演習のセットアップ

  • 20 分

この省略可能な演習を完了するには、Azure サブスクリプションにアクセスして Azure リソースを作成する必要があります。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

このモジュールの演習を実行すると、ご自身の Azure サブスクリプションに料金が発生する可能性があります。 コストを見積もる方法については、 Microsoft Sentinel の価格に関する説明を参照してください。

演習の前提条件をデプロイするには、以下のタスクを実行します。

演習環境用の Azure Resource Manager テンプレートをデプロイする

  1. 次のリンクを選択します。

    Azure にデプロイします。

    Azure にサインインするように求められます。

  2. [ カスタム デプロイ ] ページで、次の情報を指定します。

    名前 説明
    サブスクリプション Azure のサブスクリプションを選択します。
    リソース グループ [ 新規作成] を 選択し、リソース グループの名前 ( azure-sentinel-rgなど) を指定します。
    リージョン Azure のリージョンを選択します。
    ワークスペース名 <yourName>-sentinelなど、Microsoft Sentinel ワークスペースの一意の名前を指定します。ここで、<yourName>前のタスクで選択したワークスペース名を表します。
    場所 既定値 [resourceGroup().location] をそのまま使用します。
    Simplevm 名 既定値の simple-vm をそのまま使用します。
    Simplevm Windows OS バージョン 既定値の 2022-Datacenter をそのまま使用します。

  3. [確認と作成] を選択し、次に [作成] を選択します。

    [カスタムデプロイ] ページのスクリーンショット。

    デプロイが完了するまで待ちます。 デプロイは 5 分以内に完了するはずです。

作成されたリソースを確認する

  1. Azure portal で、 リソース グループを検索します。

  2. リソース グループを選択します。

  3. リソースの一覧を 種類別に並べ替えます。

  4. リソース グループには、次の表に表示されるリソースが含まれている必要があります。

    名前 タイプ 説明
    <yourName>-sentinel Log Analytics ワークスペース Microsoft Sentinel によって使用される Log Analytics ワークスペース。ここで、<yourName> は、前のタスクで選択したワークスペース名を表します。
    simple-vmNetworkInterface ネットワーク インターフェイス 仮想マシン (VM) のネットワーク インターフェイス。
    SecurityInsights(<yourName>-sentinel) 解決策 Microsoft Sentinel のセキュリティ分析情報。
    simple-vm 仮想マシン デモで使用される VM。
    st1<xxxxx> ストレージ アカウント VM によって使用されるストレージ アカウント (<xxxxx> は、一意のストレージ アカウント名を作成するために生成されたランダムな文字列を表します。
    vnet1 仮想ネットワーク VM の仮想ネットワーク。

Microsoft Sentinel コネクタを構成する

このタスクでは、Microsoft Sentinel コネクタを Azure アクティビティにデプロイします。

  1. Azure portal で、Microsoft Sentinel を検索して選択し、以前に作成した Microsoft Sentinel ワークスペースを選択します。
  2. [Microsoft Sentinel] ページのメニュー バーの [構成] セクションで、[データ コネクタ] を選択します。
  3. [ データ コネクタ ] ウィンドウで、 Azure アクティビティを検索して選択します。 詳細ウィンドウで、[ コネクタ ページを開く] を選択します。
  4. 前提条件を確認します。 Azure Policy の割り当てスコープに対して所有者ロールを割り当てる必要があります。
  5. 従来の方法でサブスクリプションを接続している場合は、"1" の構成手順を使用してサブスクリプションを切断するように指示されます。 従来の方法からサブスクリプションを切断します"。
  6. 従来の方法でコネクタを構成していない場合は、「2.」に進みます。 [構成] 領域の [2. 診断設定の新しい...] に進みます。
  7. [ Azure Policy 割り当てウィザードの起動] を選択>
  8. [ 基本 ] タブで、[ スコープ ] の省略記号ボタン (...) を選択し、ドロップダウン リストからサブスクリプションを選択します。 次に [選択] を選択します。
  9. [パラメーター] タブを選択し、[プライマリ Log Analytics ワークスペース] ドロップダウン リストから uniquename-sentinel ワークスペースを選択します。
  10. [ 修復 ] タブを選択し、[ 修復タスクの作成 ] チェック ボックスをオンにします。
  11. [ 確認と作成 ] ボタンを選択して構成を確認します。
  12. [ 作成 ] を選択して完了します。

Azure アクティビティのコネクタではポリシーの割り当てが使用されるため、 状態が [接続済み] と表示されるまでに 15 分から 30 分かかる場合があります。