次の方法で共有


Microsoft Sentinel での脅威検出

組織全体からデータを収集するように Microsoft Sentinel を設定した後は、環境に対するセキュリティ上の脅威を検出するために、そのデータすべてを詳しく調べる作業を絶えず行う必要があります。 このタスクを達成するために、Microsoft Sentinel では定期的に実行される脅威検出ルールが用意されており、これで収集済みデータに対してクエリを実行して分析することによって脅威を検出できます。 これらのルールは、いくつかの異なるフレーバーに分かれていますが、分析ルールと総称されます。

これらのルールで探しているものが見つかったときは、アラートが生成されます。 アラートの内容は検出されたイベントに関する情報であり、たとえば関与しているエンティティ (ユーザー、デバイス、アドレス、その他の項目) です。 アラートは集計されて相互に関連付けられ、インシデントつまりケース ファイルとしてまとめられます。ユーザーはこれを割り当てて調査することによって、検出された脅威の全容を知り、それに応じて対応することができます。 また、事前に定義された自動応答をルール独自の構成に組み込むこともできます。

これらのルールは、組み込みの分析ルール ウィザードを使用して一から作成できます。 しかし、Microsoft ではさまざまな分析ルール テンプレートを利用することを強くお勧めします。これらのテンプレートは、コンテンツ ハブで提供される Microsoft Sentinel 向けの多数のソリューションを通じて利用できます。 これらのテンプレートは事前構築されたルール プロトタイプであり、セキュリティのエキスパートとアナリストのチームが既知の脅威、一般的な攻撃ベクトル、疑わしい活動のエスカレーション チェーンに関する知識に基づいて設計したものです。 これらのテンプレートからルールをアクティブにすると、環境全体を自動的に検索して、疑わしく見える活動を見つけることができます。 テンプレートの多くはカスタマイズ可能であるため、ニーズに応じて特定の種類のイベントを検索して見つけることや、除外することができます。

この記事では、Microsoft Sentinel によってどのように脅威が検出され、それに続いて何が行われるのかを説明します。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Sentinel は、Microsoft Defender XDR または E5 のライセンスがなくても Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

分析ルールの種類

ユーザーが使用できる分析ルールとテンプレートは、Microsoft Sentinel の [構成] メニューの [分析] ページに表示されます。 現在アクティブなルールがタブの 1 つに表示され、新しいルールを作成するためのテンプレートが別のタブに表示されます。3 番目のタブには異常が表示されますが、この特別なルールの種類については、この記事で後述します。

現在表示されているもの以外のルール テンプレートを利用するには、Microsoft Sentinel のコンテンツ ハブに移動して、関連する製品ソリューションまたはスタンドアロン コンテンツをインストールしてください。 分析ルール テンプレートは、コンテンツ ハブ内のほぼすべての製品ソリューションに用意されています。

Microsoft Sentinel では、次の種類の分析ルールとルール テンプレートが用意されています。

上記のルールの種類以外にも、次に示す特化型のテンプレートの種類があり、それぞれルールのインスタンスを 1 つ作成できますが、構成オプションは制限されています。

スケジュールされたルール

分析ルールの種類としては最も一般的であるスケジュールされたルールは、Kusto クエリに基づいています。このクエリは一定の間隔で実行するように構成されており、定義済みの "ルックバック" 期間の生データを調べます。 クエリによって捕捉された結果の数がルール内で構成されたしきい値を超えている場合は、ルールによってアラートが生成されます。

スケジュールされたルール テンプレートの中のクエリは、Microsoft またはそのテンプレートを提供するソリューションのベンダーの、セキュリティとデータ サイエンスのエキスパートによって書かれています。 クエリでは、複雑な統計操作をターゲット データに対して実行できるので、一群のイベント内のベースラインと外れ値が明らかになります。

クエリのロジックは、ルール構成の中に表示されます。 クエリのロジックと、スケジューリングとルックバックの設定をテンプレートで定義されているとおりに使用することも、カスタマイズして新しいルールを作成することもできます。 あるいは、まったく新しいルールを最初から作成することもできます。

Microsoft Sentinel でのスケジュールされた分析ルールについてさらに学ぶには、こちらを参照してください。

準リアルタイム(NRT)ルール

NRT ルールは、スケジュールされたルールの限定的なサブセットです。 可能な限り最新の情報を提供することを目的として、1 分間隔で実行するように設計されています。

ほとんどの場合、スケジュールされたルールと同様に機能し、いくつかの制限があります。

Microsoft Sentinel でのほぼリアルタイム (NRT) の分析ルールを使用したすばやい脅威検出についてさらに学ぶには、こちらを参照してください。

異常ルール

異常ルールでは機械学習が使用され、ベースラインを決定するために特定の種類の行動が一定期間観測されます。 各ルールには、分析される動作に適した固有のパラメーターとしきい値があります。 この観測期間が終了すると、ベースラインが設定されます。 ベースラインで設定された境界を超える行動がルールによって観測されると、異常であることを示すフラグが設定されます。

