Azure Sentinel を実装する

  • 8 分

Contoso は、自社のハイブリッド環境のセキュリティ構成の問題を評価して対処するだけでなく、新しい問題や脅威を監視し、適切に対応する必要もあります。 Azure Sentinel は、ハイブリッド環境向けに設計された SIEM と SOAR の両方のソリューションです。

Note

SIEM ソリューションは、他のシステムによって生成されるログ、イベント、アラートのストレージと分析を提供し、独自のアラートを生成するようにこれらのソリューションを構成することができます。 SOAR ソリューションでは、脆弱性の修復とセキュリティ プロセス全体の自動化がサポートされます。

Sentinel とは

Sentinel は、次の方法で SIEM と SOAR の両方のソリューションのニーズを満たしています。

  • クラウドベースとオンプレミスのユーザー、デバイス、アプリ、インフラストラクチャ全体のデータ収集。
  • AI を使用した疑わしいアクティビティの特定。
  • 誤検知を低減した脅威の検出。
  • インシデントへの迅速で自動的な対応。

Sentinel の前提条件

Sentinel を有効にするには、次のものが必要です。

  • Log Analytics ワークスペース。

    ヒント

    Sentinel では、Microsoft Defender for Cloud と同じ Log Analytics ワークスペースを使用できません。

  • Sentinel ワークスペースのサブスクリプションとワークグループの共同作成者以上のアクセス許可。

  • Sentinel に接続するすべてのリソースに対する適切なアクセス許可。

[データ接続]

Sentinel は Microsoft Defender for Cloud とネイティブに接続できるため、クラウドおよびオンプレミスのサーバーに対応できます。 さらに、Sentinel データ接続のサポートには次のものが含まれます。

  • サービス間のネイティブ接続。 Sentinel は、次に挙げる Azure サービスおよび非 Azure サービスにネイティブに統合されます。
    • Azure アクティビティ ログ
    • Microsoft Entra 監査ログ
    • Microsoft Entra ID Protection
    • Azure Advanced Threat Protection (Azure ATP)
    • AWS CloudTrail
    • Microsoft Cloud App Security
    • DNS サーバー
    • Microsoft 365
    • Defender ATP
    • Microsoft Web アプリケーション ファイアウォール
    • Windows Defender ファイアウォール
    • Windows セキュリティ イベント
  • API による外部ソリューション接続。 Sentinel は、次のソリューションの API を通じてデータ ソースに接続できます。
    • Barracuda
    • Barracuda CloudGen Firewall
    • Citrix Analytics for Security
    • F5 BIG-IP
    • Forcepoint DLP
    • squadra technologies secRMM
    • Symantec ICDx
    • Zimperium
  • エージェントによる外部ソリューション接続。 Sentinel は、エージェントを介して、Syslog プロトコルをサポートするデータ ソースに接続できます。 Sentinel エージェントは、デバイスに直接インストールすることも、他のデバイスからイベントを受信できる Linux サーバーにインストールすることもできます。 エージェントを使用した接続のサポートには、次のデバイスとソリューションが含まれます。
    • ファイアウォール、インターネット プロキシ、エンドポイント
    • データ損失防止 (DLP) ソリューション
    • DNS マシン
    • Linux サーバー
    • その他のクラウド プロバイダー

アクセス許可

Sentinel でのアクセスは、ロールベースのアクセス制御 (RBAC) ロールによって管理されます。 これらのロールは、ユーザーが Sentinel 内で表示および実行できる操作を管理する機能を提供します。

  • グローバル ロール。 組み込みの Azure グローバル ロールである所有者、共同作成者、および閲覧者は、すべての Azure リソース (Sentinel および Log Analytics を含む) へのアクセスを許可します。
  • Sentinel 固有のロール。 Sentinel に固有の組み込みのロールは次のとおりです。
    • Azure Sentinel 閲覧者。 このロールは、Sentinel リソースに関するデータ、インシデント、ダッシュボード、および情報を取得できます。
    • Azure Sentinel レスポンダー。 このロールには、Azure Sentinel リーダー ロールのすべての機能があり、インシデントを管理することもできます。
    • Azure Sentinel 共同作成者。 このロールは、Azure Sentinel レスポンダー ロールの機能に加えて、ダッシュボード、分析ルール、およびその他の Sentinel リソースの作成と編集を行うことができます。
  • その他のロール。 Log Analytics 共同作成者と Log Analytics 閲覧者は、Log Analytics に固有の組み込みのロールです。 これらのロールは、Log Analytics ワークスペースにのみアクセス許可を付与します。 グローバル共同作成者ロールまたは所有者ロールがない場合は、アラートに応答してプレイブックを作成して実行するためにロジック アプリの共同作成者ロールが必要です。

