Microsoft Sentinel のエンティティ
アラートは、Microsoft Sentinel によって送信または生成される場合、Sentinel でエンティティとして認識および分類が可能なデータ要素を含んでいます。 Microsoft Sentinel では、特定のデータ要素が示しているエンティティの種類が認識されると、それに対する適切な質問が設定され、データ ソース全体にわたってその項目に関する分析情報が比較可能になります。また、分析、調査、修復、ハンティングなどの Sentinel エクスペリエンス全体を通じて、簡単に追跡および参照することができます。 エンティティの一般的な例としては、ユーザー アカウント、ホスト、メールボックス、IP アドレス、ファイル、クラウド アプリケーション、プロセス、URL があります。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
Microsoft Defender ポータルでは、エンティティは通常、次の 2 つの主要なカテゴリに分類されます。
エンティティ カテゴリ | 特性評価 | 主な例 |
---|---|---|
アセット | ||
その他のエンティティ "(証拠)" |
エンティティ識別子
Microsoft Sentinel は、さまざまなエンティティ型をサポートしています。 各型は、独自の一意の属性を持ち、エンティティ スキーマのフィールドとして表されるとともに、識別子と呼ばれます。 サポートされているエンティティの完全なリストについては、以下を参照してください。また、一連のすべてのエンティティ スキーマと識別子については、「Microsoft Sentinel エンティティ型リファレンス」を参照してください。
強いおよび弱い識別子
各エンティティ型には、そのエンティティの特定のインスタンスを識別できるフィールドまたはフィールドのセットがあります。 これらのフィールドまたはフィールドのセットは、あいまいさを伴わずにエンティティを一意に識別できる場合は、強い識別子と呼ばれます。ある状況下ではエンティティを識別できても、すべてのケースでエンティティを一意に識別できるとは限らない場合は、弱い識別子と呼ばれます。 ただし、多くの場合、いくつかの弱い識別子を組み合わせることで、強い識別子を生成できます。
たとえば、ユーザー アカウントは、複数の方法でアカウント エンティティとして識別できます。1 つは、Microsoft Entra アカウントの数値識別子 (GUID フィールド) やそのユーザー プリンシパル名 (UPN) の値などの、1 つの強い識別子を使用する方法です。もう 1 つは、名前や NTDomain フィールドなどの弱い識別子を組み合わせて使用する方法です。 データ ソースが異なる場合、同じユーザーが異なる方法で識別されることがあり得ます。 Microsoft Sentinel は、識別子に基づいて同じエンティティであると認識できる 2 つのエンティティを検出するたびに、2 つのエンティティを 1 つのエンティティにマージして、適切かつ一貫した方法で処理できるようにします。
ただし、エンティティが十分に識別されないというアラートがいずれかのリソース プロバイダーによって作成された場合 (たとえば、ドメイン名コンテキストを持たないユーザー名など、単一の弱い識別子のみを使用している場合など)、そのユーザー エンティティを同じユーザー アカウントの他のインスタンスとマージすることはできません。 それらの他のインスタンスは別個のエンティティとして識別され、これらの 2 つのエンティティは統合されずに別々のままとなります。
この発生リスクを最小限に抑えるために、使用しているすべてのアラート プロバイダーについて、生成されるアラート内でエンティティが正しく識別されることを確実にする必要があります。 さらに、ユーザー アカウント エンティティを Microsoft Entra ID と同期することで、ユーザー アカウント エンティティをマージすることができる統合ディレクトリが作成される場合があります。
サポートされているエンティティ
現在、次の種類のエンティティが Microsoft Sentinel で識別されます。
- 取引先企業
- Host
- IP アドレス (IP address)
- URL
- Azure リソース
- クラウド アプリケーション
- DNS 解決
- ファイル
- ファイル ハッシュ
- マルウェア
- Process
- レジストリ キー
- レジストリ値
- セキュリティ グループ
- メールボックス
- メール クラスター
- メール メッセージ
- 送信メール
これらのエンティティの識別子とその他の関連情報は、エンティティのリファレンスに関するページで確認できます。
エンティティ マッピング
Microsoft Sentinel では、アラート内のデータの一部がどのようにしてエンティティの識別子として認識されるのでしょうか。
Microsoft Sentinel でデータ処理が行われるしくみを見てみましょう。 データは、サービス間、エージェント ベース、API ベースであるかどうかにかかわらず、コネクタを介してさまざまなソースから取り込まれます。 データは、Log Analytics ワークスペースのテーブルに格納されます。 これらのテーブルは、スケジュールされているかほぼリアルタイムの分析ルールによって、一定の間隔で、または、脅威を検出する場合はハンティング クエリの一環としてオンデマンドで、クエリが実行されます。 これらの分析ルールとハンティング クエリの定義の一部としては、Microsoft Sentinel によって認識されるエンティティ型へのテーブル内のデータ フィールドのマッピングがあります。 定義したマッピングに従って、Microsoft Sentinel では、クエリから返された結果からフィールドが取得され、各エンティティ型に対して指定した識別子によってそれらが認識され、これらの識別子で識別されたエンティティ型が適用されます。
これは何を意味するのでしょうか。
Microsoft Sentinel では、さまざまな種類のデータ ソースからのアラートのエンティティを識別できる場合、特に各データ ソースまたは別のスキーマに共通する強力な識別子を使用してそれを行うことができる場合は、これらのすべてのアラートとデータ ソースの間の関連付けを簡単に行うことができます。 これらの相関関係により、エンティティに関する多くの情報と分析情報が豊富に蓄積されるようになり、セキュリティ上の脅威の調査と応答に向けて強固な基盤とコンテキストがもたらされます。
データ フィールドをエンティティにマップする方法をご覧ください。
どの識別子がエンティティを強く識別するかについてご覧ください。
エンティティ ページ
エンティティ ページに関する情報は、「Microsoft Sentinel でエンティティ ページを使用してエンティティを調査する」で確認できます。
次のステップ
このドキュメントでは、Microsoft Sentinel でエンティティを操作する方法について説明しました。 実装や、取得した分析情報を使用する方法に関する実用的なガイダンスについては、次の記事を参照してください。
- Microsoft Sentinel でエンティティの行動分析を有効にする。
- セキュリティの脅威を検出する。