組織全体からデータを収集するように Microsoft Sentinel を設定した後は、環境に対するセキュリティ上の脅威を検出するために、そのすべてのデータを絶えず掘り下げる必要があります。 このタスクを達成するために、Microsoft Sentinel では定期的に実行される脅威検出ルールが用意されており、これで収集済みデータに対してクエリを実行して分析することによって脅威を検出できます。 これらのルールは、いくつかの異なる種類で提供され、まとめて 分析ルールと呼ばれます。
これらのルールは 、 探しているものが見つかるとアラートを生成します。 アラートには、関連する エンティティ (ユーザー、デバイス、アドレス、その他の項目) など、検出されたイベントに関する情報が含まれます。 アラートは集約され、 インシデント (ケース ファイル) に関連付けられます。これにより、 割り当てて調査 し、検出された脅威の全範囲を学習し、それに応じて対応することができます。 また、事前に定義された自動応答をルール独自の構成に組み込むこともできます。
組み込みの分析規則ウィザードを使用して、これらのルールを最初から作成できます。 ただし、Microsoft では、コンテンツ ハブで提供される Microsoft Sentinel 向けの多くのソリューションを通じて、さまざまな分析ルール テンプレートを使用することを強くお勧めします。 これらのテンプレートは事前構築されたルール プロトタイプであり、セキュリティのエキスパートとアナリストのチームが既知の脅威、一般的な攻撃ベクトル、疑わしい活動のエスカレーション チェーンに関する知識に基づいて設計したものです。 これらのテンプレートからルールをアクティブにすると、環境全体を自動的に検索して、疑わしく見える活動を見つけることができます。 テンプレートの多くはカスタマイズ可能であるため、ニーズに応じて特定の種類のイベントを検索して見つけることや、除外することができます。
この記事では、Microsoft Sentinel によってどのように脅威が検出され、それに続いて何が行われるのかを説明します。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。
分析ルールの種類
使用できる分析ルールとテンプレートは、Microsoft Sentinel の [構成] メニューの [分析] ページで確認できます。 現在 アクティブなルール は 1 つのタブに表示され、 テンプレートは別の タブに新しいルールを作成します。3 番目のタブには、この記事で後述する特殊なルールの種類である Anomalies が表示されます。
現在表示されているよりも多くのルール テンプレートを見つけるには、Microsoft Sentinel の コンテンツ ハブ に移動して、関連する製品ソリューションまたはスタンドアロン コンテンツをインストールします。 分析ルール テンプレートは、コンテンツ ハブ内のほぼすべての製品ソリューションに用意されています。
Microsoft Sentinel では、次の種類の分析ルールとルール テンプレートが用意されています。
上記のルールの種類以外にも、次に示す特化型のテンプレートの種類があり、それぞれルールのインスタンスを 1 つ作成できますが、構成オプションは制限されています。
スケジュールされたルール
最も一般的な種類の分析ルールでは、 スケジュールされた ルールは、一定の間隔で実行し、定義された "ルックバック" 期間の生データを調べるために構成された Kusto クエリ に基づいています。 クエリによって捕捉された結果の数がルール内で構成されたしきい値を超えている場合は、ルールによってアラートが生成されます。
スケジュールされたルール テンプレートのクエリは、Microsoft またはテンプレートを提供するソリューションのベンダーから、セキュリティとデータ サイエンスの専門家によって記述されました。 クエリでは、複雑な統計操作をターゲット データに対して実行できるので、一群のイベント内のベースラインと外れ値が明らかになります。
クエリのロジックは、ルール構成の中に表示されます。 クエリのロジックと、スケジューリングとルックバックの設定をテンプレートで定義されているとおりに使用することも、カスタマイズして新しいルールを作成することもできます。 または、 まったく新しいルールをゼロから作成することもできます。
Microsoft Sentinel のスケジュールされた分析ルールの詳細を確認します。
準リアルタイム(NRT)ルール
NRT ルールは、 スケジュールされたルールの限られたサブセットです。 可能な限り最新の情報を提供することを目的として、1 分間隔で実行するように設計されています。
ほとんどの場合、スケジュールされたルールと同様に機能し、いくつかの制限があります。
Microsoft Sentinel のほぼリアルタイム (NRT) 分析ルールを使用した迅速な脅威検出の詳細について説明します。
異常ルール
異常ルールでは機械学習が使用され、ベースラインを決定するために特定の種類の行動が一定期間観測されます。 各ルールには、分析される動作に適した固有のパラメーターとしきい値があります。 この観測期間が終了すると、ベースラインが設定されます。 ベースラインで設定された境界を超える行動がルールによって観測されると、異常であることを示すフラグが設定されます。
難しい設定の要らないルールの構成は変更も微調整もできませんが、ルールを複製してから、複製したものを変更および微調整することはできます。 このような場合は、 フライティング モードで複製を実行し、元の複製を 実稼働 モードで同時に実行します。 その後、結果を比較し、微調整が満足できるものであった場合は、複製をProductionに切り替えます。
異常があるだけでは、悪意のある行動を示しているとは限らず、疑わしい行動でさえないこともあります。 そのため、異常ルール独自のアラートが生成されることはありません。 代わりに、分析の結果 (検出された異常) を Anomalies テーブルに記録します。 このテーブルに対してクエリを実行すると、より良い検出、調査、脅威ハンティングを行うためのコンテキストが得られます。
詳細については、「カスタマイズ可能な異常を使用して Microsoft Sentinel で脅威を検出する」および「Microsoft Sentinel の異常検出分析ルールを操作する」を参照してください。
Microsoft セキュリティ規則
