重要
カスタム検出は、Microsoft Sentinel SIEM Microsoft Defender XDR全体で新しいルールを作成するための最良の方法になりました。 カスタム検出を使用すると、インジェスト コストを削減し、無制限のリアルタイム検出を取得し、自動エンティティ マッピングを使用してDefender XDRデータ、関数、修復アクションとシームレスに統合できます。 詳細については、 このブログを参照してください。
重要
この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
はじめに
Microsoft Sentinel には分析ルール テンプレートが含まれており、このコピーを効果的に作成することでアクティブなルールに変換することができます。これは、テンプレートからルールを作成することで実現可能です。 ただし、その時点では、アクティブなルールとテンプレートの接続は切れています。 Microsoft のエンジニアやその他のユーザーによってルール テンプレートに変更が加えられても、事前にそのテンプレートから作成されたルールが、新しいテンプレートに合わせて動的に更新されることはありません。
ただし、テンプレートから作成したルールには、どのテンプレートから作成されたかの情報が記録されているため、以下の 2 つの利点があります。
テンプレートからルールを作成する際に、または後で変更を加えた場合、いつでもそのルールを元のバージョンに戻すことができます。
テンプレートが更新されると通知されます。 ルールを新しいバージョンのテンプレートに更新するか、そのままにしておくことができます。
この記事では、これらのタスクの管理方法と注意事項について説明します。 この記事で説明する手順は、テンプレートから作成されたすべてのスケジュール済み分析ルールに適用されます。
ルールのテンプレートのバージョン番号を確認する
テンプレート バージョン コントロールを導入することにより、ルール テンプレートと、そこから作成されたルールのバージョンを確認し、追跡することができます。 テンプレートが更新されたルールには、ルール名の横に "更新" バッジが表示されます。
[分析] ページで、[アクティブなルール] タブを選びます。
種類が Schedhuled の任意のルールを選択します。
ルールに "更新" バッジが表示されている場合、その詳細ウィンドウの [編集] ボタンの横に [確認して更新] ボタンが表示されます (次の手順の画像 1 を参照)。
テンプレートから作成したルールに "更新" バッジが表示されていない場合、詳細ウィンドウの [編集] ボタンの横には [テンプレートと比較] ボタンが表示されます (次の手順の画像 2 と 3 を参照)。
[編集] ボタンのみが表示されている場合、そのルールはテンプレートからではなく、最初から作成されています。
詳細ウィンドウの下部まで下にスクロールすると、2 つのバージョン番号が表示されます。これは、ルールの作成元のテンプレートのバージョンと、使用可能な最新のテンプレートのバージョンです。
数値は "1.0.0" の形式で、それぞれメジャー バージョン、マイナー バージョン、ビルドを表しています。
"メジャー バージョン" の番号が違う場合、これはルールによる脅威の検出方法や、機能自体などに影響する、テンプレートの重要な部分が変更されたことを示します。 この変更をルールに含める必要があります。
"マイナー バージョン" の番号が違う場合、これは、テンプレートにマイナーな改良 (見た目の変化など) が加えられたことを示しています。これは、"あれば嬉しい" ものですが、ルールの機能、有効性、またはパフォーマンスを維持する上では重要ではありません。 この変更を簡単に行うことも、そのままにすることもできます。
Note
画像 2 と 3 は、更新されていないテンプレートから作成した 2 つのルールの例を示しています。
- 画像 2 は、テンプレートのバージョン番号が最新のルールを示しています。 これは、2021 年 10 月に Microsoft Azure Sentinel でテンプレートのバージョン コントロールが初めて実装された後に、ルールが作成されたことを示しています。
- 画像 3 は、最新のテンプレート バージョンを持たないルールを示しています。 これは、ルールが 2021 年 10 月より前に作成されたことを示しています。 利用可能な最新のテンプレート バージョンがある場合、これは、ルールの作成に使用されたテンプレートよりも新しいバージョンである可能性があります。
アクティブなルールとテンプレートを比較する
行いたいアクションに応じて以下のタブを選択し、そのアクションに関する説明を参照してください。
ルールを選択し、更新することに決めた場合は、詳細ウィンドウの [確認して更新] を選択します (上記を参照)。 分析ルール ウィザードに [最新バージョンと比較] タブが表示されます。
このタブには、既存のルールの YAML 表現と最新バージョンのテンプレートが並べて比較されています。
![分析ルール ウィザードの [最新バージョンと比較] タブのスクリーンショット。](media/manage-analytics-rule-templates/compare-template-versions.png)
Note
このルールを更新すると、既存のルールが最新バージョンのテンプレートで上書きされます。
参照名が変更されている場合は、既存のルールを参照している自動化ステップやロジックの検証を行う必要があります。 また、元のルールを作成する際に行ったカスタマイズ (クエリ、スケジュール、グループ、その他の設定への変更) も上書きされる可能性があります。
新しいテンプレート バージョンでルールを更新する
新しいバージョンのテンプレートに加えられた変更に問題がなく、元のルールの他の部分に影響がなければ、[確認して更新] を選択して変更を検証し、適用します。
ルールをさらにカスタマイズする場合や、上書きしたくない変更を再度適用する場合は、[次へ: カスタム変更] を選択します。 分析ルール ウィザードの残りのタブを順番に表示してこれらの変更を行い、[確認して更新] タブで変更を検証して適用します。
既存のルールを変更せずに、既存のテンプレートのバージョンを維持する場合は、右上隅にある [X] を選択してウィザードを終了します。
![分析ルール ウィザードの [最新バージョンと比較] タブのスクリーンショット。](media/manage-analytics-rule-templates/compare-template-versions-2.png)
次の手順
このドキュメントでは、Microsoft Azure Sentinel の分析ルール テンプレートのバージョンを追跡し、アクティブなルールを既存のテンプレート バージョンに戻すか、または新しいものに更新する方法について学習しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。
- 分析ルールの詳細について確認する。
- 分析ルール ウィザードの詳細について確認する。