Explanation:

Explanation:

Explanation:
ステップ1: 調査ブレードから、Insightsを選択します。
調査分析ワークブックは、Azure Sentinel インシデントまたは個々の IP/アカウント/ホスト/URL エンティティの調査を支援するために設計されています。
手順 2: [調査] ブレードから、VM1 を表すエンティティを選択します。
調査インサイト ワークブックは、インシデント インサイトとエンティティ インサイトの 2 つの主要セクションに分かれています。
インシデントインサイト
インシデント インサイトにより、アナリストは進行中の Sentinel インシデントを把握でき、アラートやエンティティ情報などの関連メタデータにすばやくアクセスできます。
エンティティインサイト
エンティティインサイトを使用すると、アナリストはインシデントから、または手動で入力したエンティティデータを取得し、そのエンティティに関する関連情報を調査できます。このワークブックでは現在、以下のエンティティタイプを表示できます。
IPアドレス
アカウント
ホスト
URL
ステップ 3: インシデントの詳細ペインから、[調査] を選択します。
1 つのインシデントを選択し、「詳細を表示」または「調査」をクリックします。
参照：
https://github.com/Azure/Azure-Sentinel/wiki/Investigation-Insights---概要
https://docs.microsoft.com/en-us/azure/sentinel/investigate-cases

Explanation:

Explanation:
| Syslog構成から、CEFメッセージを送信する機能を削除します。 | CEF1 | | Log Analyticsエージェントから、Syslog同期を無効にします。 | Server2 | 目標は、Azure Sentinelワークスペース（SW1）内の重複イベントを排除することです。重複は通常、同じログソースが複数の収集方法でAzure Sentinelにデータを送信している場合に発生します。
環境の分析
* SW1 は、すべてのログの最終的な保存先となる Azure Sentinel (現在は Microsoft Sentinel) ワークスペースです。
* CEF1 は、Microsoft Sentinel のログフォワーダー（CEF コレクターとも呼ばれます）として構成された Linux サーバーです。ログの取り込みには Log Analytics エージェント（または新しい Azure Monitor エージェント）を使用し、共通イベント形式 (CEF) のログを SW1 に転送するように特別に構成されています。
* Server1はCEFログをCEF1に送信します。これはServer1のCEFログの収集パスとして意図された単一のパスです。
Server1 CEF1 SW1。ここでは重複は発生しません。
* Server2はSyslogログをCEF1に送信します。パスはServer2 CEF1 SW1です。
* CEF1 は Log Analytics エージェント (SW1 にログを転送するために必要) を実行しており、Syslog データを収集するように構成されている (Server2 のログを受信するため) ため、CEF1 上の Log Analytics エージェントは受信した Syslog メッセージを SW1 に取り込もうとします。
* ただし、Log Analytics エージェント自体を使用して、ソース サーバーから直接 Syslog/CEF ログを収集することもできます。
重複への対処
サーバーが同じログをフォワーダーに送信しており、Log Analytics エージェントが同じログを SW1 に直接送信するように構成されている場合に、重複が発生する可能性が最も高くなります。
アクション 1: Syslog 構成から、CEF メッセージを送信する機能を削除します。
* リソース: CEF1
* 理由: CEF1 は、Log Analytics エージェントを実行する Linux サーバーであり、コレクターとして機能しています。
Server1 は CEF ログを CEF1 に送信します。これらの CEF ログは Syslog（具体的にはカスタム Syslog 形式）を使用して送信されます。CEF1 上の Log Analytics エージェントがすべての Syslog ファシリティを収集するように構成されている場合、Server1 から受信した生の CEF Syslog メッセージに加え、カスタム転送ロジックを使用して解析済みの CEF メッセージも取り込みます。CEF1 上の Syslog コレクターが転送対象である生の CEF メッセージを取り込まないようにするには、Syslog 構成（/etc/rsyslog.conf など）を変更し、Server1 からの受信 CEF メッセージで使用されるファシリティ/ログ ファイルを無視する必要があります。CEF1 の主な目的は CEF を受信して​​転送することであり、Log Analytics エージェントが CEF ペイロードを転送する生の Syslog を取り込むことではありません。
アクション 2: Log Analytics エージェントから、Syslog 同期を無効にします。
* リソース: サーバー2
* 理由: Server2 は Syslog ログを CEF1 (Server2 CEF1 SW1) に送信するように設定されています。Server2 は Linux サーバーであるため、他の監視目的で Log Analytics エージェントがインストールされている可能性があります。Server2 に Log Analytics エージェントがインストールされている場合、デフォルトでは Syslog ログを直接収集し、SW1 (Server2 SW1) に送信するように構成されます。これにより、Syslog データのパスが重複します。
* パスA（意図）：Server2 Syslog CEF1 SW1
* パス B (複製): Server2 Log Analytics エージェント Syslog SW1
* Microsoft Sentinel のログ取り込みに関するドキュメントによると、Syslog/CEF 専用のフォワーダー（CEF1 など）を使用する場合、この重複を防ぐには、ソースマシン（Server2）の Log Analytics エージェントで Syslog 収集を無効にする必要があります。これは通常、Log Analytics エージェント構成で Syslog 同期を無効にするか、エージェントのデータソースから Syslog エントリを削除することで実行されます。
参考資料: Syslog および CEF のデータ コネクタに関する Microsoft Sentinel ドキュメント、特に Log Analytics エージェントとフォワーダーの展開について説明しているセクションでは、ソース サーバーのエージェントと専用のコレクター/フォワーダーの両方から同じログ タイプ (Syslog または CEF) が二重に取り込まれるのを防ぐ必要があることが繰り返し警告されています。