Microsoft Sentinel での監査と稼働状況の監視
Microsoft Sentinel は、組織の技術と情報の資産のセキュリティを推進し、保護するための重要なサービスであるため、常にスムーズかつ干渉なく実行されていることが求められます。
サービスの多くの可動部分が常に意図したとおりに機能し、内部ユーザーかそれ以外かにかかわらず、承認されていないアクションによって操作されていないことを確認できることが求められます。 また、正常性ドリフトや未承認のアクションに応答できる、または応答を承認できる関係者に通知を送信するように構成しておくことをお勧めします。 たとえば、オペレーション チームやマネージャー、責任者へのメールや Microsoft Teams メッセージの送信をトリガーする条件の設定、チケット システムでの新しいチケットの発行などを行うことができます。
この記事では、Microsoft Sentinel の稼働状況の監視と監査の機能を使用して、サービスの主要なリソースの一部のアクティビティを監視し、サービス内のユーザー アクションのログを検査する方法について説明します。
正常性と監査のデータ ストレージ
正常性と監査のデータは、Log Analytics ワークスペースの次の 2 つのテーブルに収集されます: SentinelHealth および SentinelAudit
監査データは SentinelAudit テーブルに収集されます。
正常性データは SentinelHealth テーブルに収集され、オートメーション ルールが実行されるたびに記録されるイベントと、それらの実行の最終結果がキャプチャされます。 SentinelHealth テーブルには、次のものが含まれます。
- ルールで起動されたアクションが成功したか失敗したか、およびルールが呼び出したプレイブック。
- プレイブックのオンデマンド (手動または API ベース) トリガーを記録するイベント (プレイブックをトリガーした ID とその実行の最終結果を含む)
SentinelHealth テーブルには、プレイブックのコンテンツの実行に関するレコードはなく、プレイブックが正常に起動されたかどうかのみが含まれます。 プレイブック内で実行されたアクション (Logic Apps ワークフロー) のログは、AzureDiagnostics テーブルにリストされます。 AzureDiagnostics を SentinelHealth データと併用することで、オートメーションの正常性の全体像を把握することができます。
このデータを使用する最も一般的な方法は、これらのテーブルに対してクエリを実行することです。 最適な結果を得るには、テーブルに対してクエリを直接実行する代わりに、これらのテーブルに対する構築済みの関数 (_SentinelHealth() と _SentinelAudit()) でクエリを作成してください。 これらの関数を使用すると、テーブル自体のスキーマに変更が加えられた場合に、クエリの下位互換性が維持されます。
SentinelHealth テーブルは請求対象ではなく、正常性データの取り込みに関して料金は発生しません。 SentinelAudit テーブルは請求対象であり、Microsoft Sentinel の他の領域と同様に、発生する費用はログ ボリュームによって決まります。このボリュームは、関連するルールに対して行われたアクティビティと変更の数の影響を受ける可能性があります。 詳細については、「コストを計画し、Microsoft Sentinel の価格と課金を理解する」を参照してください。
重要
SentinelHealth と SentinelAudit データ テーブルは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
サービスの正常性と監査のデータを確認するための質問
Microsoft Sentinel の正常性と監査のデータの監視をガイドするには、次の質問を使用します。
データ コネクタが正しく実行されているか
データ コネクタにデータが届いているでしょうか。 たとえば、5 分ごとにクエリを実行するように Microsoft Sentinel に指示した場合、そのクエリが実行されているかどうかや、どのように実行されているか、さらに、クエリに関連するリスクや脆弱性があるかどうかを確認します。
オートメーション ルールが想定どおりに実行されたか
オートメーション ルールの実行は想定したタイミングでしたか。つまり、その条件が満たされたときです。 オートメーション ルールのすべてのアクションが正常に実行されているでしょうか。
分析ルールが想定どおりに実行されたか
分析ルールは想定されていたときに実行され、結果が生成されましたか。 キューに特定のインシデントが表示されることを想定しているが表示されない場合は、ルールが実行されたが何も (または十分なものが) 見つからなかったのか、それともまったく実行されなかったのかを調べます。
分析ルールに承認されていない変更が加えられたか
ルールで何かが変更されましたか。 分析ルールから想定した結果が得られず、正常性の問題はありませんでした。 ルールに対して計画外の変更が行われたかどうかを確認し、その場合は、どのような変更誰が、どこから、いつ行ったかを確認する必要があります。
正常性と監査の監視フロー
正常性と監査のデータの収集を開始するには、Microsoft Sentinel の設定で正常性と監査の監視を有効にする必要があります。 これで、Microsoft Sentinel によって収集される正常性と監査のデータについて詳しく調べることができます。
アクティビティ | 詳細 |
---|---|
Microsoft Sentinel の [ログ] ページからデータ テーブル SentinelHealth と SentinelAudit に対してクエリを実行します。 | |
Microsoft Sentinel の中で提供されている監査と稼働状況の監視のブックを使用します。 | |
Microsoft Sentinel の実行管理ツールを使用して、スケジュール化された分析ルールの実行を監視および最適化する | |
データをさまざまな宛先にエクスポートし (たとえば Log Analytics ワークスペース)、ストレージ アカウントへのアーカイブなどを行います。 |
関連するコンテンツ
- Microsoft Sentinel での監査と稼働状況の監視を有効にする
- オートメーション ルールとプレイブックの正常性を監視する
- データ コネクタの正常性を監視する
- 分析ルールの正常性と整合性を監視する
- SAP システムの正常性を監視する
- SentinelHealth と SentinelAudit のテーブル スキーマ。