| lab |
|
||||
|---|---|---|---|---|---|
| ms.openlocfilehash | 9605e4624286654c8d99e1c1fdfc7c88e9508f54 | ||||
| ms.sourcegitcommit | a90325f86a3497319b3dc15ccf49e0396c4bf749 | ||||
| ms.translationtype | HT | ||||
| ms.contentlocale | ja-JP | ||||
| ms.lasthandoff | 04/07/2022 | ||||
| ms.locfileid | 141493926 |
あなたは、Microsoft Sentinel を実装した会社で働いているセキュリティ運用アナリストです。 組織内の多くのデータ ソースからのログ データを接続する方法について学習する必要があります。 データの次のソースは、オンプレミス環境や他のパブリック クラウドなど、Azure の内部および外部にある Windows 仮想マシンです。
このタスクでは、Azure で Windows 仮想マシンを作成します。
-
管理者として WIN1 仮想マシンにログインします。パスワードは Pa55w.rd。
-
Edge ブラウザーで、Azure portal (https://portal.azure.com ) に移動します。
-
サインイン ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供された テナントの電子メール アカウントをコピーして貼り付け、「次へ」を選択します。
-
パスワードの入力 ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供された テナントパスワード をコピーして貼り付け、「サインイン」を選択します。
-
[+ リソースの作成] を選択します。 ヒント: 既に Azure Portal にいた場合は、上部のバーから [Microsoft Azure] を選択してホームに移動する必要があることがあります。
-
[サービスとマーケットプレースの検索] ボックスに「Windows 10」と入力し検索します。
-
Microsoft Windows 10 の [作成] ドロップダウン リストを開き、 [Windows 10 Enterprise, version 21H2] を選択します。
-
[リソース グループ] で [新規作成] を選択し、[名前] に「RG-AZWIN01」と入力して [OK] を選択します。
注: これは、追跡目的の新しいリソース グループとなります。
-
[仮想マシン名] に、「AZWIN01」と入力します。
-
[リージョン] の既定値は [(US) East US] のままにします。
-
下にスクロールして、仮想マシンの [サイズ] を確認します。 空の場合は、 [すべてのサイズを表示] を選択し、 [Azure ユーザーが最もよく使用] で VM のサイズを 1 つを選択し、 [選択] をクリックします。
-
任意の ''ユーザー名'' を入力します。 ヒント: admin や root のような予約語は避けてください。
-
任意の ''パスワード'' を入力します。 ヒント: テナント パスワードを再利用する方が簡単な場合があります。 これはリソース タブにあります。
-
ページの下部まで下にスクロールし、 [ライセンス] の下にあるチェックボックスをオンにして、対象ライセンスがあることを確認します。
-
[確認と作成] を選択し、検証に合格するまで待ちます。
-
[作成] を選択します リソースが作成されるのを待ちますこれには数分かかることがあります。
このタスクでは、Azure Windows 仮想マシンを Microsoft Sentinel に接続します。
-
Azure portal の検索バーに「Sentinel」と入力してから、 [Microsoft Sentinel] を選択します。
-
先ほど作成した Microsoft Sentinel ワークスペースを選択します。
-
[データ コネクタ] タブで、 [レガシ エージェントを使用したセキュリティ イベント] を検索し、リストからそれを選択します。
-
コネクタ情報ブレードで「コネクタページを開く」を選択します。
-
構成 セクションの 1. エージェントをダウンロードしてインストールする で、Install agent on Azure Windows Virtual Machines オプションを選択します。
-
「Azure Windows 仮想マシンのエージェントをダウンロードしてインストール」を選択します。 これにより、Azure サブスクリプションで使用可能な仮想マシンが表示されます。
-
前のタスクで先ほど作成した AZWIN01 仮想マシンを選んでから、 [接続] を選択します。 [状態] に [このワークスペース] が表示されるまで待ちます。
-
を選択して、ウィンドウを閉じます。 構成 セクションの 2. ストリーミングするイベントを選択する で、すべてのイベント を選んでから、変更の適用 を選択します。
このタスクでは、非 Azure Windows 仮想マシンを Microsoft Sentinel に接続します。
重要: 次の手順は、WIN2 で行います。 仮想マシン名の参照を探します。
-
管理者として、次のパスワードを使用して WIN2 仮想マシンにログインします: Pa55w.rd。
-
Microsoft Edge ブラウザーを開きます。
-
ブラウザーを開き、前のラボで使っていた資格情報を使用して、Azure Portal (https://portal.azure.com ) にログインします。
-
Azure Portal の検索バーに「Sentinel」と入力してから、 [Microsoft Sentinel] を選択します。
-
Microsoft Sentinel ワークスペースを選択します。
-
[データ コネクタ] を選択してから、 [レガシ エージェントを使用したセキュリティ イベント] を検索し、リストからそれを選択します。
-
コネクタ情報ブレードで「コネクタページを開く」を選択します。
-
構成 セクションの 1. エージェントをダウンロードしてインストールする で、今度は non-Azure Windows マシンにエージェントをインストールする オプションを選択します。
-
「Azure 以外の Windows マシンのエージェントをダウンロードしてインストール」を選択します。
注: Log Analytics ワークスペースに、''2 台の Windows コンピューターが接続されている'' ことが示されるはずです。 これは、以前に接続された WINServer および AZWIN01 仮想マシンに対応しています。
-
Windows エージェントのダウンロード (64 ビット) のリンクを選択します。