Azure Sentinel を実装する

Sentinel を実装するには、次の手順を実行します。

  1. Azure portal で、Azure Sentinel を検索して選択します。
  2. [Azure Sentinel ワークスペース] ウィンドウで、[ワークスペースの接続] を選択し、適切なワークスペースを選択します。
  3. [Add Azure Sentinel](Azure Sentinel の追加) を選択します。 このワークスペースは、Sentinel を含むように変更されます。
  4. Azure Sentinel ウィンドウの [ニュースとガイド] で、[作業の開始] タブを選択します。
  5. [接続] を選択して、データの収集を開始します。
  6. 適切なコネクタを選択します。 たとえば、[Microsoft Defender for Cloud] を選択します。
  7. [Open connector page](コネクタ ページを開く) を選択します。
  8. 前提条件の情報を確認し、準備ができたら [接続] を選択します。

SIEM とは

SIEM ソリューションでは、外部ソースのログ データが格納および分析されます。 データ ソースには、オンプレミスのリソースを含め、組織内の Azure と外部ソースから接続します。 Azure Sentinel には、これらのイベントの分析と視覚化に役立つ既定のダッシュボードが用意されています。 ダッシュボードには、受信したイベントの数、そのデータから生成されたアラートの数、およびそれらのアラートから作成されたインシデントの状態に関するデータが表示されます。

Sentinel では、組み込みのカスタム検出を使用して、インフラストラクチャの外部から Contoso の組織にアクセスしようとする試みや、Contoso のデータが既知の悪意のある IP アドレスに送信されたように思われる場合など、潜在的なセキュリティの脅威を警告します。 また、これらのアラートに基づいてインシデントを作成することもできます。

Sentinel には、受信データの分析に役立つ組み込みブックとカスタム ブックが用意されています。 "ブック" は、ログ クエリ、テキスト、メトリック、およびその他のデータを含む対話型のレポートです。 Microsoft インシデント作成ルールを使用すると、Microsoft Defender for Cloud などの他のサービスが生成するアラートからインシデントを作成できるようになります。

SIEM 機能を Sentinel に実装するには、次のようにします。

  • Azure Sentinel を有効にします。
  • データ接続を作成します。
  • アラートを生成するカスタム ルールを作成します。

SOAR とは

SOAR ソリューションを使用すると、セキュリティ上の脅威について収集したデータの分析を管理または調整し、それらの脅威に対する応答を調整し、自動化された応答を作成することができます。 Azure Sentinel の SOAR 機能は、SIEM の機能に密接に結び付けられています。

SOAR を Sentinel に実装するには、次のベスト プラクティスを使用します。

  • アラートを生成する分析ルールを作成するときに、インシデントを作成するように構成することもできます。
  • インシデントを使用して、調査と応答のプロセスを管理します。
  • 関連するアラートをインシデントにグループ化します。

インシデントの調査

Sentinel では、開いているインシデントの数、処理されている数、および閉じられている数を確認できます。 閉じられたインシデントを再度開くこともできます。 インシデントの詳細 (発生したタイミングや状態など) を取得できます。 また、インシデントにメモを追加し、その状態を変更して、進行状況をわかりやすくすることもできます。 インシデントを特定のユーザーに割り当てることができます。

セキュリティ プレイブックを使用してアラートに応答する

Sentinel を使用すると、セキュリティ プレイブックを使用してアラートに応答できます。 "セキュリティ プレイブック" は、アラートに対応して実行される Azure Logic Apps に基づく手順のコレクションです。 これらのセキュリティ プレイブックを、インシデントの調査に応じて手動で実行することも、プレイブックを自動的に実行するようにアラートを構成することもできます。

追加の参考資料

詳しくは、次のドキュメントをご覧ください。