Skip to content

Update LAB_AK_06_Lab1_Ex2_Connect_Windows.md #2

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Open
junichia wants to merge 7 commits into
base: main
Choose a base branch
from
Open

Update LAB_AK_06_Lab1_Ex2_Connect_Windows.md #2

Show file tree
Hide file tree
Changes from all commits
Commits
Show all changes
7 commits
Select commit Hold shift + click to select a range
e963ea3
Update LAB_AK_06_Lab1_Ex2_Connect_Windows.md
junichia Aug 24, 2022
2d57998
Update LAB_AK_07_Lab1_Ex3_Scheduled_Query.md
junichia Aug 24, 2022
03c09a5
Update LAB_AK_07_Lab1_Ex2_Playbook.md
junichia Aug 31, 2022
3c38415
Update LAB_AK_06_Lab1_Ex3_Connect_Linux.md
junichia Sep 29, 2022
8ba9d56
Update LAB_AK_03_Lab1_Ex1_Enable_Defender.md
junichia Nov 16, 2022
3175a10
Update LAB_AK_07_Lab1_Ex2_Playbook.md
junichia Nov 18, 2022
2d94359
Update LAB_AK_07_Lab1_Ex3_Scheduled_Query.md
junichia Nov 18, 2022
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
14 changes: 4 additions & 10 deletions Instructions/Labs/LAB_AK_03_Lab1_Ex1_Enable_Defender.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -117,11 +117,9 @@ ms.locfileid: "141493896"

1. **[次へ]** を選択して、[スクリプトのダウンロードと実行] タブに移動します。

1. "1. サブスクリプションを登録" で、**[登録]** を選択します
1. 下にスクロールし、 「クリップボードにコピー」するボタンをクリックして、スクリプトをクリップボードにいったんコピーします

>**注:** 処理のために少なくとも 3 分待ちます。

1. 下にスクロールし、 **[ダウンロード]** ボタンを選択します。 **ヒント:** ブラウザーでダウンロードがブロックされた場合は、ブラウザーでダウンロードを許可するように対処してください。 Edge ブラウザーで、必要に応じて省略記号ボタン ([...]) を選択し、 **[保存]** を選択します。
1. メモ帳を開いて、コピーしたスクリプトを貼り付け、**OnboardingScript.ps1** というファイル名で保存します。拡張子が .txt にならないように注意してください。

1. Windows の [スタート] ボタンを右クリックし、 **[Windows PowerShell (管理者)]** を選択します。

Expand All @@ -139,13 +137,9 @@ ms.locfileid: "141493896"

1. **R** を入力して 1 回実行し、Enter キーを押します (これには数分かかる場合があります)。

1. Edge ブラウザーに戻って新しいタブを開き、アドレス バーに「 https://microsoft.com/devicelogin 」と入力します。

1. [Windows PowerShell] ウィンドウに戻り、スクリプトの最後の行で "... コードの入力" の後に表示されている、エージェントを認証するためのコードをコピーします。

1. Edge ブラウザーに戻り、 **[コード]** ボックスに貼り付けて、 **[次へ]** を選択します。 ご自分のテナント管理者アカウントを選択し、 *[Azure Connected Machine Agent にサインインしますか?]* ウィンドウで **[続行]** を選択します。
1. Edge ブラウザーが自動的に起動するので、Admin でログインします。認証が完了したらスクリプトの画面に戻ってください。

1. Windows PowerShell ウィンドウに戻り、"リソースが Azure に正常にオンボードされました" というメッセージが表示されるまで待ちます。 **注:** 新しい認証コードを含むメッセージ行が表示された場合は、最後の 3 つの手順を繰り返す必要があります。
1. Windows PowerShell ウィンドウに戻り、"リソースが Azure に正常にオンボードされました" というメッセージが表示されるまで待ちます。

1. スクリプトをダウンロードした Azure portal ページに戻り、 **[閉じる]** を選択します。 **[Azure Arc を使用してサーバーを追加]** を閉じて、Azure Arc の **[サーバー]** ページに戻ります。

Expand Down
2 changes: 1 addition & 1 deletion Instructions/Labs/LAB_AK_06_Lab1_Ex2_Connect_Windows.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -159,7 +159,7 @@ ms.locfileid: "141493926"

