運用ガイドMicrosoft Sentinel

この記事では、セキュリティ運用 (SOC) チームとセキュリティ管理者が、Microsoft Sentinelを使用して通常のセキュリティ アクティビティの一部として計画および実行することを推奨する運用アクティビティの一覧を示します。 セキュリティ操作の管理の詳細については、「 セキュリティ操作の概要」を参照してください。

毎日のタスク

次のアクティビティを毎日スケジュールします。

タスク 説明
インシデントのトリアージと調査 [Microsoft Sentinel インシデント] ページを確認して、現在構成されている分析ルールによって生成された新しいインシデントをチェックし、新しいインシデントの調査を開始します。 詳細については、以下を参照してください:
  • Azure portal内のMicrosoft Sentinel インシデントの移動、トリアージ、管理
  • Azure portal Microsoft Sentinelインシデントを詳細に調査する
  • ハンティング クエリとブックマークを調べる すべての組み込みクエリの結果を調べ、既存のハンティング クエリとブックマークを更新します。 新しいインシデントを手動で生成するか、該当する場合は古いインシデントを更新します。 詳細については、以下を参照してください:
  • Azure portalのMicrosoft Sentinelで独自のインシデントを手動で作成する (プレビュー)
  • Microsoft Sentinelで脅威を探す
  • Microsoft Sentinelを使用してハンティング中にデータを追跡する
  • 分析ルール 新しくデプロイされたソリューションから新しくリリースされたルールと新しく利用可能なルールの両方を含め、該当する新しい分析ルールを確認して有効にします。 詳細については、以下を参照してください:
  • テンプレートからスケジュールされた分析ルールを作成する
  • Microsoft Sentinelコンテンツとソリューションについて

    正常性を監視し、分析ルールの実行を最適化します。 詳細については、以下を参照してください:
  • 正常性を監視し、分析ルールの整合性を監査する
  • スケジュールされた分析ルールの実行を監視して最適化する
  • データ コネクタ データ コネクタの正常性状態を確認して、データがフローしていることを確認します。 新しいコネクタを確認し、インジェストを確認して、設定された制限を超えないようにします。 詳細については、「 データ コネクタの正常性の監視」を参照してください
    Azure モニター エージェント サーバーとワークステーションがワークスペースにアクティブに接続されていることを確認し、失敗した接続のトラブルシューティングと修復を行います。 詳細については、「モニター エージェントの概要Azure」を参照してください。
    プレイブックの失敗 プレイブックの実行状態を確認し、エラーのトラブルシューティングを行います。 詳細については、「チュートリアル: Microsoft Sentinelのオートメーション ルールでプレイブックを使用して脅威に対応する」を参照してください。

    毎週のタスク

    次のアクティビティを毎週スケジュールします。

    タスク 説明
    ソリューションまたはスタンドアロン コンテンツのコンテンツ レビュー インストールされているソリューションまたはスタンドアロン コンテンツのコンテンツ更新プログラムを Content ハブから取得します。 分析ルール、ブック、ハンティング クエリ、プレイブックなど、環境にとって価値のある新しいソリューションやスタンドアロン コンテンツを確認します。
    Microsoft Sentinel監査 Microsoft Sentinelアクティビティを確認して、分析ルール、ブックマークなどのリソースを更新または削除したユーザーを確認します。 詳細については、「監査Microsoft Sentinelクエリとアクティビティ」を参照してください。

    毎月のタスク

    次のアクティビティを毎月スケジュールします。

    タスク 説明
    ユーザー アクセスを確認する ユーザーのアクセス許可を確認し、非アクティブなユーザーのチェックします。 詳細については、「Microsoft Sentinelのアクセス許可」を参照してください。
    Log Analytics ワークスペースレビュー Log Analytics ワークスペースのデータ保持ポリシーが引き続きorganizationのポリシーと一致していることを確認します。 詳細については、「データ保持ポリシー」および「長期ログリテンション期間のAzure Data Explorerを統合する」を参照してください