はじめに

• 5 分

あなたはロンドンにある中規模の金融サービス会社で、ニューヨークに支店を持つ Contoso, Ltd. のセキュリティ エンジニアだとします。 Contoso では次の Microsoft セキュリティ管理製品を使っています。

• Microsoft 365
• Microsoft Entra ID
• Microsoft Entra ID Protection
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Identity
• Microsoft Defender for Endpoint
• Microsoft Defender for Office 365
• Intune Endpoint Protection
• Azure Information Protection

Contoso では、Azure とオンプレミスで実行されるリソースに対する脅威の防止のために Microsoft Defender for Cloud を使用しています。 この会社では、Microsoft 以外の他の資産も監視および保護しています。

会社の Azure アクティビティ ログによると、最近、Azure サブスクリプションからかなりの数の VM が削除されました。 このような状況を分析し、今後同様のアクティビティが発生したときにアラートが表示されるようにする必要があります。

Microsoft Sentinel は、Contoso のリソースを保護するのに役立つクラウド アプリケーションです。 このモジュールでは、Microsoft Sentinel を使って、Contoso ユーザーが既存の VM を削除したときにインシデントを作成して調査する方法について説明します。

学習の目的

• セキュリティ インシデントと Microsoft Sentinel のインシデント管理について説明する。
• Microsoft Sentinel インシデントの証拠とエンティティについて確認する。
• Microsoft Sentinel を使ってセキュリティ インシデントを調査し、インシデントの解決を管理する。

前提条件

• 組織でのセキュリティ操作に関する知識。
• Azure サービスの基本的な使用経験。
• 監視、ログ記録、アラートなどの運用上の概念に関する知識。
• Microsoft Sentinel のルールに関する基本的な知識。