Microsoft Sentinel のほぼリアルタイム (NRT) の分析ルールを使用した迅速な脅威検出
セキュリティ上の脅威に直面した場合、時間とスピードが最も重要になります。 脅威を迅速に分析して対応できるように、脅威の実現に注意する必要があります。 Microsoft Sentinel のほぼリアルタイム (NRT) 分析ルールを使用すると、オンプレミス SIEM に匹敵するスピードで脅威を検出し、特定のシナリオで応答時間を短縮できます。
Microsoft Sentinel のほぼリアルタイム分析ルールでは、面倒な設定なし、かつ最新の方法で脅威を検出できます。 この型のルールは、わずか1分サイクル間隔でクエリを実行することにより、応答性が高くなるように設計されています。
NRT ルールのしくみ
NRT ルールは、可能な限り最新の情報をするために、1 分ごとに 1 回実行され、直前の 1 分間に取り込まれたイベントをキャプチャするようにハード コーディングされています。
取り込みのタイム ラグを考慮して組み込みの 5 分の遅延で実行される通常のスケジュールされたルールとは異なり、NRT ルールは、わずか 2 分の遅延で実行され、ソース (TimeGenerated フィールド) での生成時間ではなくイベントの取り込み時間を照会することで、取り込み遅延の問題を解決しています。 これにより、検出の頻度が増すと共に精度が向上します。 (この問題をもっと完全に理解するには、「クエリのスケジュール設定とアラートのしきい値」と「スケジュールされた分析ルールでのインジェスト遅延の処理」を参照してください)
NRT ルールには、スケジュールされた分析ルールと同じ機能の多くがあります。 アラート エンリッチメント機能の完全なセットを使用できます。エンティティをマップし、カスタムの詳細を表示し、アラートの詳細の動的コンテンツを構成できます。 アラートをインシデントにグループ化する方法を選択できるほか、結果を生成した後にクエリの実行を一時的に抑制できます。また、ルールから生成されたアラートやインシデントに応答して実行する自動化ルールとプレイブックを定義できます。
当面、これらのテンプレートの用途は下記のように限られていますが、テクノロジは急速に進化し、成長しています。
考慮事項
現在、NRT ルールの使用には次の制限事項が適用されます。
現時点では、顧客あたり 50 個を超えるルールは定義できません。
設計上、NRT ルールは、インジェストの遅延が 12 時間未満のログ ソースでのみ適切に機能します。
(NRT ルールの種類は リアルタイム データ インジェストを概算することになっているため、12 時間をはるかに下回っていても、大量のインジェスト遅延を伴うログ ソースで NRT ルールを使用する利点はありません。)
この種のルールの構文は徐々に進化しています。 現時点では、次の制限が引き続き有効です。
このルールの種類はほぼリアルタイムであるため、組み込みの遅延が最小 (2 分) に短縮されています。
NRT ルールでは、(TimeGenerated フィールドで表される) イベント生成時間ではなく、取り込み時間が使用されます。そのため、データ ソースの遅延と取り込みの待ち時間を安全に無視できます (上記を参照)。
クエリは複数のワークスペースで実行できるようになりました。
イベントのグループ化を限定的に構成できるようになりました。 NRT ルールでは、最大 30 個の単一イベント アラートを生成できます。 30 を超えるイベントが発生するクエリを含むルールでは、最初の 29 個に対してアラートが生成され、その後、該当するすべてのイベントをまとめた 30 個目のアラートが生成されます。
NRT ルールで定義されたクエリで複数のテーブルを参照できるようになりました。
次のステップ
このドキュメントでは、Microsoft Sentinel のほぼリアルタイム (NRT) 分析ルールのしくみを説明しました。
- NRT ルールを作成する方法について学習します。
- ほかの種類の分析ルールについてご確認ください。