-
ダウンロードした MMASetup-AMD64.exe ファイルの下にある [ファイルを開く] を選択し、 [はい] を選んで、表示される [ユーザー アカウント制御] ウィンドウで実行可能ファイルを実行できるようにします。
-
ようこそ ダイアログで [次へ] を選択し、[Microsoft ソフトウェア ライセンス条項] ページで [同意する] を選び、インストール先フォルダで [次へ] を選択して既定のパスを受け入れます。
-
エージェントのセットアップ オプションプロンプトで、「エージェントを Azure Log Analytics (OMS) に接続する」オプションを選択し、「次へ」を選択します。
-
Microsoft Sentinel が開いているブラウザーで、[エージェントの管理] ページから [ワークスペース ID] をコピーし、ダイアログのワークスペース ID に貼り付けます。
-
Microsoft Sentinel が開いているブラウザーで、[エージェントの管理] ページから [主キー] をコピーし、ダイアログのワークスペース キーに貼り付けます。
-
[次へ] を選択して構成を保存します。
-
MicrosoftUpdateページで「次へ」を選択します。
-
その後、 [インストール] を選択します。 Microsoft Monitoring Agent のセットアップが終了するまで待ちます。
-
完了したら、[完了] を選択します。
このタスクでは、WIN2 に Sysmonログをインストールして収集します。
注: 次の手順では、既定構成でSysmonをインストールします。 実稼働マシンで使用する Sysmon のコミュニティベースの構成を調査する必要があります。
-
ブラウザーで新しいタブを開き、 https://docs.microsoft.com/sysinternals/downloads/sysmon に移動します
-
[Download Sysmon] を選択して、そのページから Sysmon をダウンロードします。
-
Sysmon.zip をポイントして、フォルダー アイコンを選択します。 ダウンロードしたファイルを右クリックして [すべて展開...] を選択します。 [ファイルを下のフォルダーに展開する] で「C:\Sysmon」と入力し、 [展開] を選択します。
-
WIN2 でコマンドプロンプト(cmd.exe)を管理者として実行します。
-
「cd \sysmon」と入力します
-
notepad sysmon.xml と入力して、新しいファイルを作成します。 [はい] を選択して、ファイルの作成を確定します。
-
ブラウザーで新しいタブを開き、 https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml に移動します
-
[Raw] ボタンを選択します。 表示されているすべてを選択し、GitHub からそのファイルの内容をコピーし、先ほど作成した sysmon.xml メモ帳ファイルに貼り付けます。
-
メモ帳で、 [ファイル] を選んでから、 [保存] を選択してファイルを保存します。
-
コマンド プロンプトに戻り、次のように入力して Enter キーを押します: sysmon.exe -accepteula -i sysmon.xml
重要: 「構成ファイルが検証されました」および「Sysmon started」というメッセージが出力に表示されることを確認します。 そうでない場合は、データが正しくコピーされていることと、sysmon.xml ファイルが保存されていることを確認します。
-
ブラウザーで、Azure portal (https://portal.azure.com ) を開いた状態でタブに戻ります
-
Azure portal の検索バーに「Sentinel」と入力してから、 [Microsoft Sentinel] を選択し、前に作成した Microsoft Sentinel ワークスペースを選びます。
-
Microsoft Sentinel で、[構成] 領域から [設定] を選択し、 [ワークスペース設定 >] タブを選択します。
-
「設定」領域で「レガシ エージェントの管理」を選択します。 既定では、 [Windows イベント ログ] タブが選択されるはずです。
-
[+ Windows イベント ログの追加] ボタンを選択します。
-
ログ名フィールドに「Microsoft-Windows-Sysmon/Operational」と入力します。
-
[適用] を選びます。 これを使用して、イベント ビューアーから、Sysmon によって生成されたすべてのイベントを収集します。
このタスクでは、WIN1 デバイスを Microsoft Defender for Endpoint にオンボードします。
非常に重要: このコースの「モジュール 2 - 演習 1」のラボを完了し、これまで仮想マシンを保存してきた場合は、このタスクを省略できます。 それ以外の場合は、WIN1 マシンを Defender for Endpoint にもう一度オンボードする必要があります。
重要: 次の手順は、以前に作業していたものとは異なるマシンで行います。 仮想マシン名の参照を探します。
-
管理者として WIN1 仮想マシンにログインします。パスワードは Pa55w.rd。
-
Edge ブラウザーで、Microsoft 365 Defender ポータル (https://security.microsoft.com) ) に移動し、現在ポータルにいない場合は、テナントの電子メール 資格情報を使用してログインします。
-
左側のメニュー バーから [設定] を選択し、設定 ページから [エンドポイント] を選択します。
-
デバイス管理セクションで 「オンボーディング」 を選択します。
-
[オンボーディング パッケージのダウンロード] を選択します。
-
ダウンロードした.zipファイルを解凍します。
-
管理者 としてWindowsコマンドプロンプトを実行し、表示されるユーザーアカウント制御プロンプトに同意します。
-
管理者として抽出したばかりの WindowsDefenderATPLocalOnboardingScript.cmd ファイルを実行します。 注: 既定では、ファイルは c:\users\admin\downloads ディレクトリにあるはずです。 スクリプトの質問に対して「Y」と回答します。
-
ポータルの「オンボーディング」ページで、検出テスト スクリプトをコピーしてオープン コマンド ウィンドウで実行します。 新しい [管理者: コマンド プロンプト] ウィンドウを開く必要がある場合があります。その場合は、Windows 検索バーで「CMD」と入力し、 [管理者として実行] を選択します。
-
エンドポイント 領域の Microsoft 365 Defender ポータルで、デバイス インベントリ を選択します。 お使いになっているデバイスがリストに表示されます。