スケジュール化された分析ルールをテンプレートから作成する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

分析ルールの種類としては最も一般的であるスケジュール化されたルールは、Kusto クエリに基づいています。このクエリは一定の間隔で実行するように構成されており、定義済みの "ルックバック" 期間の生データを調べます。 これらのクエリでは、複雑な統計操作をターゲット データに対して実行できるので、一群のイベント内のベースラインと外れ値が明らかになります。 クエリによって捕捉された結果の数がルール内で構成されたしきい値を超えている場合は、ルールによってアラートが生成されます。

Microsoft では、コンテンツ ハブで提供される多くのソリューションを通じて、さまざまな分析ルール テンプレートを利用できるようにしており、それらを使用してルールを作成することを強くお勧めします。 スケジュール化されたルールのテンプレート内のクエリは、Microsoft またはそのテンプレートを提供するソリューションのベンダーの、セキュリティとデータ サイエンスのエキスパートによって書かれています。

この記事では、テンプレートを使用した、スケジュール化された分析ルールの作成方法について説明します。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームの一部として利用できます。 Defender ポータルの Microsoft Sentinel は、運用環境での使用がサポートされるようになりました。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

既存の分析ルールを表示する

Microsoft Sentinel にインストールされている分析ルールを表示するには、[分析] ページに移動します。 [規則のテンプレート] タブに、インストールされているすべてのルール テンプレートが表示されます。 その他のルール テンプレートを表示するには、Microsoft Sentinel の [Content hub](コンテンツ ハブ) に移動して、関連する製品ソリューションまたはスタンドアロン コンテンツをインストールします。

Azure Portal

1. Microsoft Sentinel のナビゲーション メニューの [構成] セクションで、[分析] を選択します。

2. [分析] 画面で [規則のテンプレート] タブを選択します。

3. リストをフィルター処理してスケジュール化されたテンプレートに絞り込む場合:

   1. [フィルターの追加] を選択し、フィルターのリストから [ルールの種類] 選択します。

   2. 結果のリストから [Scheduled] を選択します。 適用を選択します。

   

Defender ポータル

1. Microsoft Defender のナビゲーション メニューで、[Microsoft Sentinel]、[構成] の順に展開します。 分析を選択します。

2. [分析] 画面で [規則のテンプレート] タブを選択します。

3. リストをフィルター処理してスケジュール化されたテンプレートに絞り込む場合:

   1. [フィルターの追加] を選択し、フィルターのリストから [ルールの種類] 選択します。

   2. 結果のリストから [Scheduled] を選択します。 適用を選択します。

   

テンプレートからルールを作成する

この手順では、テンプレートから分析ルールを作成する方法について説明します。

Azure Portal

Microsoft Sentinel のナビゲーション メニューの [構成] セクションで、[分析] を選びます。

Defender ポータル

Microsoft Defender のナビゲーション メニューで、[Microsoft Sentinel]、[構成] の順に展開します。 分析を選択します。

1. [分析] 画面で [規則のテンプレート] タブを選択します。

2. テンプレート名を選択してから、詳細ウィンドウの [ルールの作成] ボタンを選択し、そのテンプレートに基づく新しいアクティブなルールを作成します。

   各テンプレートには、必要なデータ ソースの一覧があります。 テンプレートを開くと、データ ソースの可用性が自動的にチェックされます。 データ ソースが有効になっていない場合は、[ルールの作成] ボタンが無効になっていることや、その旨のメッセージが表示されることがあります。

   

3. ルール作成ウィザードが開きます。 すべての詳細が自動入力されます。

4. ウィザードのタブを順番に移動し、可能な場合はロジックやその他のルール設定を特定のニーズに合わせてカスタマイズします。

   ルール作成ウィザードの最後まで進むと、Microsoft Sentinel にルールが作成されます。 [アクティブなルール] タブに新しいルールが表示されます。

   さらにルールを作成するには、このプロセスを繰り返します。 ルールの作成ウィザードでルールをカスタマイズする方法の詳細については、「カスタム分析ルールを最初から作成する」をご覧ください。

ヒント

• 環境の完全なセキュリティを確保するために、接続されたデータ ソースに関連付けられているすべてのルールが有効になっていることを確認してください。 分析ルールを有効にする最も効率的な方法として、関連するルールがすべて一覧表示されているデータ コネクタ ページから直接有効にすることができます。 詳細については、「データ ソースの接続」を参照してください。

• ルールは API や PowerShell 経由で Microsoft Sentinel にプッシュすることもできますが、それを行うには追加の作業が必要です。

  API または PowerShell を使用する場合は、ルールを有効にする前に、最初にルールを JSON にエクスポートする必要があります。 API または PowerShell は、Microsoft Sentinel の複数のインスタンスでルールを有効にし、各インスタンスの設定を同じにする場合に役立つことがあります。

次のステップ

このドキュメントでは、Microsoft Sentinel でテンプレートからスケジュール化された分析ルールを作成する方法について説明しました。

• 分析ルールの詳細について確認する。
• 分析ルールを最初から作成する方法について確認します。