Microsoft Sentinel での監査と稼働状況の監視
Microsoft Sentinel は、組織の技術と情報の資産のセキュリティを推進し、保護するための重要なサービスであるため、常にスムーズかつ干渉なく実行されている保証が求められると考えられます。 サービスの多くの可動部分が常に意図したとおりに機能し、サービスが内部ユーザーかそれ以外かにかかわらず、承認されていないアクションによって操作されていないことを確認できることが求められると考えられます。 正常性ドリフトや承認されていないアクションの通知を、応答できるか、応答を承認できる関連する利害関係者に送信するように構成することもできます。 たとえば、オペレーション チームやマネージャー、責任者へのメールや Microsoft Teams メッセージの送信をトリガーする条件の設定、チケット システムでの新しいチケットの発行などを行うことができます。
この記事では、Microsoft Sentinel の稼働状況の監視と監査の機能を使用して、サービスの主要なリソースの一部のアクティビティを監視し、サービス内のユーザー アクションのログを検査する方法について説明します。
説明
このセクションでは、稼働状況の監視と監査のコンポーネントの機能とユース ケースについて説明します。
データ ストレージ
正常性と監査のデータは、Log Analytics ワークスペースの次の 2 つのテーブルに収集されます。
- 正常性データは、Log Analytics ワークスペースの "SentinelHealth" テーブルに収集されます。
- 監査データは SentinelAudit テーブルに収集されます。
このデータを使用する一般的な方法は、このテーブルに対してクエリを実行することです。
最適な結果を得るには、テーブルに直接クエリを実行する代わりに、これらのテーブル ("_SentinelHealth()" と "_SentinelAudit()") の事前構築済み関数に対してクエリを作成する必要があります。 これらの関数を使用すると、テーブル自体のスキーマに変更が加えられた場合に、クエリの下位互換性が維持されます。
重要
SentinelHealth と SentinelAudit データ テーブルは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
プレイブックの正常性を監視する際、プレイブック アクティビティの全体像を把握するためには、SentinelHealth のデータに加え、Azure Logic Apps の診断イベントをプレイブックから収集する必要があります。 Azure Logic Apps の診断データは、ワークスペースの AzureDiagnostics テーブルに収集されます。
ユース ケース
健康
データ コネクタが正しく実行されているか
データ コネクタにデータが届いているでしょうか。 たとえば、5 分ごとにクエリを実行するように Microsoft Sentinel に指示した場合、そのクエリが実行されているかどうかや、どのように実行されているか、さらに、クエリに関連するリスクや脆弱性があるかどうかを確認します。
オートメーション ルールが想定どおりに実行されたか
オートメーション ルールの実行は想定したタイミングでしたか。つまり、その条件が満たされたときです。 オートメーション ルールのすべてのアクションが正常に実行されているでしょうか。
分析ルールが想定どおりに実行されたか
分析ルールは想定されていたときに実行され、結果が生成されましたか。 キューに特定のインシデントが表示されることを想定しているが表示されない場合は、ルールが実行されたが何も (または十分なものが) 見つからなかったのか、それともまったく実行されなかったのかを調べます。
Audit
分析ルールに承認されていない変更が加えられたか
ルールで何かが変更されましたか。 分析ルールから想定した結果が得られず、正常性の問題はありませんでした。 ルールに対して計画外の変更が行われたかどうかを確認し、その場合は、どのような変更誰が、どこから、いつ行ったかを確認する必要があります。
Microsoft Sentinel の正常性と監査のデータを確認する方法
正常性と監査のデータの収集を開始するには、Microsoft Sentinel の設定で正常性と監査の監視を有効にする必要があります。 これで、Microsoft Sentinel によって収集される正常性と監査のデータについて詳しく調べることができます。
Microsoft Sentinel の [ログ] ブレードから "SentinelHealth" と "SentinelAudit" データ テーブルに対してクエリを実行します。
- データ コネクタ
- オートメーション ルールとプレイブック (Azure Logic Apps 診断との結合クエリ)
- 分析ルール
Microsoft Sentinel で提供されている監査と稼働状況の監視ブックを使用します。
Microsoft Sentinel の実行管理ツールを使用して、スケジュール化された分析規則の実行を監視および最適化します。
Log Analytics ワークスペースなど各種の宛先にデータをエクスポートし、ストレージ アカウントなどにアーカイブします。 ログのサポートされている宛先をご覧ください。
次のステップ
- Microsoft Sentinel で監査と稼働状況の監視を有効にします。
- オートメーション ルールとプレイブックの正常性を監視します。
- データ コネクタの正常性を監視します。
- 分析ルールの正常性と整合性を監視します。
- "SentinelHealth" および "SentinelAudit" テーブル スキーマの詳細を確認します。
次の用語も参照:
- SAP 向け Microsoft Sentinel ソリューションを使用するには、 その正常性の監視も行います。