From c388ca091dda99993ed68261f5ea700ee7cf8f74 Mon Sep 17 00:00:00 2001 From: Translator Date: Fri, 21 Mar 2025 09:34:08 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-services/az-defender --- .../azure-security/az-services/az-defender.md | 37 +++++++ .../az-services/az-monitoring.md | 104 ++++++++++++++++++ .../azure-security/az-services/az-sentinel.md | 41 +++++++ 3 files changed, 182 insertions(+) create mode 100644 src/pentesting-cloud/azure-security/az-services/az-defender.md create mode 100644 src/pentesting-cloud/azure-security/az-services/az-monitoring.md create mode 100644 src/pentesting-cloud/azure-security/az-services/az-sentinel.md diff --git a/src/pentesting-cloud/azure-security/az-services/az-defender.md b/src/pentesting-cloud/azure-security/az-services/az-defender.md new file mode 100644 index 000000000..a9788976f --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-services/az-defender.md @@ -0,0 +1,37 @@ +# Az - Defender + +{{#include ../../../banners/hacktricks-training.md}} + +## Microsoft Defender for Cloud + +Microsoft Defender for Cloudは、Azure、オンプレミス、マルチクラウド環境を網羅する包括的なセキュリティ管理ソリューションです。これは、Cloud Security Posture Management (CSPM)とCloud Workload Protection (CWPP)機能を組み合わせたCloud-Native Application Protection Platform (CNAPP)として分類されます。その目的は、組織が**クラウドリソースの誤設定や弱点を見つけ**、全体的なセキュリティ姿勢を強化し、Azure、Amazon Web Services (AWS)、Google Cloud Platform (GCP)、ハイブリッドオンプレミスセットアップなどの進化する脅威からワークロードを保護することです。 + +実際には、Defender for Cloudは**セキュリティのベストプラクティスと基準に対してリソースを継続的に評価**し、可視性のための統一ダッシュボードを提供し、高度な脅威検出を使用して攻撃を警告します。主な利点には、**クラウド全体のセキュリティの統一ビュー**、侵害を防ぐための実行可能な推奨事項、セキュリティインシデントのリスクを軽減できる統合脅威保護が含まれます。AWSやGCP、その他のSaaSプラットフォームをネイティブにサポートし、オンプレミスサーバーにAzure Arcを使用することで、すべての環境の**セキュリティを一元管理**できることを保証します。 + +### Key Features + +- **Recommendations**: このセクションでは、継続的な評価に基づいた実行可能なセキュリティ推奨事項のリストを提示します。各推奨事項は、特定された誤設定や脆弱性を説明し、修正手順を提供するため、セキュアスコアを改善するために何を修正すべきかが明確になります。 +- **Attack Path Analysis**: Attack Path Analysisは、クラウドリソース全体の潜在的な攻撃経路を視覚的にマッピングします。脆弱性がどのように接続し、悪用される可能性があるかを示すことで、これらの経路を理解し、侵害を防ぐためにそれらを断ち切る手助けをします。 +- **Security Alerts**: Security Alertsページは、リアルタイムの脅威や疑わしい活動を通知します。各アラートには、重大度、影響を受けるリソース、推奨されるアクションなどの詳細が含まれており、新たな問題に迅速に対応できるようにします。 +- 検出技術は**脅威インテリジェンス、行動分析、異常検出**に基づいています。 +- すべての可能なアラートはhttps://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-referenceで見つけることができます。名前と説明に基づいて、**アラートが何を探しているか**(それを回避するために)を知ることができます。 +- **Inventory**: Inventoryセクションでは、環境全体で監視されているすべての資産の包括的なリストを見つけることができます。