参照：
https://docs.microsoft.com/en-us/cloud-app-security/siem-sentinel

Explanation:

参照：
https://docs.microsoft.com/en-us/azure/sentinel/bookmarks

Explanation:

参照：
https://docs.microsoft.com/en-us/azure/sentinel/extend-sentinel-across-workspaces-tenants
トピック2、Litware株式会社
ケーススタディ
これはケーススタディです。ケーススタディは個別に時間制限がありません。各ケースには、必要なだけ試験時間を使用できます。ただし、この試験には追加のケーススタディやセクションが含まれる場合があります。試験に含まれるすべての問題を制限時間内に解答できるよう、時間を管理してください。
ケーススタディに含まれる質問に回答するには、ケーススタディに記載されている情報を参照する必要があります。ケーススタディには、ケーススタディで説明されているシナリオに関する詳細情報を提供する図表やその他のリソースが含まれている場合があります。各質問は、ケーススタディ内の他の質問とは独立しています。
このケーススタディの最後に、確認画面が表示されます。この画面では、試験の次のセクションに進む前に回答を確認し、修正することができます。新しいセクションを開始すると、このセクションに戻ることはできません。
ケーススタディを始めるには
このケーススタディの最初の質問を表示するには、「次へ」ボタンをクリックします。質問に答える前に、左側のペインのボタンを使ってケーススタディの内容を確認してください。これらのボタンをクリックすると、ビジネス要件、既存の環境、問題の説明などの情報が表示されます。ケーススタディに「すべての情報」タブがある場合、表示される情報は後続のタブに表示される情報と同一であることに注意してください。質問に回答する準備ができたら、「質問」ボタンをクリックして質問に戻ります。
概要
Litware Inc. は再生可能な企業です。
Litwareはボストンとシアトルにオフィスを構えています。また、Litwareは全米各地にリモートユーザーを抱えています。クラウドリソースを含むLitwareのリソースにアクセスするために、リモートユーザーはどちらかのオフィスへのVPN接続を確立します。
既存の環境
アイデンティティ環境
ネットワークには、litware.com という名前の Azure Active Directory (Azure AD) テナントと同期する litware.com という名前の Active Directory フォレストが含まれています。
Microsoft 365 環境
Litware は、litware.com Azure AD テナントにリンクされた Microsoft 365 E5 サブスクリプションを保有しています。Windows 10 を実行するすべてのコンピューターに Microsoft Defender for Endpoint が展開されています。Microsoft Cloud App Security に組み込まれているすべての異常検出ポリシーが有効になっています。
Azure環境
Litware には、litware.com Azure AD テナントにリンクされた Azure サブスクリプションがあります。このサブスクリプションには、次の表に示すように、米国東部 Azure リージョンのリソースが含まれています。

ネットワーク環境
各 Litware オフィスはインターネットに直接接続し、Azure サブスクリプション内の仮想ネットワークへのサイト間 VPN 接続を備えています。
オンプレミス環境
オンプレミス ネットワークには、次の表に示すコンピューターが含まれています。

現在の問題
Cloud App Security では、ユーザーが両方のオフィスに同時に接続すると、誤検知アラートが頻繁に生成されます。
計画された変更
Litware は次の変更を実施する予定です。
* Azure サブスクリプションで Azure Sentinel を作成して構成します。
* Azure AD テスト ユーザー アカウントを使用して Azure Sentinel の機能を検証します。
ビジネス要件
Litware では、次のビジネス要件が特定されています。
可能な限り、最小権限の原則を使用する必要があります。
他のすべての要件が満たされている限り、コストを最小限に抑える必要があります。
Log Analytics によって収集されたログは、ユーザー アクティビティの完全な監査証跡を提供する必要があります。
すべてのドメイン コントローラーは、Microsoft Defender for Identity を使用して保護する必要があります。
Azure 情報保護の要件
セキュリティ ラベルが付いており、Windows 10 コンピューターに保存されているすべてのファイルは、Azure Information Protection - データ検出ダッシュボードから利用できる必要があります。
Microsoft Defender for Endpoint の要件
すべての Cloud App Security 未承認アプリは、Microsoft Defender for Endpoint を使用して Windows 10 コンピューター上でブロックする必要があります。
Microsoft Cloud App Security の要件
Cloud App Security は、テナント レベルのデータに基づいて、ユーザー接続が異常であるかどうかを識別する必要があります。
Azure Defender の要件
すべてのサーバーは、同じ Log Analytics ワークスペースにログを送信する必要があります。
Azure Sentinel の要件
Litware は、次の Azure Sentinel 要件を満たす必要があります。
* Azure Sentinel と Cloud App Security を統合します。
* admin1 という名前のユーザーが Azure Sentinel プレイブックを構成できることを確認します。
* カスタムクエリに基づいてAzure Sentinel分析ルールを作成します。このルールは、プレイブックの実行を自動的に開始する必要があります。
* 特定の IP アドレスからのデータ アクセスを表すイベントにメモを追加して、ハンティング中に調査グラフを移動するときに IP アドレスを参照できるようにします。
* Azure AD テストユーザーアカウントによる Microsoft Office 365 への受信アクセスが検出されたときにアラートを生成するテストルールを作成します。ルールによって生成されるアラートは、テストユーザーアカウントごとに 1 つのインシデントとして、個別のインシデントにグループ化する必要があります。