Microsoft Sentinel 運用ガイド
この記事では、セキュリティ運用 (SOC) チームとセキュリティ管理者が Microsoft Sentinel で通常のセキュリティ アクティビティの一部として計画および実行することを推奨する運用アクティビティの一覧を示します。 セキュリティ操作の管理の詳細については、「 セキュリティ操作の概要を参照してください。
毎日のタスク
次のアクティビティを毎日スケジュールします。
| タスク | description |
|---|---|
| インシデントのトリアージと調査 | Microsoft Sentinel [インシデント] ページで、現在設定されている分析ルールによって生成された新しいインシデントを確認し、新しいインシデントの調査を開始します。 詳細については、以下を参照してください: |
| ハンティング クエリとブックマークを探索する | すべての組み込みクエリの結果を確認し、既存のハンティング クエリとブックマークを更新します。 新しいインシデントを手動で生成するか、該当する場合は古いインシデントを更新します。 詳細については、以下を参照してください: |
| 分析ルール | 新しくリリースされたルールと最近デプロイされたソリューションから新しく利用可能なルールの両方を含め、必要に応じて新しい分析ルールを確認して有効にします。 詳細については、以下を参照してください: 正常性を監視し、分析ルールの実行を最適化します。 詳細については、以下を参照してください: |
| データ コネクタ | データ コネクタの正常性状態を確認して、データがフローしていることを確認します。 新しいコネクタを検査しインジェストを調査して、指定の制限を超えていないことを確認します。 詳しくは、データ コネクタの正常性の監視に関するページをご覧ください。 |
| Azure Monitor エージェント | サーバーとワークステーションのワークスペースへの接続が有効なことを確認し、失敗した接続のトラブルシューティングと修復を行います。 詳細については、「Azure Monitor エージェントの概要」を参照してください。 |
| プレイブックの失敗 | プレイブックの状態を確認し、エラーが発生した場合はトラブルシューティングを行います。 詳細については、「チュートリアル: Microsoft Sentinel の自動化ルールでプレイブックを使用して脅威に対応する」を参照してください。 |
毎週行うタスク
次のアクティビティを毎週スケジュールします。
| タスク | description |
|---|---|
| ソリューションまたはスタンドアロン コンテンツのコンテンツ レビュー | インストールされているソリューションまたはスタンドアロン コンテンツのコンテンツ更新プログラムをコンテンツ ハブから取得します。 分析ルール、ブック、ハンティング クエリ、プレイブックなど、環境にとって価値のある新しいソリューションまたはスタンドアロン コンテンツを確認します。 |
| Microsoft Sentinel の監査 | Microsoft Sentinel のアクティビティをレビューして、誰が分析ルールやブックマークなどのリソースの更新や削除を行ったかを確認します。 詳細については、「Microsoft Sentinel クエリとアクティビティの監査」をご覧ください。 |
毎月行うタスク
次のアクティビティを毎月スケジュールします。
| タスク | description |
|---|---|
| ユーザー アクセスを確認する | ユーザーのアクセス許可を確認し、無効なユーザーを検査します。 詳細については、「Microsoft Sentinel のアクセス許可」を参照してください。 |
| Log Analytics ワークスペースのレビュー | Log Analytics ワークスペースのデータ保持ポリシーが組織のポリシーと引き続き整合していることを確認します。 詳細については、「データ保持ポリシー」と、「Azure Data Explorer の統合によるログの長期保存」を参照してください。 |