各リソースのセキュリティステータスを一目で確認でき、修正が必要な保護されていないまたはリスクのある資産を迅速に特定するのに役立ちます。 +- **Cloud Security Explorer**: Cloud Security Explorerは、クラウド環境を検索し分析するためのクエリベースのインターフェースを提供します。隠れたセキュリティリスクを明らかにし、リソース間の複雑な関係を探ることで、全体的な脅威ハンティング能力を向上させます。 +- **Workbooks**: Workbooksは、セキュリティデータを視覚化するインタラクティブなレポートです。事前に構築されたテンプレートやカスタムテンプレートを使用して、トレンドを監視し、コンプライアンスを追跡し、時間の経過に伴うセキュアスコアの変化をレビューするのに役立ち、データに基づいたセキュリティ決定を容易にします。 +- **Community**: Communityセクションは、仲間、専門家フォーラム、ベストプラクティスガイドとつながることができます。他者の経験から学び、トラブルシューティングのヒントを見つけ、最新のDefender for Cloudの開発情報を把握するための貴重なリソースです。 +- **Diagnose and Solve Problems**: このトラブルシューティングハブは、Defender for Cloudの構成やデータ収集に関連する問題を迅速に特定し解決するのに役立ちます。プラットフォームが効果的に機能するように、ガイド付き診断と解決策を提供します。 +- **Security Posture**: Security Postureページは、全体的なセキュリティステータスを単一のセキュアスコアに集約します。クラウドのどの領域が強力で、どこに改善が必要かについての洞察を提供し、環境の迅速な健康チェックとして機能します。 +- **Regulatory Compliance**: このダッシュボードは、リソースが業界標準や規制要件にどれだけ適合しているかを評価します。PCI DSSやISO 27001などのベンチマークに対するコンプライアンススコアを示し、ギャップを特定し、監査のための修正を追跡するのに役立ちます。 +- **Workload Protections**: Workload Protectionsは、特定のリソースタイプ(サーバー、データベース、コンテナなど)のセキュリティを強化することに焦点を当てています。どのDefenderプランがアクティブであるかを示し、各ワークロードに対してカスタマイズされたアラートと推奨事項を提供し、その保護を強化します。特定のリソースにおける悪意のある行動を見つけることができます。 +- これは、特定のサービスで見つけることができる**`Enable Microsoft Defender for X`**のオプションでもあります。 +- **Data and AI Security (Preview)**: このプレビューセクションでは、Defender for CloudがデータストアとAIサービスへの保護を拡張します。セキュリティのギャップを強調し、機密データを監視し、データリポジトリとAIプラットフォームの両方が脅威から保護されるようにします。 +- **Firewall Manager**: Firewall Managerは、Azure Firewallと統合され、ネットワークセキュリティポリシーの中央集約的なビューを提供します。ファイアウォールの展開を管理および監視することを簡素化し、仮想ネットワーク全体でセキュリティルールの一貫した適用を保証します。 +- **DevOps Security**: DevOps Securityは、開発パイプラインやコードリポジトリと統合され、ソフトウェアライフサイクルの初期段階でセキュリティを組み込みます。コードや構成の脆弱性を特定するのに役立ち、開発プロセスにセキュリティを組み込むことを保証します。 + +## Microsoft Defender EASM + +Microsoft Defender External Attack Surface Management (EASM)は、組織のインターネットに面した資産(ドメイン、サブドメイン、IPアドレス、Webアプリケーションを含む)を継続的に**スキャンおよびマッピング**し、外部デジタルフットプリントの包括的でリアルタイムのビューを提供します。これは、既知の発見シードから始まる高度なクロール技術を活用して、管理されたIT資産とシャドウIT資産の両方を自動的に明らかにします。EASMは、公開された管理インターフェース、公開アクセス可能なストレージバケット、さまざまなCVEに脆弱なサービスなどの**リスクのある構成**を特定し、セキュリティチームがこれらの問題に対処できるようにします。 +さらに、継続的な監視は、異なるスキャン結果を比較することで**公開されたインフラストラクチャの変化**を示すこともでき、管理者が行われたすべての変更を把握できるようにします。 +リアルタイムの洞察と詳細な資産インベントリを提供することで、Defender EASMは組織が**外部露出の変化を継続的に監視および追跡**できるようにします。リスクベースの分析を使用して、重大度や文脈要因に基づいて発見を優先順位付けし、修正努力が最も重要な場所に集中するようにします。この積極的なアプローチは、隠れた脆弱性を明らかにするだけでなく、新たな露出が発生するたびに警告を発することで、全体的なセキュリティ姿勢の継続的な改善をサポートします。 + +{{#include ../../../banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-services/az-monitoring.md b/src/pentesting-cloud/azure-security/az-services/az-monitoring.md new file mode 100644 index 000000000..b4ae18794 --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-services/az-monitoring.md @@ -0,0 +1,104 @@ +# Az - Monitoring + +{{#include ../../../banners/hacktricks-training.md}} + +## Entra ID - Logs + +Entra IDには3種類のログがあります: + +- **サインインログ**:サインインログは、成功または失敗にかかわらず、すべての認証試行を記録します。これらは、IPアドレス、場所、デバイス情報、適用された条件付きアクセスポリシーなどの詳細を提供し、ユーザーの活動を監視し、疑わしいログイン行動や潜在的なセキュリティ脅威を検出するために不可欠です。 +- **監査ログ**:監査ログは、Entra ID環境内で行われたすべての変更の記録を提供します。これには、ユーザー、グループ、役割、またはポリシーの更新が含まれます。これらのログは、誰がいつ何を変更したかを確認できるため、コンプライアンスおよびセキュリティ調査にとって重要です。 +- **プロビジョニングログ**:プロビジョニングログは、サードパーティサービス(オンプレミスのディレクトリやSaaSアプリケーションなど)を通じてテナントにプロビジョニングされたユーザーに関する情報を提供します。これらのログは、アイデンティティ情報がどのように同期されるかを理解するのに役立ちます。 + +> [!WARNING] +> これらのログは、無料版では**7日間**、P1/P2版では**30日間**、リスクのあるサインイン活動に対するセキュリティシグナルでは60日間追加で保存されることに注意してください。ただし、グローバル管理者であっても**それらを早期に変更または削除することはできません**。 + +## Entra ID - Log Systems + +- **診断設定**:診断設定は、リソースから収集したいプラットフォームログおよび/またはメトリックのカテゴリのリストと、それらをストリーミングする1つ以上の宛先を指定します。宛先に対して通常の使用料金が発生します。さまざまなログカテゴリとその内容について詳しく学びます。 +- **宛先**: +- **Analytics Workspace**:Azure Log Analyticsを通じて調査し、アラートを作成します。 +- **ストレージアカウント**:静的分析とバックアップ。 +- **Event hub**:サードパーティのSIEMなどの外部システムにデータをストリーミングします。 +- **Monitor partner solutions**:Azure Monitorと他の非Microsoft監視プラットフォームとの特別な統合。 +- **Workbooks**:Workbooksは、テキスト、ログクエリ、メトリック、およびパラメータを組み合わせて、リッチなインタラクティブレポートを作成します。 +- **Usage & Insights**:Entra IDで最も一般的な活動を確認するのに役立ちます。 + +## Azure Monitor + +Azure Monitorの主な機能は次のとおりです: + +- **アクティビティログ**:Azureアクティビティログは、サブスクリプションレベルのイベントと管理操作をキャプチャし、リソースに対する変更とアクションの概要を提供します。 +- **アクティビティログ**は変更または削除できません。 +- **変更分析**:変更分析は、Azureリソース全体の構成および状態の変更を自動的に検出し、視覚化して、問題の診断や時間の経過に伴う変更の追跡を支援します。 +- **アラート**:Azure Monitorからのアラートは、Azure環境内で指定された条件や閾値が満たされたときにトリガーされる自動通知です。 +- **Workbooks**:Workbooksは、Azure Monitor内のインタラクティブでカスタマイズ可能なダッシュボードであり、さまざまなソースからのデータを組み合わせて視覚化し、包括的な分析を可能にします。 +- **Investigator**:Investigatorは、ログデータやアラートを深く分析し、インシデントの原因を特定するのに役立ちます。 +- **Insights**:Insightsは、アナリティクス、パフォーマンスメトリック、およびアクション可能な推奨事項(Application InsightsやVM Insightsのようなもの)を提供し、アプリケーションやインフラストラクチャの健康と効率を監視および最適化するのに役立ちます。 + +### Log Analytics Workspaces + +Log Analyticsワークスペースは、Azure Monitor内の中央リポジトリであり、Azureリソースおよびオンプレミス環境からの**ログおよびパフォーマンスデータを収集、分析、視覚化**できます。以下は重要なポイントです: + +- **中央集約データストレージ**:診断ログ、パフォーマンスメトリック、およびアプリケーションやサービスによって生成されたカスタムログを保存するための中央の場所として機能します。 +- **強力なクエリ機能**:Kusto Query Language (KQL)を使用してクエリを実行し、データを分析し、インサイトを生成し、問題をトラブルシューティングできます。 +- **監視ツールとの統合**:Log Analyticsワークスペースは、Azure Monitor、Azure Sentinel、Application InsightsなどのさまざまなAzureサービスと統合されており、ダッシュボードを作成し、アラートを設定し、環境の包括的なビューを得ることができます。 + +要約すると、Log Analyticsワークスペースは、Azureにおける高度な監視、トラブルシューティング、およびセキュリティ分析に不可欠です。 + +リソースの**診断設定**から、データを分析ワークスペースに送信するようにリソースを構成できます。 + +## Enumeration + +### Entra ID +```bash +# Get last 10 sign-ins +az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10' + +# Get last 10 audit logs +az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10' + +# Get last 10 provisioning logs +az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’ + +# Get EntraID Diagnostic Settings +az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview" + +# Get Entra ID Workbooks +az rest \ +--method POST \ +--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \ +--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \ +--body '{ +"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"], +"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties", +"options": {"resultFormat": "table"}, +"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a" +}' | jq '.data.rows' +``` +### Azure Monitor +```bash +# Get last 10 activity logs +az monitor activity-log list --max-events 10 + +# Get Resource Diagnostic Settings +az rest --url "https://management.azure.com/subscriptions//resourceGroups//providers/Microsoft.DocumentDb/databaseAccounts//providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview" + +# Get Entra ID Workbooks +az rest \ +--method POST \ +--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \ +--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \ +--body '{ +"content": {}, +"commandName": "AppInsightsExtension.GetWorkbooksListArg" +}' + +# List Log Analytic groups +az monitor log-analytics workspace list --output table + +# List alerts +az monitor metrics alert list --output table +az monitor activity-log alert list --output table +``` +{{#include ../../../banners/hacktricks-training.md}} diff --git a/src/pentesting-cloud/azure-security/az-services/az-sentinel.md b/src/pentesting-cloud/azure-security/az-services/az-sentinel.md new file mode 100644 index 000000000..a6615988d --- /dev/null +++ b/src/pentesting-cloud/azure-security/az-services/az-sentinel.md @@ -0,0 +1,41 @@ +# Az - Defender + +{{#include ../../../banners/hacktricks-training.md}} + +## Microsoft Sentinel + +Microsoft Sentinelは、Azure上のクラウドネイティブな**SIEM**(セキュリティ情報およびイベント管理)および**SOAR**(セキュリティオーケストレーション、自動化、応答)ソリューションです。 + +それは、組織全体(オンプレミスおよびクラウド)からのセキュリティデータを単一のプラットフォームに集約し、**組み込みの分析および脅威インテリジェンス**を使用して潜在的な脅威を特定します。Sentinelは、Log Analytics(大規模なログストレージとクエリ用)やLogic Apps(自動化されたワークフロー用)などのAzureサービスを活用しており、これは需要に応じてスケールし、AzureのAIおよび自動化機能と統合できることを意味します。 + +本質的に、Sentinelはさまざまなソースからログを収集および分析し、**異常や悪意のある活動を検出し**、セキュリティチームが迅速に脅威を調査し対応できるようにします。すべてはAzureポータルを通じて、オンプレミスのSIEMインフラストラクチャを必要とせずに行われます。 + +### Microsoft Sentinelの設定 + +Azure Log AnalyticsワークスペースでSentinelを有効にすることから始めます(ワークスペースはログが保存され、分析される場所です)。以下は、開始するための高レベルの手順です。 + +1. **ワークスペースでMicrosoft Sentinelを有効にする**: Azureポータルで、既存のLog Analyticsワークスペースを作成または使用し、Microsoft Sentinelを追加します。これにより、Sentinelの機能がワークスペースに展開されます。 +2. **データソース(データコネクタ)を接続する**: Sentinelが有効になると、組み込みのデータコネクタを使用してデータソースを接続します。Entra IDログ、Office 365、またはファイアウォールログなど、Sentinelは自動的にログとアラートを取り込み始めます。これは、使用しているログワークスペースにログを送信する診断設定を作成することで一般的に行われます。 +3. **分析ルールとコンテンツを適用する**: データが流入するようになったら、組み込みの分析ルールを有効にするか、脅威を検出するためのカスタムルールを作成します。検出機能を迅速に開始するために、Content Hubを使用して事前パッケージ化されたルールテンプレートやワークブックを利用します。 +4. **(オプション)自動化を設定する**: インシデントに自動的に応答するためのプレイブックを使用して自動化を設定します。たとえば、アラートを送信したり、侵害されたアカウントを隔離したりすることで、全体的な応答を強化します。 + +## 主な機能 + +- **ログ**: ログブレードはLog Analyticsクエリインターフェースを開き、**Kusto Query Language (KQL)**を使用してデータを深く掘り下げることができます。このエリアは、トラブルシューティング、フォレンジック分析、およびカスタムレポートにとって重要です。ログイベントをフィルタリングしたり、異なるソース間でデータを相関させたり、発見に基づいてカスタムダッシュボードやアラートを作成したりするためにクエリを作成および実行できます。これはSentinelの生データ探索センターです。 +- **検索**: 検索ツールは、**セキュリティイベント、インシデント、特定のログエントリを迅速に見つけるための統一インターフェース**を提供します。複数のブレードを手動でナビゲートするのではなく、キーワード、IPアドレス、またはユーザー名を入力することで、関連するすべてのイベントを瞬時に表示できます。この機能は、異なる情報の断片を迅速に接続する必要がある調査中に特に便利です。 +- **インシデント**: インシデントセクションは、すべての**グループ化されたアラートを管理可能なケースに集中させます**。Sentinelは関連するアラートを単一のインシデントに集約し、重大度、タイムライン、影響を受けるリソースなどのコンテキストを提供します。インシデント内では、アラート間の関係をマッピングした詳細な調査グラフを表示でき、潜在的な脅威の範囲と影響を理解しやすくします。インシデント管理には、タスクの割り当て、ステータスの更新、応答ワークフローとの統合オプションも含まれています。 +- **ワークブック**: ワークブックは、**セキュリティデータを視覚化および分析するためのカスタマイズ可能なダッシュボードおよびレポート**です。さまざまなチャート、テーブル、クエリを組み合わせて、トレンドやパターンの包括的なビューを提供します。たとえば、サインイン活動のタイムライン、IPアドレスの地理的マッピング、特定のアラートの頻度を表示するためにワークブックを使用することがあります。ワークブックは事前構築されたものと完全にカスタマイズ可能なものがあり、組織の特定の監視ニーズに合わせることができます。 +- **ハンティング**: ハンティング機能は、**標準のアラートをトリガーしない可能性のある脅威を見つけるための積極的なアプローチ**を提供します。MITRE ATT&CKなどのフレームワークに沿った事前構築されたハンティングクエリが付属していますが、カスタムクエリを書くこともできます。このツールは、**隠れたまたは新たに出現する脅威を発見しようとする高度なアナリストに最適です**。歴史的およびリアルタイムデータを探索することで、異常なネットワークパターンや異常なユーザー行動を特定できます。 +- **ノートブック**: ノートブック統合により、Sentinelは**高度なデータ分析および自動化された調査のためのJupyterノートブックを活用します**。この機能により、Sentinelデータに対して直接Pythonコードを実行でき、機械学習分析を行ったり、カスタム視覚化を構築したり、複雑な調査タスクを自動化したりすることが可能になります。これは、標準的なクエリを超えた深い分析を行う必要があるデータサイエンティストやセキュリティアナリストに特に便利です。 +- **エンティティの行動**: エンティティの行動ページは、**ユーザーおよびエンティティの行動分析(UEBA)**を使用して、環境全体の正常な活動のベースラインを確立します。ユーザー、デバイス、IPアドレスの詳細なプロファイルを表示し、**典型的な行動からの逸脱を強調表示します**。たとえば、通常は低活動のアカウントが突然大量のデータ転送を示す場合、この逸脱がフラグされます。このツールは、行動の異常に基づいて内部の脅威や侵害された資格情報を特定するために重要です。 +- **脅威インテリジェンス**: 脅威インテリジェンスセクションでは、**悪意のあるIPアドレス、URL、ファイルハッシュなどの外部脅威インジケーターを管理および相関させることができます**。外部インテリジェンスフィードと統合することで、Sentinelは既知の脅威に一致するイベントを自動的にフラグできます。これにより、広範な既知のキャンペーンの一部である攻撃を迅速に検出し、対応するのに役立ち、セキュリティアラートにさらなるコンテキストを追加します。 +- **MITRE ATT&CK**: MITRE ATT&CKブレードでは、Sentinelが**セキュリティデータと検出ルールを広く認識されているMITRE ATT&CKフレームワークにマッピングします**。このビューは、環境で観察されている戦術や技術を理解し、カバレッジの潜在的なギャップを特定し、認識された攻撃パターンに対して検出戦略を整合させるのに役立ちます。これは、敵が環境を攻撃する方法を分析するための構造化された方法を提供し、防御行動の優先順位を付けるのに役立ちます。 +- **コンテンツハブ**: コンテンツハブは、**データコネクタ、分析ルール、ワークブック、プレイブックを含む事前パッケージ化されたソリューションの集中リポジトリ**です。これらのソリューションは、デプロイメントを加速し、Office 365、Entra IDなどの一般的なサービスのベストプラクティス構成を提供することで、セキュリティ姿勢を改善するように設計されています。これらのコンテンツパックをブラウズ、インストール、更新できるため、新しい技術をSentinelに統合する際の手動設定を大幅に簡素化できます。 +- **リポジトリ**: リポジトリ機能(現在プレビュー中)は、Sentinelコンテンツのバージョン管理を可能にします。GitHubやAzure DevOpsなどのソース管理システムと統合し、**分析ルール、ワークブック、プレイブック、その他の構成をコードとして管理できます**。このアプローチは、変更管理とコラボレーションを改善するだけでなく、必要に応じて以前のバージョンにロールバックするのを容易にします。 +- **ワークスペース管理**: Microsoft Sentinelのワークスペースマネージャーは、**1つ以上のAzureテナント内で複数のMicrosoft Sentinelワークスペースを中央管理する**ことを可能にします。中央ワークスペース(ワークスペースマネージャーが有効な場合)は、メンバーワークスペースにスケールで公開されるコンテンツアイテムを統合できます。 +- **データコネクタ**: データコネクタページには、Sentinelにデータを持ち込むためのすべての利用可能なコネクタがリストされています。各コネクタは、**特定のデータソース**(Microsoftおよびサードパーティの両方)用に事前構成されており、その接続状況を示します。データコネクタの設定は通常数回のクリックで行われ、その後Sentinelはそのソースからログを取り込み、分析を開始します。このエリアは、セキュリティ監視の質と範囲が接続されたデータソースの範囲と構成に依存するため、重要です。 +- **分析**: 分析ブレードでは、**Sentinelのアラートを駆動する検出ルールを作成および管理します**。これらのルールは、ログデータ内の疑わしいパターンや閾値の違反を特定するために、スケジュール(またはほぼリアルタイム)で実行されるクエリです。Microsoftが提供する組み込みテンプレートから選択するか、KQLを使用して独自のカスタムルールを作成できます。分析ルールは、アラートが生成される方法とタイミングを決定し、インシデントの形成と優先順位に直接影響を与えます。 +- **ウォッチリスト**: Microsoft Sentinelのウォッチリストは、**外部データソースからのデータを収集し、Microsoft Sentinel環境内のイベントと相関させることを可能にします**。作成後、ウォッチリストを検索、検出ルール、脅威ハンティング、ワークブック、応答プレイブックで活用します。 +- **自動化**: 自動化ルールは、**インシデント処理のすべての自動化を中央管理する**ことを可能にします。自動化ルールはMicrosoft Sentinelでの自動化の使用を合理化し、インシデントオーケストレーションプロセスの複雑なワークフローを簡素化します。 + +{{#include ../../../banners/hacktricks-training.md}}