Microsoft Sentinel Data Lake を使用すると、ファイアウォールや DNS データ、資産インベントリ、履歴レコードなどの大量の忠実度の低いログを最大 12 年間保存して分析できます。 ストレージとコンピューティングは分離されているため、複数のツールを使用してデータの同じコピーに対してクエリを実行できます。移動や複製は必要ありません。
Kusto クエリ言語 (KQL) と Jupyter Notebooks を使用してデータ レイク内のデータを探索し、脅威の検出や調査からエンリッチメントと機械学習まで、さまざまなシナリオをサポートできます。
この記事では、データ レイク探索の主要な概念とシナリオについて説明し、一般的なユース ケースを強調し、使い慣れたツールを使用してデータを操作する方法を示します。
KQL 対話型クエリ
Kusto クエリ言語 (KQL) を使用して、対話型クエリを Data Lake で直接実行します。
アナリストは KQL を使用して、次のことができます。
- 履歴データを使用した調査と対応: データ レイク内の長期的なデータを使用して、フォレンジック証拠の収集、インシデントの調査、パターンの検出、インシデントへの対応を行います。
- 大量のログを使用して調査を強化する: データ レイクに格納されているノイズの多いデータまたは忠実度の低いデータを活用して、セキュリティ調査にコンテキストと深さを追加します。
- データ レイク内の資産とログ データを関連付ける: 資産インベントリと ID ログを照会して、ユーザー アクティビティをリソースに接続し、より広範な攻撃を明らかにします。
Defender ポータルの Microsoft Sentinel>Data Lake 探索で KQL クエリを使用して、長期データに対してアドホック対話型 KQL クエリを直接実行します。 データ レイク探索 は、 オンボード プロセスが完了した後に利用できます。 KQL クエリは、データが分析層に存在しなくなった可能性があるインシデントを調査する SOC アナリストに最適です。 クエリを使用すると、コードを書き直すことなく、使い慣れたクエリを使用してフォレンジック分析を行うことができます。 KQL クエリの使用を開始するには、 Data Lake の探索 - KQL クエリ (プレビュー) を参照してください。
KQL ジョブ
KQL ジョブは、データ レイク層のデータに対してクエリを実行し、結果を分析層に昇格します。 ジョブには、1 回限りのタスクまたは繰り返しスケジュールされたタスクを指定できます。
アナリストは KQL ジョブを利用して次のことを行えます。
- データ レイクから分析層にデータを昇格して、インシデント調査またはログの相関関係を有効にします。
- 定期的なジョブをスケジュールし、データ レイクにのみ格納されている長期的な大量で低忠実度のログまたは資産データを使って調査を強化します。
- 履歴ログまたはノイズの多いログからの分析情報を自動化して、脅威の検出、ベースラインの作成、コンプライアンス要件の使用をサポートします。
データ レイクで 1 回限りの KQL ジョブを実行して、特定の履歴データをデータ レイク層から分析層に昇格します。 根本原因分析やゼロデイ検出のために、ホット層ウィンドウを超えたインシデントを調査するときに、データを昇格させることが役立ちます。 定期的なクエリを自動化して異常を検出したり、履歴データを使用してベースラインを構築したりするために、Data Lake でスケジュールされたジョブを送信します。 脅威ハンターはこれを使用して、時間の経過に伴う異常なパターンを監視し、結果を検出またはダッシュボードにフィードすることができます。 詳細については、「 Microsoft Sentinel Data Lake でのジョブの作成 」および「 Microsoft Sentinel Data Lake でのジョブの管理」を参照してください。
探索シナリオ
次のシナリオは、Microsoft Sentinel データ レイクの KQL クエリを使用してセキュリティ操作を強化する方法を示しています。
| シナリオ | 詳細 | 例 |
|---|---|---|
| 長期的な履歴データを使用してセキュリティ インシデントを調査する | セキュリティ チームは、多くの場合、インシデントの全範囲を明らかにするために、既定の保持期間を超える必要があります。 | ブルート フォース攻撃を調査している階層 3 SOC アナリストは、データ レイクに対する KQL クエリを使用して、90 日より前のデータに対してクエリを実行します。 1 年以上前の疑わしいアクティビティを特定した後、アナリストは分析レベルに結果を昇格させ、分析とインシデントの相関関係を深めます。 |
| 時間の経過に伴う異常の検出と行動ベースラインの構築 | 検出エンジニアは履歴データに依存してベースラインを確立し、悪意のある動作を示す可能性のあるパターンを特定します。 | 検出エンジニアは、数か月間のサインイン ログを分析して、アクティビティの急増を検出します。 データ レイクで KQL ジョブをスケジュールすることで、時系列ベースラインを構築し、資格情報の不正使用と一貫性のあるパターンを明らかにします。 |
| 大量の忠実度の低いログを使用して調査を強化する | 一部のログは、分析レベルではノイズが多すぎるか大量ですが、コンテキスト分析には引き続き役立ちます。 | SOC アナリストは、KQL を使用して、データ レイクにのみ格納されているネットワーク ログとファイアウォール ログに対してクエリを実行します。 これらのログは分析レベルではありませんが、アラートを検証し、調査中にサポート証拠を提供するのに役立ちます。 |
| 柔軟なデータ階層化を使用して新たな脅威に対応する | 新しい脅威インテリジェンスが出現したら、アナリストは履歴データにすばやくアクセスして対処する必要があります。 | 脅威インテリジェンス アナリストは、データ レイクで推奨される KQL クエリを実行することで、新しく公開された脅威分析レポートに対応します。 数か月前から関連するアクティビティを検出すると、必要なログが分析レベルに昇格されます。 将来の検出に対してリアルタイム検出を有効にするには、関連するテーブルで階層化ポリシーを調整して、最新のログを分析層にミラー化できます。 |
| 従来のセキュリティ ログ以外のソースから資産データを探索する | Microsoft Entra ID オブジェクトや Azure リソースなどの資産インベントリを使用して調査を強化します。 | アナリストは、KQL を使用して、Microsoft Entra ID ユーザー、アプリ、グループ、Azure リソース インベントリなどの ID とリソース資産情報を照会して、既存のセキュリティ データを補完する広範なコンテキストのログを関連付けることができます。 |