スケジュール化された分析ルールをテンプレートから作成する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

分析ルールの種類としては最も一般的であるスケジュール化されたルールは、Kusto クエリに基づいています。このクエリは一定の間隔で実行するように構成されており、定義済みの "ルックバック" 期間の生データを調べます。 これらのクエリでは、複雑な統計操作をターゲット データに対して実行できるので、一群のイベント内のベースラインと外れ値が明らかになります。 クエリによって捕捉された結果の数がルール内で構成されたしきい値を超えている場合は、ルールによってアラートが生成されます。

Microsoft では、コンテンツ ハブで提供される多くのソリューションを通じて、さまざまな分析ルール テンプレートを利用できるようにしており、それらを使用してルールを作成することを強くお勧めします。 スケジュール化されたルールのテンプレート内のクエリは、Microsoft またはそのテンプレートを提供するソリューションのベンダーの、セキュリティとデータ サイエンスのエキスパートによって書かれています。

この記事では、テンプレートを使用した、スケジュール化された分析ルールの作成方法について説明します。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューの場合、Microsoft Sentinel は、Microsoft Defender XDR または E5 のライセンスなしで Defender ポータルで使用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

既存の分析ルールを表示する

Microsoft Sentinel にインストールされている分析ルールを表示するには、[分析] ページに移動します。 [規則のテンプレート] タブに、インストールされているすべてのルール テンプレートが表示されます。 その他のルール テンプレートを表示するには、Microsoft Sentinel の [Content hub](コンテンツ ハブ) に移動して、関連する製品ソリューションまたはスタンドアロン コンテンツをインストールします。

Azure Portal

1. Microsoft Sentinel のナビゲーション メニューの [構成] セクションで、[分析] を選択します。

2. [分析] 画面で [規則のテンプレート] タブを選択します。

3. リストをフィルター処理してスケジュール化されたテンプレートに絞り込む場合:

   1. [フィルターの追加] を選択し、フィルターのリストから [ルールの種類] 選択します。

   2. 結果のリストから [Scheduled] を選択します。 適用を選択します。

   

Defender ポータル

1. Microsoft Defender のナビゲーション メニューで、[Microsoft Sentinel]、[構成] の順に展開します。 分析を選択します。

2. [分析] 画面で [規則のテンプレート] タブを選択します。

3. リストをフィルター処理してスケジュール化されたテンプレートに絞り込む場合:

   1. [フィルターの追加] を選択し、フィルターのリストから [ルールの種類] 選択します。

   2. 結果のリストから [Scheduled] を選択します。 適用を選択します。

   

テンプレートからルールを作成する

この手順では、テンプレートから分析ルールを作成する方法について説明します。

Azure Portal

Microsoft Sentinel のナビゲーション メニューの [構成] セクションで、[分析] を選びます。

Defender ポータル

Microsoft Defender のナビゲーション メニューで、[Microsoft Sentinel]、[構成] の順に展開します。 分析を選択します。

1. [分析] 画面で [規則のテンプレート] タブを選択します。

2. テンプレート名を選択してから、詳細ウィンドウの [ルールの作成] ボタンを選択し、そのテンプレートに基づく新しいアクティブなルールを作成します。

   各テンプレートには、必要なデータ ソースの一覧があります。 テンプレートを開くと、データ ソースの可用性が自動的にチェックされます。 データ ソースが有効になっていない場合は、[ルールの作成] ボタンが無効になっていることや、その旨のメッセージが表示されることがあります。

   

3. ルール作成ウィザードが開きます。 すべての詳細が自動入力されます。

4. ウィザードのタブを順番に移動し、可能な場合はロジックやその他のルール設定を特定のニーズに合わせてカスタマイズします。

   ルール作成ウィザードの最後まで進むと、Microsoft Sentinel にルールが作成されます。 [アクティブなルール] タブに新しいルールが表示されます。

   さらにルールを作成するには、このプロセスを繰り返します。 ルールの作成ウィザードでルールをカスタマイズする方法の詳細については、「カスタム分析ルールを最初から作成する」をご覧ください。

ヒント

• 環境の完全なセキュリティを確保するために、接続されたデータ ソースに関連付けられているすべてのルールが有効になっていることを確認してください。 分析ルールを有効にする最も効率的な方法として、関連するルールがすべて一覧表示されているデータ コネクタ ページから直接有効にすることができます。 詳細については、「データ ソースの接続」を参照してください。

• ルールは API や PowerShell 経由で Microsoft Sentinel にプッシュすることもできますが、それを行うには追加の作業が必要です。

  API または PowerShell を使用する場合は、ルールを有効にする前に、最初にルールを JSON にエクスポートする必要があります。 API または PowerShell は、Microsoft Sentinel の複数のインスタンスでルールを有効にし、各インスタンスの設定を同じにする場合に役立つことがあります。

次のステップ

このドキュメントでは、Microsoft Sentinel でテンプレートからスケジュール化された分析ルールを作成する方法について説明しました。

• 分析ルールの詳細について確認する。
• 分析ルールを最初から作成する方法について確認します。