スケジュールされたルールと NRT ルールでは、ルールによって生成されたアラートに対して自動的にインシデントが作成されますが、外部サービスで生成されて Microsoft Sentinel に取り込まれたアラートについては、独自のインシデントが作成されることはありません。 Microsoft セキュリティ規則を有効にすると、他の Microsoft セキュリティ ソリューションで生成されたアラートから自動的に Microsoft Sentinel インシデントがリアルタイムで作成されます。 Microsoft セキュリティ テンプレートを使用して、類似のロジックを持つ新しい規則を作成できます。
重要
Microsoft のセキュリティ規則は、次の場合は 使用できません 。
- Microsoft Defender XDR インシデント統合を有効にしました。または
- Microsoft Sentinel を Defender ポータルにオンボードしました。
これらのシナリオでは、代わりに Microsoft Defender XDR によってインシデントが作成されます。
該当する規則を事前に定義していた場合は、自動的に無効になります。
Microsoft セキュリティ インシデント作成ルールの詳細については、「Microsoft セキュリティ アラートからインシデントを自動的に作成する」を参照してください。
脅威インテリジェンス
Microsoft によって生成された脅威インテリジェンスを利用して、Microsoft Threat Intelligence Analytics ルールを使用して忠実度の高いアラートとインシデントを生成します。 この固有のルールはカスタマイズできませんが、有効にすると、Common Event Format (CEF) ログ、Syslog データ、または Windows DNS イベントと、Microsoft 脅威インテリジェンスのドメイン、IP、URL の脅威インジケーターが自動的に照合されます。 特定のインジケーターには、MDTI (Microsoft Defender 脅威インテリジェンス) を通じてより多くのコンテキスト情報が含まれています。
このルールを有効にする方法の詳細については、「 照合分析を使用して脅威を検出する」を参照してください。
MDTI の詳細については、「 Microsoft Defender 脅威インテリジェンスとは」を参照してください。
高度なマルチステージ攻撃の検出 (Fusion)
Microsoft Sentinel は、スケーラブルな機械学習アルゴリズムを備えた Fusion 相関エンジンを使用して、複数の製品間で多くの低忠実度のアラートとイベントを高忠実で実用的なインシデントに関連付けることで、高度なマルチステージ攻撃を検出します。 高度なマルチステージ攻撃検出ルールは、既定で有効になっています。 ロジックは隠されており、したがってカスタマイズ不可能であることから、このテンプレートを使用するルールは 1 つしか存在しません。
Fusion エンジンは、 スケジュールされた分析ルール によって生成されたアラートを他のシステムからのアラートと関連付け、結果として忠実性の高いインシデントを生成することもできます。
重要
高度なマルチステージ攻撃検出ルールの種類は、次の場合は使用できません。
- Microsoft Defender XDR インシデント統合を有効にしました。または
- Microsoft Sentinel を Defender ポータルにオンボードしました。
これらのシナリオでは、代わりに Microsoft Defender XDR によってインシデントが作成されます。
また、 Fusion 検出テンプレートの一部は現在 プレビュー 段階にあります ( Microsoft Sentinel の高度なマルチステージ攻撃検出 を参照して、どれを確認するかを参照してください)。 ベータ版、プレビュー版、またはその他の一般提供にまだリリースされていない Azure 機能に適用される追加の法的条件については、 Microsoft Azure プレビューの追加使用条件 を参照してください。
機械学習による (ML) 行動分析
Microsoft 独自の機械学習アルゴリズムを利用して、 ML Behavior Analytics ルールを使用して忠実度の高いアラートとインシデントを生成します。 これらの一意のルール (現在 プレビュー段階) はカスタマイズできませんが、有効にすると、IP と位置情報とユーザー履歴情報に基づいて、特定の異常な SSH および RDP ログイン動作を検出します。
分析ルールのアクセス許可
分析ルールを作成すると、アクセス許可トークンがルールに適用され、一緒に保存されます。 このトークンにより、ルールによってクエリが実行されたデータを含むワークスペースにルールがアクセスできるようになります。また、ルールの作成者がこのワークスペースへのアクセスを失った場合でも、このアクセスは維持されます。
ただし、このアクセスには例外が 1 つあります。MSSP の場合のように、他のサブスクリプションまたはテナントのワークスペースにアクセスするためのルールが作成される場合、Microsoft Sentinel は顧客データへの無認可のアクセスを防ぐために追加のセキュリティ対策を講じます。 これらの種類のルールでは、ルールを作成したユーザーの資格情報が、個別のアクセス トークンではなくルールに適用されるため、ユーザーが他のサブスクリプションまたはテナントにアクセスできなくなった場合、ルールは機能しなくなります。
Microsoft Sentinel をクロス サブスクリプションまたはクロス テナントのシナリオで運用する場合、アナリストまたはエンジニアの誰かが特定のワークスペースへのアクセスを失うと、そのユーザーにより作成されたすべてのルールが機能しなくなるので注意してください。 この状況では、"リソースへのアクセスが不十分" に関する正常性監視メッセージが表示され、一定回数失敗した後にルールが 自動的に無効になります 。
ルールを ARM テンプレートにエクスポートする
ルールをコードとして管理およびデプロイする場合は 、ルールを Azure Resource Manager (ARM) テンプレート に簡単にエクスポートできます。 また、ユーザー インターフェイスでルールを表示および編集するために、テンプレート ファイルからルールをインポートすることもできます。
次のステップ
Microsoft Sentinel のスケジュールされた分析ルールと、Microsoft Sentinel のほぼリアルタイム (NRT) 分析ルールを使用した迅速な脅威検出の詳細について説明します。
その他のルール テンプレートを見つけるには、「 Microsoft Sentinel のすぐに使用できるコンテンツの検出と管理」を参照してください。