演習 - Azure 環境を設定する

  • 20 分

省略可能なインシデント管理演習のために Azure 環境を設定するには、以下の手順を実行します。

[前提条件]

この省略可能な演習を完了するには、Azure サブスクリプションにアクセスする必要があります。 サブスクリプションがない場合は、無料アカウントを作成します。

Note

この演習でリソースを作成すると、お使いの Azure サブスクリプションでコストが発生する可能性があることに注意してください。 コストの見積もりについては、「Microsoft Sentinel の価格」を参照してください。

Azure Resource Manager テンプレートのデプロイ

  1. 次のボタンを選んで、Azure リソースを作成する Azure Resource Manager (ARM) テンプレートをデプロイします。 プロンプトが表示されたら、Azure にサインインします。

    Deploy To Azure.

  2. [カスタム デプロイ] ページで、次の情報を指定します。

    • サブスクリプション: Azure サブスクリプションを選びます (まだ選んでいない場合)。
    • リソース グループ: [新規作成] を選び、リソース グループに「azure-sentinel-rg」という名前を付けます。
    • 位置: Microsoft Sentinel をデプロイする Azure リージョンを選びます。
    • ワークスペース名: <yourName>-Sentinel のように、Microsoft Sentinel ワークスペースに固有の名前を付けます。

  3. 他の設定はそのままにして [確認および作成] を選び、[作成] を選びます。

デプロイが完了するのを待機します。 デプロイは 5 分以内に完了するはずです。

デプロイされたリソースを確認する

  1. デプロイが完了したら、[リソース グループに移動] を選ぶか、ポータルで [リソース グループ] を検索して azure-sentinel-rg を選びます。

  2. azure-sentinel-rg ページでリソースの一覧を [種類] で並べ替えます。

  3. リソース グループに次のリソースが含まれていることを確認します。

    Name タイプ 説明
    <yourName>-Sentinel Log Analytics ワークスペース Microsoft Sentinel が使う Log Analytics ワークスペース。名前はこのワークスペース用に選んだものです。
    simple-vmNetworkInterface ネットワーク インターフェイス VM のネットワーク インターフェイス。
    SecurityInsights(<yourName>-Sentinel) ソリューション Microsoft Sentinel のセキュリティ分析情報。
    st1<xxxxx> ストレージ アカウント VM で使用されるストレージ アカウント。ここで、<>xxxxx> は、一意のストレージ アカウント名を作成するために生成されるランダム文字列です。
    simple-vm 仮想マシン (VM) このデモで使う VM。
    vnet1 仮想ネットワーク VM の仮想ネットワーク。

Microsoft Sentinel コネクタを構成する

次に、Microsoft Sentinel 用の Azure Activity ログ コネクタをデプロイします。

  1. Azure portal で、Microsoft Sentinel を検索して選択します。
  2. [Microsoft Sentinel] ページで、作成した Microsoft Sentinel ワークスペースを選びます。
  3. ワークスペース ページで左側のメニューにある [構成][データ コネクタ] を選びます。
  4. [データ コネクタ] ページで [Azure アクティビティ] を検索して選び、[Azure アクティビティ] 画面で [コネクタ ページを開く] を選びます。
  5. [Azure アクティビティ] ページの下部にある [Launch Azure Policy Assignment Wizard] (Azure Policy の割り当てウィザードを起動する) を選びます。
  6. ウィザードの [基本] タブで、[スコープ] の下の省略記号 [...] を選びます。 [スコープ] ペインでサブスクリプションを選び、[選択] を選びます。
  7. [パラメーター] タブを選び、[プライマリ Log Analytics ワークスペース] ドロップダウン リストから自分の Microsoft Sentinel ワークスペースを選びます。
  8. [修復] タブを選び、[修復タスクの作成] チェック ボックスをオンにします。 このアクションにより、Log Analytics ワークスペースに情報を送信するサブスクリプション構成が適用されます。
  9. [確認および作成] ボタンを選んで構成を確認し、[作成] を選びます。

Azure Activity コネクタが "接続済み" 状態と表示されるまでに最長 1 時間かかる場合があります。 コネクタがデプロイされている間に次のユニットに進み、Microsoft Sentinel のインシデントについて学習してください。