Microsoft Sentinel のデプロイ ガイド

  • [アーティクル]

この記事では、Microsoft Sentinel の計画、デプロイ、微調整に役立つアクティビティについて説明します。

計画と準備の概要

このセクションでは、Microsoft Sentinel をデプロイする前の計画と準備に役立つアクティビティと前提条件について説明します。

計画と準備フェーズは、通常、SOC アーキテクトまたは関連する職務によって実行されます。

手順 詳細
1. 概要と前提条件を計画して準備する Azure テナントの前提条件を確認します。
2. ワークスペース アーキテクチャを計画する Microsoft Azure Sentinel ワークスペース アーキテクチャを設計します。 次のようなパラメーターを検討します。

- シングル テナントと複数のテナントのどちらを使用するか
- データの収集と保存に関するコンプライアンス要件
- Microsoft Sentinel データへのアクセスを制御する方法

次の記事を確認します。

1. ベスト プラクティスを確認する
2. ワークスペース アーキテクチャを設計する
3. サンプル ワークスペースの設計を確認する
4. 複数のワークスペースを準備する
3. データ コネクタの優先順位を設定する デプロイの予算とタイムラインを正確に投影するのに役立つ、必要なデータ ソースとデータ サイズの要件を決定します。

この情報は、ビジネス ユース ケースのレビュー中に、または既にある現在の SIEM を評価することで決定できます。 SIEM が既にある場合は、データを分析して、最も価値が高く、Microsoft Azure Sentinel に取り込む必要があるデータ ソースを把握します。
4. ロールとアクセス許可を計画する Azure ロールベースのアクセス制御 (RBAC) を使用して、セキュリティ オペレーション チーム内でロールを作成して割り当て、Microsoft Azure Sentinel への適切なアクセス権を付与します。 さまざまなロールを使用して、Microsoft Sentinel のユーザーが表示および実行できることをきめ細かく制御できます。 Azure ロールは、Microsoft Sentinel ワークスペースで直接割り当てるか、ワークスペースが属しているサブスクリプション、またはリソース グループで割り当てることができます (これは、Microsoft Sentinel が継承するものです)。
5. コストの計画 計画した各シナリオのコストへの影響を考慮しながら、予算の計画を開始します。

Microsoft Azure Sentinel と Azure Log Analytics の両方、デプロイされるプレイブックなどのデータ インジェストのコストが予算に含まれていることを確認します。

デプロイの概要

デプロイ フェーズは、通常、SOC アナリストまたは関連する職務によって実行されます。

手順 詳細
1. Microsoft Sentinel、正常性と監査、コンテンツを有効にする Microsoft Sentinel を有効にし、正常性と監査機能を有効にして、組織のニーズに応じて特定したソリューションとコンテンツを有効にします。
2.コンテンツを構成する さまざまな種類の Microsoft Sentinel セキュリティ コンテンツを構成します。これにより、データ コネクタ、分析ルール、オートメーション ルール、プレイブック、ブック、ウォッチリストなど、システム全体のセキュリティ上の脅威を検出して、監視し、対応できるようになります。
3. クロスワークスペース アーキテクチャを設定する 環境に複数のワークスペースが必要な場合、デプロイの一部としてそれらを設定できるようになりました。 この記事では、Microsoft Sentinel を設定し、複数のワークスペースとテナントに拡張する方法について説明します。
4.ユーザーとエンティティの行動分析 (UEBA) を有効にする UEBA 機能を有効にして使用し、分析プロセスを合理化します。
5.データ保持とアーカイブを設定する データ保持とアーカイブを設定して、組織が長期的に重要なデータを保持するようにします。

微調整と確認: デプロイ後のチェックリスト

デプロイ後のチェックリストを確認します。デプロイ プロセスが想定どおりに動作していること、デプロイしたセキュリティ コンテンツがニーズやユース ケースに沿って機能し、組織を保護していることを確認するうえで役立ちます。

微調整と確認のフェーズは、通常、SOC エンジニアまたは関連する職務によって実行されます。

Step アクション
インシデントとインシデント プロセスを確認する - 表示されているインシデントとインシデントの数が、実際の環境内で発生している事象を反映しているかどうかを確認します。
- SOC のインシデント プロセスでインシデントが効率的に処理されているかどうかを確認します: インシデントをその種類に応じて SOC の各レイヤー/レベルに割り当てていますか?

インシデントを確認して調査する方法と、インシデント タスクに対応する方法について詳細を確認してください。
分析ルールを確認して微調整する - インシデント レビューに基づいて、分析ルールが想定どおりにトリガーされるかどうか、対象となるインシデントの種類がルールに反映されているかどうかをチェックします。
オートメーションを使用するか、スケジュールが設定された分析ルールを変更して、- 偽陽性を処理します
- Microsoft Sentinel には、分析ルールの分析に役立つ組み込みの微調整機能が用意されています。 これらの組み込みの分析情報を確認し、該当する推奨事項を実装します
オートメーション ルールとプレイブックを確認する - 分析ルールと同様に、オートメーション ルールが想定どおりに動作しているか、懸念しているインシデントや対象のインシデントを反映しているかをチェックします。
- プレイブックが想定どおりにアラートとインシデントに対応しているかどうかを確認します。
ウォッチリストにデータを追加する ウォッチリストが最新であることを確認します。 新しいユーザーやユース ケースなど、環境内で変更が生じた場合は、それに応じてウォッチリストを更新します
コミットメント レベルを確認する 最初に設定したコミットメント レベルを確認し、これらのレベルに現在の構成が反映されていることを確認します。
インジェスト コストを把握する インジェスト コストを把握するには、次のいずれかのブックを使用します。
- ワークスペース使用状況レポート ブックにより、ワークスペースのデータ消費量、コスト、使用統計が提供されます。 ブックでは、ワークスペースのデータ インジェストの状態と、無料データと課金対象データの量が示されます。 ブックのロジックを使用して、データ インジェストとコストを監視し、カスタム ビューやルールベースのアラートを作成することができます。
- Microsoft Sentinel Cost ブックでは、インジェストと保持期間のデータ、対象となるデータ ソースのインジェスト データ、Logic Apps の課金情報など、Microsoft Sentinel のコストにより重点が置かれたビューが提供されます。
データ収集規則 (DCR) を微調整する - DCR にデータ インジェストのニーズとユース ケースが反映されていることを確認します。
- 必要に応じて、インジェスト時の変換を実装すると、ワークスペースに格納される前であっても、重要でないデータをフィルターで除外することができます。
MITRE フレームワークに対する分析ルールを確認する Microsoft Sentinel MITRE ページで MITRE カバレッジを確認します。MITRE ATT&CK® フレームワークの戦術と手法に基づいて、ワークスペースで既にアクティブになっている検出と、構成に使用できる検出を表示して、組織のセキュリティカバレッジを理解します。
疑わしいアクティビティを検出する SOC にプロアクティブな脅威ハンティングのためのプロセスがあることを確認します。 ハンティングは、セキュリティ アナリストが未検出の脅威や悪意のある動作を探し出すプロセスです。 仮説を作成し、データを検索し、その仮説を検証することで、何に対処するかを決定します。 アクションには、新しい検出や新しい脅威インテリジェンスの作成、または新しいインシデントの作成が含まれます。

この記事では、Microsoft Sentinel のデプロイに役立つ各フェーズのアクティビティについて確認しました。

現在のフェーズに応じて適切な手順を選択してください。

Microsoft Sentinel のデプロイが完了したら、一般的なタスクに関するチュートリアルを確認し、Microsoft Sentinel の機能を引き続き調べます。