Microsoft Azure Sentinel でのユーザーとエンティティの動作分析 (UEBA) の有効化

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

前のデプロイ手順では、システムを保護するために必要な Microsoft Sentinel セキュリティ コンテンツを有効にしました。 この記事では、UEBA 機能を有効にして使用して分析プロセスを合理化する方法について説明します。 この記事は、Microsoft Sentinel のデプロイ ガイドの一部です。

Microsoft Sentinel では、接続されているすべてのデータ ソースからログとアラートを収集すると、それらを分析して、時間とピア グループの期間全体にわたる組織のエンティティ (ユーザー、ホスト、IP アドレス、アプリケーションなど) のベースライン行動プロファイルを構築します。 さまざまな手法や機械学習機能を使用して、Microsoft Sentinel で異常なアクティビティを特定でき、資産が侵害されているかどうかを判定するのに役立ちます。 UEBA の詳細をご確認ください。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

前提条件

この機能を有効または無効にするには (この機能を使用するためにこれらの前提条件は必要ありません)

• ユーザーには、テナント内の Microsoft Entra ID 全体管理者またはセキュリティ管理者のロールが割り当てられている必要があります。

• ユーザーには、次の Azure ロールの少なくとも 1 つが割り当てられている必要があります (Azure RBAC に関する詳細)。

  • ワークスペースまたはリソース グループ レベルの Microsoft Azure Sentinel 共同作成者
  • リソース グループまたはサブスクリプション レベルの Log Analytics 共同作成者

• ワークスペースに Azure リソース ロックを適用することはできません。 Azure リソースのロックに関する詳細。

Note

• Microsoft Sentinel に UEBA 機能を追加するために特別なライセンスは必要ありませんが、使用するには追加料金がかかります。
• しかし、UEBA を使用すると、新しいデータが作成され、UEBA によって Log Analytics ワークスペースで作成される新しいテーブルにそれが格納されるため、データ ストレージの追加料金が適用されます。

ユーザーとエンティティの動作分析を有効にする方法

• Azure portal の Microsoft Sentinel のユーザーは、[Azure portal] タブの指示に従います。
• Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームの一部としての Microsoft Sentinel のユーザーは、[Defender ポータル] タブの指示に従います。

1. [エンティティ動作の構成] ページに移動します。

   Azure Portal

   次の 3 つの方法のいずれかを使用して、[エンティティの動作の構成] ページに移動します。

   • Microsoft Sentinel ナビゲーション メニューから [エンティティの動作] を選び、上部のメニュー バーから [エンティティの動作設定] を選びます。

   • Microsoft Sentinel ナビゲーション メニューから [設定]、[設定] タブの順に選び、[エンティティ行動分析] 展開コントロールで [UEBA の設定] を選びます。

   • [Microsoft Defender XDR データ コネクタ] ページで、[UEBA 構成ページに移動する] リンクを選びます。

   Defender ポータル

   [エンティティ動作の構成] ページに移動するには:

   1. Microsoft Defender ポータルのナビゲーション メニューから、[設定] を選びます。
   2. [設定] ページで、[Microsoft Sentinel] を選びます。
   3. 次のメニューから、[エンティティの行動分析] を選びます。
   4. 次に、[UEBA の設定] を選びます。これにより、新しいブラウザー タブが開き、Azure portal の [エンティティ行動の構成] ページが表示されます。

2. [エンティティ動作の構成] ページで、[切り替え]を [オン]に切り替えます。

   

3. ユーザー エンティティを Microsoft Sentinel と同期する Active Directory ソースの種類の横にあるチェック ボックスをオンにします。

   • Active Directory オンプレミス (プレビュー)
   • Microsoft Entra ID

   オンプレミスの Active Directory からユーザー エンティティを同期するには、Azure テナントが Microsoft Defender for Identity に (スタンドアロンまたは Microsoft Defender XDR の一部として) オンボードされている必要があり、Active Directory ドメイン コントローラーに MDI センサーがインストールされている必要があります。 詳細については、「Microsoft Defender for Identity の前提条件」を参照してください。

4. UEBA を有効にするデータ ソースの横にあるチェック ボックスをオンにします。

   Note

   既存のデータ ソースの一覧の下に、まだ接続していない UEBA でサポートされているデータ ソースの一覧が表示されます。

   UEBA を有効にすると、新しいデータ ソースに接続するとき、UEBA 対応であれば、データ コネクタ ウィンドウから直接、データ ソースの UEBA を有効にできるようになります。

5. [適用] を選択します。 [エンティティの動作] ページからこのページにアクセスした場合は、そこに戻ります。

次の手順

この記事では、Microsoft Azure Sentinel でユーザーとエンティティの動作分析 (UEBA) を有効にし、構成する方法について学習しました。 UEBA の詳細については、以下を参照してください。

エンティティ ページを使用してエンティティを調査する