説明/参照:
https://docs.microsoft.com/en-us/azure/security-center/security-center-managing-and-responding-alerts Azure Sentinel を使用して脅威を軽減する テストレット 1 ケース スタディ これはケース スタディです。ケース スタディは個別に時間制限されません。各ケースを完了するのに必要なだけの試験時間を使用できます。ただし、この試験には追加のケース スタディとセクションがある場合があります。与えられた時間内にこの試験に含まれるすべての質問を完了できるように、時間を管理する必要があります。
ケース スタディに含まれる質問に答えるには、ケース スタディで提供される情報を参照する必要があります。ケース スタディには、ケース スタディで説明されているシナリオに関する詳細情報を提供する展示物やその他のリソースが含まれている場合があります。各質問は、このケース スタディ内の他の質問とは独立しています。
このケース スタディの最後に、確認画面が表示されます。この画面では、試験の次のセクションに進む前に回答を確認し、変更を加えることができます。新しいセクションを開始した後は、このセクションに戻ることはできません。
ケーススタディを始めるには
このケース スタディの最初の質問を表示するには、[次へ] ボタンをクリックします。質問に答える前に、左側のペインのボタンを使用してケース スタディの内容を調べてください。これらのボタンをクリックすると、ビジネス要件、既存の環境、問題の説明などの情報が表示されます。ケース スタディに [すべての情報] タブがある場合、表示される情報は後続のタブに表示される情報と同じであることに注意してください。質問に回答する準備ができたら、[質問] ボタンをクリックして質問に戻ります。
概要
Litware Inc. は再生可能な企業です。
Litware にはボストンとシアトルにオフィスがあります。また、Litware には米国全土にリモート ユーザーがいます。クラウド リソースを含む Litware リソースにアクセスするために、リモート ユーザーはどちらかのオフィスに VPN 接続を確立します。
既存の環境
アイデンティティ環境
ネットワークには、litware.com という名前の Azure Active Directory (Azure AD) テナントと同期する litware.com という名前の Active Directory フォレストが含まれています。
Microsoft 365 環境
Litware には、litware.com Azure AD テナントにリンクされた Microsoft 365 E5 サブスクリプションがあります。Microsoft Defender for Endpoint は、Windows 10 を実行するすべてのコンピューターに展開されています。Microsoft Cloud App Security に組み込まれているすべての異常検出ポリシーが有効になっています。
Azure 環境
Litware には、litware.com Azure AD テナントにリンクされた Azure サブスクリプションがあります。サブスクリプションには、次の表に示すように、米国東部 Azure リージョンのリソースが含まれています。

ネットワーク環境
各 Litware オフィスはインターネットに直接接続し、Azure サブスクリプション内の仮想ネットワークへのサイト間 VPN 接続を備えています。
オンプレミス環境
オンプレミス ネットワークには、次の表に示すコンピューターが含まれています。

現在の問題
Cloud App Security では、ユーザーが両方のオフィスに同時に接続すると、誤検知アラートが頻繁に生成されます。
計画された変更
Litware は以下の変更を実施する予定です。
* Azure サブスクリプションで Azure Sentinel を作成して構成します。
* Azure AD テスト ユーザー アカウントを使用して Azure Sentinel の機能を検証します。
ビジネス要件
Litware では、次のビジネス要件を特定しています。
* 可能な限り、最小権限の原則を適用する必要があります。
* 他のすべての要件が満たされている限り、コストを最小限に抑える必要があります。
* Log Analytics によって収集されたログは、ユーザー アクティビティの完全な監査証跡を提供する必要があります。
* すべてのドメイン コントローラーは、Microsoft Defender for Identity を使用して保護する必要があります。
Azure 情報保護の要件
セキュリティ ラベルが付いていて、Windows 10 コンピューターに保存されているすべてのファイルは、Azure Information Protection - データ検出ダッシュボードから利用できる必要があります。
Microsoft Defender for Endpoint の要件
Cloud App Security の承認されていないアプリはすべて、Microsoft Defender for Endpoint を使用して Windows 10 コンピューター上でブロックする必要があります。
Microsoft Cloud App Security の要件
Cloud App Security は、テナント レベルのデータに基づいて、ユーザー接続が異常であるかどうかを識別する必要があります。
Azure Defender の要件
すべてのサーバーは、同じ Log Analytics ワークスペースにログを送信する必要があります。
Azure Sentinel の要件
Litware は、次の Azure Sentinel 要件を満たす必要があります。
* Azure Sentinel と Cloud App Security を統合します。
* admin1 という名前のユーザーが Azure Sentinel プレイブックを構成できることを確認します。
* カスタム クエリに基づいて Azure Sentinel 分析ルールを作成します。ルールはプレイブックの実行を自動的に開始する必要があります。
* 特定の IP アドレスからのデータ アクセスを表すイベントにメモを追加して、調査グラフ内を移動しながら IP アドレスを参照できるようにします。
* Azure AD テスト ユーザー アカウントによる Microsoft Office 365 への受信アクセスが検出されたときにアラートを生成するテスト ルールを作成します。ルールによって生成されるアラートは、テスト ユーザー アカウントごとに 1 つのインシデントとして、個別のインシデントにグループ化する必要があります。