と準備 - Azure Sentinelをデプロイするための前提条件
- デプロイ - Microsoft Sentinelと初期機能とコンテンツを有効にする
- 微調整とレビュー - Microsoft Sentinelでのインシデントの移動と調査
Microsoft Sentinelのデプロイが完了したら、一般的なタスクに関するチュートリアルを確認して、引き続きMicrosoft Sentinel機能を確認してください。
- データ レイクMicrosoft Sentinelとは
- Azure Monitor エージェントを使用してMicrosoft Sentinelを使用して Syslog データを Log Analytics ワークスペースに転送する
- テーブル レベルのリテンション期間を構成する
- 分析ルールを使用して脅威を検出する
- インシデントの IP アドレス評判情報を自動的にチェックして記録する
- 自動化を使用して脅威に対応する
- ネイティブ以外のアクションを使用してインシデント エンティティを抽出する
- UEBA を使用して調査する
- ゼロ トラストの構築と監視
毎日、毎週、毎月実行することをお勧めする定期的な SOC アクティビティについては、Microsoft Sentinel運用ガイドを参照してください。