Microsoft Sentinel / SOAR / ロジックアプリのためのワークショップ
このレポジトリは Microsoft Sentinel の SOAR 機能活用するために、ロジックアプリを勉強するためのコンテンツを提供しています。
前提条件を以下に示します。演習によるリソース作成、利用分は有償になります。
- Microsoft Sentinel の環境を自テナントに有すること
- Microsoft Sentinel に対して、何らかの分析ルールによるアラート発砲が可能であること
- (もしくは) 既に Microsoft Sentinel のテスト環境を構築済みで、以下のようなインシデント情報を残していること
- MDE で検知したアラート(アラート内容は何でもOK)で、ホスト情報が付与されたインシデントが作られていること
- Microsoft Entra ID Protection (旧 AAD IDP) をテスト実装されており、ユーザー名のエンティティ情報が付与されたインシデントが作られていること
- [参考] サンプルアラート生成方法 (本演習は Sentinel インシデントから
HostやAccount種別のエンティティを元にロジックアプリを起動させます)
ワークショップのコンテンツはこちらです。
- 演習1. Sentinel インシデントトリガー時にどのような情報が連携されるのかを理解する
- どちらかを選択
- 演習2M. 標準コネクタを用いて、Defender XDR のアドバンスドハンティングクエリーを実行する
- 定期的に Defender XDR (Microsoft 365 Defender) にアドバンスハンティングクエリーをかけてみよう
- ハンティングした結果を成型して通知してみよう
- 演習2A. 標準コネクタを用いて、Azure Resource Graph (ARG) に対して定期的に監視クエリーを実行する
- 定期的に Log Analytics ワークスペースから Azure Resourec Graph (ARG)にクエリーをかけてみよう
- ハンティングした結果を成型して通知してみよう
- 演習2M. 標準コネクタを用いて、Defender XDR のアドバンスドハンティングクエリーを実行する
- 演習3. Sentinel インシデントトリガーからエンティティ属性を抽出して、Defender XDR のアドバンスドハンティングクエリーを実行する
- Sentinel のインシデントをトリガーに、エンティティに含まれる Host 情報から Defender XDR (Microsoft 365 Defender) にアドバンスハンティングクエリーをかけてみよう
- ハンティングした結果を成型して通知してみよう
- 演習4. Sentinel インシデントトリガーからエンティティ属性を抽出して、Microsoft Graph API を叩いて Entra ID 情報を取得する
- Sentinel インシデントをトリガーとして、Microsoft Graph API を叩いてみよう
- ハンティングした結果を成型して通知してみよう
最後にアンケートにご協力ください
- 本ワークショップをより良いものにするため、アンケートにご記入下さい!
本レポジトリの演習は課金が発生します。
- 本レポジトリの演習によって発生するコストについては、利用するユーザーが責任を負います。
- 本レポジトリの演習によって作成される環境から出力される内容について、作成者は責任を負いません。
- 本レポジトリはオープンソースです。