次の方法で共有

照合分析を使用して脅威を検出する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft によって生成された脅威インテリジェンスを利用して、Microsoft Defender 脅威インテリジェンス分析ルールを使用した忠実さが高いアラートとインシデントを生成します。 Microsoft Sentinel のこの組み込みルールは、インジケーターを、Common Event Format (CEF) ログ、ドメインと IPv4 脅威インジケーターを含む Windows DNS イベント、syslog データなどと照合します。

前提条件

忠実さが高いアラートとインシデントを生成するには、サポートされている 1 つ以上のデータ コネクタをインストールする必要があります。 プレミアム Microsoft Defender 脅威インテリジェンス ライセンスは必要ありません。 適切なソリューションをコンテンツ ハブからインストールして、これらのデータ ソースを接続します。

  • レガシ エージェント経由のCommon Event Format (CEF)
  • レガシ エージェント経由の Syslog
  • Microsoft 365 サービス (以前の Office 365)
  • Azure アクティビティ ログ
  • AMA 経由の Windows DNS
  • ASIM ネットワーク セッション

Microsoft Defender 脅威インテリジェンス分析ルールのデータ ソース接続を示すスクリーンショット。

たとえば、データ ソースによっては、次のソリューションとデータ コネクタを使用できます。

解決策 データ コネクタ
Sentinel 向け Common Event Format ソリューション Microsoft Sentinel 用 Common Event Format コネクタ
Windows Server DNS Microsoft Sentinel 用 DNS コネクタ
Sentinel 向け Syslog ソリューション Microsoft Sentinel 用 Syslog コネクタ
Sentinel 向け Microsoft 365 ソリューション Microsoft Sentinel 用 Office 365 コネクタ
Sentinel 向け Azure アクティビティ ソリューション Microsoft Sentinel 用 Azure アクティビティ コネクタ

照合分析ルールを構成する

照合分析は、Microsoft Defender 脅威インテリジェンス分析ルールを有効にすると構成されます。

  1. [構成] セクションの [分析] メニューを選択します。

  2. [ルール テンプレート] タブを選択します。

  3. 検索ウィンドウに「脅威インテリジェンス」と入力します。

  4. Microsoft Defender 脅威インテリジェンス分析ルール テンプレートを選択します。

  5. [ルールの作成] を選択します。 ルールの詳細は読み取り専用で、ルールは既定の状態で有効になっています。

  6. [確認]>[作成] を選択します。

[アクティブなルール] タブで有効になっている Microsoft Defender 脅威インテリジェンス分析ルールを示すスクリーンショット。

データ ソースとインジケーター

Microsoft Defender 脅威インテリジェンス分析では、次の方法で、ログとドメイン、IP、URL インジケーターが照合されます。

  • Log Analytics の CommonSecurityLog テーブルに取り込まれた CEF ログが、RequestURL フィールドに入力されている場合は URL とドメイン インジケーターを照合し、DestinationIP フィールドの IPv4 インジケーターを照合します。
  • Facility == "cron"Syslog テーブルに取り込まれた Syslog イベントが、SyslogMessage フィールドから直接ドメインと IPv4 インジケーターを照合します。
  • OfficeActivity テーブルに取り込まれた Office アクティビティ ログが、ClientIP フィールドから直接 IPv4 インジケーターを照合します。
  • AzureActivity テーブルに取り込まれた Azure アクティビティ ログが、CallerIpAddress フィールドから直接 IPv4 インジケーターを照合します。
  • ASimDnsActivityLogs テーブルに取り込まれた ASIM DNS ログは、DnsQuery フィールドに設定されたドメイン インジケーターと、DnsResponseName フィールドの IPv4 インジケーターを照合します。
  • ASimNetworkSessionLogs テーブルに取り込まれた ASIM ネットワーク セッションは、次のフィールドの 1 つ以上に設定された IPv4 インジケーターを照合します: DstIpAddrDstNatIpAddrSrcNatIpAddrSrcIpAddrDvcIpAddr

照合分析によって生成されたインシデントをトリアージする

Microsoft の分析で一致が検出されると、生成されたすべてのアラートはインシデントにグループ化されます。

Microsoft Defender 脅威インテリジェンス分析ルールによって生成されたインシデントをトリアージするには、次の手順を使用します。

  1. Microsoft Defender 脅威インテリジェンス分析ルールを有効にした Microsoft Sentinel ワークスペース内で、[インシデント] を選択し、「Microsoft 脅威インテリジェンス分析」を検索します。

    検出されたすべてのインシデントがグリッドに表示されます。

  2. [すべての詳細を表示] を選択して、特定のアラートなど、インシデントに関するエンティティとその他の詳細を表示します。

    次に例を示します。

    照合分析によって生成されたインシデントと詳細ウィンドウのスクリーンショット。

  3. アラートとインシデントに割り当てられている重大度を確認します。 インジケーターの照合方法に応じて、適切な重大度 (Informational から High まで) がアラートに割り当てられます。 たとえば、インジケーターがトラフィックを許可したファイアウォール ログと一致した場合は、重大度の高いアラートが生成されます。 同じインジケーターがトラフィックをブロックしたファイアウォール ログと一致した場合は、低または中程度のアラートが生成されます。

    アラートはその後、インジケーターの観測可能単位でグループ化されます。 たとえば、24 時間の期間に生成され、contoso.com ドメインに一致するアラートはすべて、最も高いアラート重大度に基づいて割り当てられた重大度で、1 つのインシデントにグループ化されます。

  4. インジケーターの情報を確認します。 一致が検出されると、インジケーターは Log Analytics の ThreatIntelligenceIndicators テーブルに公開され、[脅威インテリジェンス] ページに表示されます。 このルールから発行されたインジケーターの場合、ソースは Microsoft 脅威インテリジェンス分析と定義されます。

ThreatIntelligenceIndicators テーブルの例を次に示します。

ThreatIntelligenceIndicator テーブルを示すスクリーンショット。Microsoft 脅威インテリジェンス分析の SourceSystem を使用したインジケーターが表示されています。

[脅威インテリジェンス] ページの例を次に示します。

脅威インテリジェンスの概要を示すスクリーンショット。ソースを Microsoft 脅威インテリジェンス分析として示すインジケーターが選択されています。

Microsoft Defender 脅威インテリジェンスからさらにコンテキストを取得する

一部の Microsoft Defender 脅威インテリジェンス インジケーターには、忠実さが高いアラートやインシデントに加えて、Microsoft Defender 脅威インテリジェンス コミュニティ ポータルのリファレンス記事へのリンクが含まれています。

インシデントを示すスクリーンショット。Microsoft Defender 脅威インテリジェンスのリファレンス記事へのリンクが含まれています。

詳細については、「Microsoft Defender 脅威インテリジェンスとは」を参照してください。

関連するコンテンツ

この記事では、Microsoft によって生成された脅威インテリジェンスを接続してアラートとインシデントを生成する方法について説明しました。 Microsoft Sentinel の脅威インテリジェンスの詳細については、次の記事を参照してください。