Microsoft Sentinel でアラートの詳細をカスタマイズする
この記事では、基になるクエリ結果のコンテンツでアラートの既定のプロパティをオーバーライドする方法について説明します。
スケジュールされた分析ルールを作成するプロセスでは、最初の手順としてルールの名前と説明を定義し、それに重大度と MITRE ATT&CK 戦術を割り当てます。 特定のルールによって生成されたすべてのアラート (および結果として作成されたすべてのインシデント) は、アラートの特定のインスタンスの特定のコンテンツに関係なく、ルールで定義されている名前、説明、重大度、戦術を継承します。
アラートの詳細機能を使用すると、次の 2 つの方法で、アラートの次などの既定のプロパティをオーバーライドできます。
アラートのカスタムの変数名と説明を作成します。 アラートのクエリ出力で、アラートの各インスタンスの名前または説明にその内容を含めることができるフィールドを選択できます。 特定のインスタンスで選択したフィールドに値がない場合、そのインスタンスのアラートの詳細は、ウィザードの最初のページで指定した既定値に戻ります。
クエリ出力の該当フィールドの値を使用して、アラートの特定のインスタンスの重大度、戦術、およびその他のプロパティをカスタマイズします (以下のプロパティの全一覧を参照)。 選択したフィールドが空であるか、フィールド のデータ型と一致しない値がある場合、それぞれのアラート プロパティは既定値に戻ります (戦術と重大度については、ウィザードの最初のページで指定されたもの)。
重要
- 一部のアラートの詳細のカスタマイズ性 (以下でそのように示されているものを参照) は、現在プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
- Microsoft Sentinel は Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内での一般提供を開始しました。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。
アラートの詳細機能を使用するには、以下の手順に従います。 この手順は分析ルール作成ウィザードの一部ですが、既存の分析ルールに対してアラートの詳細を追加または変更するシナリオを取り上げるために、ここでは別個に取り上げています。
アラートの詳細をカスタマイズする方法
Microsoft Sentinel 経由で、ポータルの [分析] ページに移動します。
Microsoft Sentinel のナビゲーション メニューの [構成] セクションで、[分析] を選びます。
スケジュール済みクエリ ルールを選択し、[編集] を選択します。 または、画面の上部にある [作成] > [スケジュール済みクエリ ルール] を選択して新しいルールを作成します。
[ルールのロジックを設定] タブを選択します。
[アラート エンリッチメント] セクションで、[アラートの詳細] を展開します。
展開された [アラートの詳細] セクションで、アラートに表示する詳細に対応するプロパティを含むフリー テキストを追加します。
[Alert Name Format] (アラート名の形式) フィールドに、アラートの名前として表示するテキスト (アラート テキスト) を入力し、そのアラート テキストに含めるクエリ出力フィールドを二重中かっこで囲みます。
例:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.
[Alert Description Format](アラートの説明の形式) フィールドでも同じ操作を行います。
注意
[Alert Name Format] (アラート名の形式) と [Alert Description Format] (アラートの説明の形式) フィールドでは現在、それぞれ 3 つのパラメーターに制限されています。
その他の既定のプロパティをオーバーライドするには、[アラート プロパティ] ドロップダウン リストからアラート プロパティを選択します。 次に、[値] ドロップダウン リストから、アラート プロパティに内容を設定するクエリ結果のフィールドを選択します。
さらに既定のプロパティをオーバーライドするには、[+ 新規追加] を選択し、前の手順を繰り返します。 次のプロパティをオーバーライドできます。
名前 説明 AlertName String 説明 String AlertSeverity 次のいずれかの値です。
- 情報
- 低
- Medium
- 高方針 次のいずれかの値です。
- 偵察
- ResourceDevelopment
- 初期アクセス
- 実行
- 永続化
- 特権エスカレーション
- 防御回避
- 資格情報アクセス
- 検出
- 横移動
- コレクション
- 流出
- 指揮統制
- 影響
- 攻撃前
- ImpairProcessControl
- InhibitResponseFunctionTechniques (プレビュー) 正規表現 ( ^T(?<Digits>\d{4})$
) に一致する文字列。
例: T1234AlertLink (プレビュー) String ConfidenceLevel (プレビュー) 次のいずれかの値です。
- 低
- 高
- 不明ConfidenceScore (プレビュー) 0-1 間の整数 (包含) ExtendedLinks (プレビュー) String ProductComponentName (プレビュー) String ProductName (プレビュー)
* この表の後にある注をご覧ください。String ProviderName (プレビュー) String RemediationSteps (プレビュー) String Note
Microsoft Sentinel を統合セキュリティ オペレーション プラットフォームにオンボードした場合、Microsoft ソースからのアラートの ProductName フィールドをカスタマイズしないでください。 それを行うと、これらのアラートは Microsoft Defender XDR から破棄されて、インシデントが作成されません。
気が変わった場合や、間違った場合は、[アラート プロパティ] と [値] ペアの横にあるごみ箱アイコンをクリックしてアラートの詳細を削除するか、[Alert Name Format] (アラート名の形式) と [Alert Description Format] (アラートの説明の形式) のフィールドからフリー テキストを削除できます。
アラートの詳細のカスタマイズが完了したら、ルールを作成する場合は、ウィザードの次のタブに進みます。 既存のルールを編集する場合は、[レビューと作成] タブを選択します。ルールの確認が正常に完了したら、[保存] を選択します。
サービスの制限
- 1 回のクエリでの値が最大 50 個のフィールドをオーバーライドできます。 クエリからの、カスタマイズされた値が 50 個を超えるときは、カスタマイズされた値がすべて削除され、そのフィールドはすべてのクエリ結果で既定値に戻ります。 カスタマイズされた値の削除を防ぐために、返される値が 50 個以下となるようにクエリを調整してください。
AlertName
フィールド、およびその他の非コレクション プロパティのサイズ上限は 256 バイトです。Description
フィールド、およびその他のコレクション プロパティのサイズ上限は 5 KB です。- サイズ制限を超える値は削除されます。
次のステップ
このドキュメントでは、Microsoft Sentinel 分析ルールでアラートの詳細をカスタマイズする方法について学習しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。
- アラートをエンリッチする他の方法を確認します。
- スケジュールされたクエリ分析ルールの完全な画像を取得します。
- Microsoft Sentinel のエンティティの詳細を確認します。