Microsoft Sentinelは、マイクロソフトが提供するクラウドベースのSIEM(Security Information and Event Management)サービスで、組織全体のセキュリティ脅威を検出、監視、対応するための統合プラットフォームです。
この記事では、Microsoft Sentinelの使用ができるよう初期セットアップ手順を確認していきます。
リソースグループの作成
まず、リソースグループを作成します。
リソースグループは関連するリソースをまとめて保持するコンテナです。
既存のリソースグループを利用しても問題ありません。リソースグループについては、下記の記事を参考にしてください。
>> 参考記事 :リソースグループの概要と追加・削除
リソースグループの画面から「作成」ボタンをクリックし、新しいリソースグループを作成します。
リソースグループ、リージョンを設定し、「確認および作成」をクリックします。
検証に成功したことを確認し、「作成」をクリックします。
下記のとおり、リソースグループが作成されました。
Log Analyticsワークスペースを作成
Microsoft Sentinelは、データを保存するために、Log Analyticsワークスペースを使用します。
作成したリソースグループに対して、Log Analyticsワークスペースを作成します。Azureポータルより、Log Analyticsワークスペースを検索します。
「Log Analytics ワークスペース」を選択し、「作成」をクリックします。
作成したリソースグループ「Sentinel_Blog」を選択します。インスタンスの名前は任意(今回はSentinelとします)とし、リージョンを選択のうえ、「確認および作成」をクリックします。
検証が成功したことを確認し、「作成」をクリックします。
下記のとおり、デプロイが完了したことを確認します。
正常にLog Analyticsワークスペースが作成されたか確認します。
作成したLog Analyticsワークスペース(名前:Sentinel)をクリックします。
「概要」にて状態が「アクティブ」であることを確認します。
Microsoft Sentinelの作成
作成したLog Analyticsワークスペースで、Microsoft Sentinelを作成します。
Azureポータルの検索で、「Microsoft Sentinel」を検索します。
Microsoft Sentinelの画面に移動します。「作成」をクリックします。
前に作成したLog Analyticsワークスペース(名前:Sentinel)を選択し、「追加」をクリックします。
Microsoft SentinelがLog Analyticsワークスペースに追加されたことを確認します。
下記のとおり、Microsoft Sentinelが作成されます。
31日間は1日あたり10GBまでのデータであれば、無償で使用できます。
コメント