次の方法で共有

Microsoft Azure Sentinel でのユーザーとエンティティの動作分析 (UEBA) の有効化

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

前のデプロイ手順では、システムを保護するために必要な Microsoft Sentinel セキュリティ コンテンツを有効にしました。 この記事では、UEBA 機能を有効にして使用して分析プロセスを合理化する方法について説明します。 この記事は、 Microsoft Sentinel の展開ガイドの一部です。

Microsoft Sentinel では、接続されているすべてのデータ ソースからログとアラートを収集すると、それらを分析して、時間とピア グループの期間全体にわたる組織のエンティティ (ユーザー、ホスト、IP アドレス、アプリケーションなど) のベースライン行動プロファイルを構築します。 さまざまな手法や機械学習機能を使用して、Microsoft Sentinel で異常なアクティビティを特定でき、資産が侵害されているかどうかを判定するのに役立ちます。 UEBA の詳細を確認します。

米国政府機関向けクラウドでの機能の可用性の詳細については、米国 政府のお客様向けのクラウド機能の可用性に関する Microsoft Sentinel テーブルを参照してください。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。

前提条件

この機能を有効または無効にするには (この機能を使用するためにこれらの前提条件は必要ありません)

  • ユーザーは、テナントの Microsoft Entra ID セキュリティ管理者 ロールまたは同等のアクセス許可に割り当てられている必要があります。

  • ユーザーには、次の Azure ロール のうち少なくとも 1 つを割り当てる必要があります (Azure RBAC の詳細を確認してください)。

    • ワークスペースまたはリソース グループ レベルの Microsoft Sentinel 共同作成者
    • リソース グループまたはサブスクリプション レベルの Log Analytics 共同作成者

  • ワークスペースに Azure リソース ロックを適用することはできません。 Azure リソースのロックについて詳しくは、こちらをご覧ください

  • Microsoft Sentinel に UEBA 機能を追加するために特別なライセンスは必要ありませんが、使用するには追加料金がかかります。
  • ただし、UEBA は新しいデータを生成し、それを LOG Analytics ワークスペースに作成する新しいテーブルに格納するため、 追加のデータ ストレージ料金 が適用されます。

ユーザーとエンティティの動作分析を有効にする方法

  • Azure portal の Microsoft Sentinel のユーザーは、Azure portal タブの指示に従います。
  • Microsoft Defender ポータルの一部としての Microsoft Sentinel のユーザーは、[ Defender ポータル ] タブの指示に従います。

  1. [エンティティ動作の構成] ページに移動します。

    エンティティ動作の構成ページに移動するには、次の 3 つの方法のいずれかを使用します。

    • Microsoft Sentinel ナビゲーション メニューから [エンティティの動作 ] を選択し、上部のメニュー バーから [エンティティの動作設定 ] を選択します。

    • Microsoft Sentinel ナビゲーション メニューから [設定] を選択し、[ 設定] タブを選択し、[ エンティティ動作分析 ] エキスパンダーで [UEBA の設定] を選択します。

    • Microsoft Defender XDR データ コネクタ ページで、[ UEBA 構成ページに移動 ] リンクを選択します。

  2. [ エンティティ動作の構成 ] ページで、トグルを [オン] に切り替えます。

    UEBA 構成設定のスクリーンショット。

  3. ユーザー エンティティを Microsoft Sentinel と同期する Active Directory ソースの種類の横にあるチェック ボックスをオンにします。

    • オンプレミスの Active Directory (プレビュー)
    • Microsoft Entra ID

    オンプレミスの Active Directory からユーザー エンティティを同期するには、Azure テナントが Microsoft Defender for Identity に (スタンドアロンまたは Microsoft Defender XDR の一部として) オンボードされている必要があり、Active Directory ドメイン コントローラーに MDI センサーがインストールされている必要があります。 詳細については、「 Microsoft Defender for Identity の前提条件 」を参照してください。

  4. UEBA を有効にするデータ ソースの横にあるチェック ボックスをオンにします。

    既存のデータ ソースの一覧の下に、まだ接続していない UEBA でサポートされているデータ ソースの一覧が表示されます。

    UEBA を有効にすると、新しいデータ ソースに接続するとき、UEBA 対応であれば、データ コネクタ ウィンドウから直接、データ ソースの UEBA を有効にできるようになります。

  5. [ 適用] を選択します。 [エンティティの動作] ページからこのページにアクセスした場合は、そこで返されます。

次の手順

この記事では、Microsoft Azure Sentinel でユーザーとエンティティの動作分析 (UEBA) を有効にし、構成する方法について学習しました。 UEBA の詳細については、以下を参照してください。

エンティティ ページを使用してエンティティを調査する