1. Microsoft Sentinel で、[構成] 領域から **[設定]** を選択し、 **[ワークスペース設定 >]** タブを選択します。

1. 「設定」領域で「**エージェントの構成**」を選択します。 既定では、 **[Windows イベント ログ]** タブが選択されるはずです。
1. 「設定」領域で「**レガシ エージェントの管理**」を選択します。 既定では、 **[Windows イベント ログ]** タブが選択されるはずです。

1. **[+ Windows イベント ログの追加]** ボタンを選択します。

Expand Down
2 changes: 1 addition & 1 deletion Instructions/Labs/LAB_AK_06_Lab1_Ex3_Connect_Linux.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -136,7 +136,7 @@ ms.locfileid: "141493971"

1. Microsoft Sentinel ポータルで、 *[構成]* の下の **[設定]** を選択し、 **[ワークスペースの設定]** タブをクリックします。

1. **[設定]** 領域で **[エージェント構成]** を選択します。
1. **[設定]** 領域で **[レガシエージェント構成]** を選択します。

1. 「**Syslog**」タブを選択します。

Expand Down
12 changes: 3 additions & 9 deletions Instructions/Labs/LAB_AK_07_Lab1_Ex2_Playbook.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -63,16 +63,10 @@ ms.locfileid: "141493932"

1. Azure portal の検索バーに「*Sentinel*」と入力してから、 **[Microsoft Sentinel]** を選択します。

1. 先ほど作成した Microsoft Sentinel ワークスペースを選択します。

1. ページの左側にある *[コンテンツ管理]* 領域の下にある **[コミュニティ]** ページを選択します。

1. 右側のペインで、 **[コミュニティのコンテンツをオンボードする]** リンクを選択します。 これにより、Microsoft Sentinel GitHub コンテンツ用の Edge ブラウザーの新しいタブが開きます。

1. 「**Playbooks**」フォルダーを選択します。

1. 「**Post-Message-Teams**」フォルダーを選択します。
1. 別のタブで、以下の URL にアクセスする。

https://github.com/Azure/Azure-Sentinel/tree/master/Solutions/SentinelSOARessentials/Playbooks/Post-Message-Teams

1. readme.md ボックスで、*[Quick Deployment]* オプションの 2 番目の **[Deploy with alert trigger]/(アラート トリガーを使用してデプロイする)** まで下にスクロールし、 **[Deploy to Azure]** ボタンを選択します。

>**非常に重要**: 必ず Deploy with **alert** trigger (2 つ目) を選択してください。
Expand Down
8 changes: 4 additions & 4 deletions Instructions/Labs/LAB_AK_07_Lab1_Ex3_Scheduled_Query.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -54,9 +54,9 @@ ms.locfileid: "141493989"
AuditLogs
| where isnotempty(InitiatedBy.user.userPrincipalName) and Result == 'success' and OperationName contains "member to role" and AADOperationType startswith "Assign"
| extend InitiatedByUPN = tostring(InitiatedBy.user.userPrincipalName)
| extend InitiatedFromIP = iff(tostring(AdditionalDetails.[7].value) == '', tostring(AdditionalDetails.[6].value), tostring(AdditionalDetails.[7].value))
| extend TargetUser = tostring(TargetResources.[2].displayName)
| extend TargetRoleName = tostring(TargetResources.[0].displayName)
| extend InitiatedFromIP = tostring(InitiatedBy.user.ipAddress)
| extend TargetUser = tostring(TargetResources.[0].userPrincipalName)
| extend TargetRoleName = tostring(TargetResources.[0].modifiedProperties.[1].newValue)
| project TimeGenerated, InitiatedByUPN, InitiatedFromIP, TargetUser, TargetRoleName, AADOperationType, OperationName
```

Expand Down Expand Up @@ -93,7 +93,7 @@ ms.locfileid: "141493989"

1. 下部にある **[次: 自動応答 >]** ボタンを選択します。

1. *[アラートの自動化]* 領域の [自動応答] タブで、前の演習で作成したプレイブック *PostMessageTeams-OnAlert* を選択します。
1. *[アラートのオートメーション(クラシック)]* 領域で、前の演習で作成したプレイブック *PostMessageTeams-OnAlert* を選択します。

1. 下部にある **[次: 確認 >]** ボタンを選択します。

Expand Down