SC200-manage#4
Microsoft Sentinel でスケジュールされた分析ルールをテンプレートから作成し、運用に乗せるまでの手順を正しい順序に並べてください。
- コンテンツ ハブから関連ソリューションを導入しテンプレートを取得
- テンプレートから分析ルールを作成し KQL とスケジュールを構成
- エンティティ マッピングとインシデント設定を構成
- ルールを有効化し、生成されるアラート/インシデントを監視
解説
【正しい順序】
- コンテンツ ハブから関連ソリューションを導入しテンプレートを取得
- テンプレートから分析ルールを作成し KQL とスケジュールを構成
- エンティティ マッピングとインシデント設定を構成
- ルールを有効化し、生成されるアラート/インシデントを監視
【ポイント】
- ステップ 1 コンテンツ ハブからソリューション/テンプレートを導入: まず利用するルール テンプレートを取得する必要があるため最初に行います。
- ステップ 2 テンプレートから作成し KQL とスケジュールを構成: テンプレートを基にクエリ・間隔・ルックバック・しきい値を設定します。
- ステップ 3 エンティティ マッピングとインシデント設定を構成: アラートをエンティティに対応付け、インシデント生成や重複排除を設定します。
- ステップ 4 有効化して監視: 有効化後にアラート/インシデントを監視し、必要に応じてチューニングします。
【誤った順序の問題点】
- 構成前に有効化する: クエリやマッピング未設定のまま有効化すると誤検知や検出漏れが発生します。
- テンプレート取得前にマッピングを行う: ルールが未作成の段階でエンティティ マッピングは構成できません。

コメント