Microsoft Sentinel を学ぶ: 初心者向け実践ガイド
Microsoft Sentinel の設定、データコネクタ、分析ルール、および最初の調査ワークフローを網羅した実践的な入門ガイドです。
Microsoft Sentinel は Azure 上に構築されたクラウドネイティブ SIEM および SOAR プラットフォームであり、現代的な SOC における必須ツールとなっています。初めて使う場合、ワークスペース、コネクタ、分析ルール、ワークブック、プレイブックなど、多くの要素があるため、圧倒されるかもしれません。このガイドは、これらを実践的なステップに分解し、迅速に習熟できるようにしています。
Sentinel の実際の機能
Sentinel の中核は、環境全体(Azure リソース、オンプレミスサーバー、ファイアウォール、エンドポイントツール、ID プロバイダ)からログを Log Analytics ワークスペースに取り込み、Kusto Query Language (KQL) を使用してそのデータをクエリ、検出ルールを構築、トレンドを可視化、そして対応を自動化することです。これを 4 つのレイヤーで考えてください:データ収集、検出、調査、および対応です。
最初のワークスペースの設定
このガイドを実行するには、Azure サブスクリプションが必要です。まず Log Analytics ワークスペースを作成し、その後 Azure ポータルから Sentinel を有効化します。初心者向けのいくつかのヒント:
- ラボ用に専用のリソースグループを使用すれば、後での クリーンアップが簡単です。
- 他のテストリソースに近いリージョンを選択し、レイテンシおよびエグレスコストを削減します。
- Sentinel の課金はデータ取り込み量に基づくため、実験中は接続されたデータソースを監視してください。ノイズが多いログソースを接続すると、無料トライアルクレジットがすぐになくなります。
ワークスペースが存在すると、Sentinel 概要ページがホームベースになり、インシデント、データコネクタのヘルス、および最近のアクティビティが表示されます。
データソースの接続
データコネクタは、Sentinel がログを取り込む方法です。初心者向けラボの場合、小さく始めます:
- Azure Activity Log — 無料で組み込み機能であり、サブスクリプション全体の管理プレーン イベントを表示します。
- Microsoft Entra ID (Azure AD) ログ — サインインおよび監査ログは、認証異常に関する検出ロジックを練習するのに優れています。
- AMA (Azure Monitor Agent) 経由の Windows セキュリティイベント — テスト VM をスピンアップする場合、エンドポイント形式のテレメトリを練習できます。
取り込みコストを理解するまで、大規模なサードパーティ製ファイアウォールまたはプロキシフィードの接続は避けてください。これらは膨大なログボリュームを生成する可能性があります。
KQL の基礎を学ぶ
Kusto Query Language は Sentinel の作業に不可欠です。これらのパターンから始めます:
SigninLogs
| where ResultType != 0
| summarize FailedAttempts = count() by UserPrincipalName, bin(TimeGenerated, 1h)
| where FailedAttempts > 5
このシンプルなクエリは、1 時間ごとにサインイン試行が繰り返し失敗しているアカウントを表示します。これは古典的なブルートフォース指標です。where、summarize、join、および bin を自然に感じるまで練習してください。Microsoft Learn の KQL モジュールと Analytics 下の Sentinel サンプルクエリは、優れた無料リファレンスです。
最初の分析ルールの構築
分析ルールは KQL クエリを自動検出に変え、インシデントを生成します。作成するには:
- Analytics > Create > Scheduled query rule に移動します。
- 上記のブルートフォース例のようなクエリを貼り付けます。
- クエリ頻度とルックバック期間を設定します(例:毎時間実行、1 時間をさかのぼります)。
- エンティティ(
UserPrincipalNameなど)をマップして、Sentinel が同じアカウントに関連する他のアラートとこのインシデントを関連付けできるようにします。 - アラートグループ化設定を選択し、インシデント疲労を回避します。
Microsoft はまた、多くの組み込み分析ルールテンプレートを提供しています。ゼロから独自のルールを書く前に、これらを最初に参照して、一般的な検出パターンを理解してください。
インシデントの調査
ルールが発火すると、Incidents ブレードにインシデントが作成されます。それをクリックして調査グラフを使用し、関連するエンティティ(ユーザー、IP、ホスト)と、他のアラート間でこれらがどのように接続されているかを確認します。このグラフビューは、エンティティを視覚的にマップするため、初心者向けの Sentinel の最も強力な機能の 1 つです。
この記事は AI の支援を受けて生成され、Korra Studio ナレッジベースに公開されました。
これは Korra Studio ナレッジベースの 1 つのノートです。プラットフォームはすべてのトピックと 1 対 1 メンタリングをペアで提供します。
無料で始めるarrow_forward