難しい設定の要らないルールの構成は変更も微調整もできませんが、ルールを複製してから、複製したものを変更および微調整することはできます。 このような場合は、複製をフライティング モードで実行し、元のルールを運用モードで同時に実行します。 その後、結果を比較して、微調整が期待どおりであれば、その複製を運用に切り替えます。

異常があるだけでは、悪意のある行動を示しているとは限らず、疑わしい行動でさえないこともあります。 そのため、異常ルール独自のアラートが生成されることはありません。 代わりに、分析の結果つまり検出された異常が Anomalies テーブルに記録されます。 このテーブルに対してクエリを実行すると、より良い検出、調査、脅威ハンティングを行うためのコンテキストが得られます。

詳細については、「カスタマイズ可能な異常を使用して Microsoft Sentinel で脅威を検出する」および「Microsoft Sentinel で異常検出分析ルールを使用する」をご覧ください。

Microsoft セキュリティ規則

スケジュールされたルールと NRT ルールでは、ルールによって生成されたアラートに対して自動的にインシデントが作成されますが、外部サービスで生成されて Microsoft Sentinel に取り込まれたアラートについては、独自のインシデントが作成されることはありません。 Microsoft セキュリティ規則を有効にすると、他の Microsoft セキュリティ ソリューションで生成されたアラートから自動的に Microsoft Sentinel インシデントがリアルタイムで作成されます。 Microsoft セキュリティ テンプレートを使用して、類似のロジックを持つ新しい規則を作成できます。

重要

Microsoft セキュリティ規則は、次の場合は使用できません

これらのシナリオでは、代わりに Microsoft Defender XDR によってインシデントが作成されます。

該当する規則を事前に定義していた場合は、自動的に無効になります。

Microsoft セキュリティ インシデント作成ルールの詳細については、「Microsoft セキュリティ アラートからインシデントを自動的に作成する」を参照してください。

脅威インテリジェンス

Microsoft によって生成された脅威インテリジェンスを利用して、Microsoft 脅威インテリジェンス分析ルールを使用した忠実度の高いアラートとインシデントを生成します。 この固有のルールはカスタマイズできませんが、有効にすると、Common Event Format (CEF) ログ、Syslog データ、または Windows DNS イベントと、Microsoft 脅威インテリジェンスのドメイン、IP、URL の脅威インジケーターが自動的に照合されます。 特定のインジケーターには、MDTI (Microsoft Defender 脅威インテリジェンス) を介して追加のコンテキスト情報が含まれます。

このルールを有効にする方法の詳細については、「照合分析を使用して脅威を検出する」を参照してください。
MDTI の詳細については、「Microsoft Defender 脅威インテリジェンスとは」を参照してください。

高度なマルチステージ攻撃の検出 (Fusion)

Microsoft Sentinel では、そのスケーラブルな機械学習アルゴリズムと共に Fusion 相関関係エンジンが使用されています。その目的は、複数の製品からの多数の低忠実度のアラートとイベントを相互に関連付けて高忠実度の、アクションにつながるインシデントとしてまとめることによって、高度なマルチステージ攻撃を検出することです。 高度なマルチステージ攻撃の検出ルールは、既定で有効になっています。 ロジックは隠されており、したがってカスタマイズ不可能であることから、このテンプレートを使用するルールは 1 つしか存在しません。

また、Fusion エンジンでは、スケジュールが設定された分析ルールによって生成されたアラートを他のシステムからのアラートと関連付け、結果として忠実度の高いインシデントを生成することもできます。

重要

高度なマルチステージ攻撃の検出というルールの種類は、次の場合は使用できません

これらのシナリオでは、代わりに Microsoft Defender XDR によってインシデントが作成されます。

また、Fusion 検出テンプレートの一部は現在プレビューの段階にあります (どのテンプレートかについては、「Microsoft Sentinel での高度なマルチステージ攻撃の検出」を参照してください)。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

機械学習による (ML) 行動分析

ML による行動分析ルールを使用すると、Microsoft 独自の機械学習アルゴリズムを利用して高忠実度のアラートとインシデントを生成できます。 この独自のルール (現在はプレビュー段階) はカスタマイズ不可能ですが、有効にすると、特定の異常な SSH および RDP ログイン行動を IP と位置情報およびユーザー履歴情報に基づいて検出できます。

分析ルールのアクセス許可

分析ルールを作成すると、アクセス許可トークンがルールに適用され、一緒に保存されます。 このトークンにより、ルールによってクエリが実行されたデータを含むワークスペースにルールがアクセスできるようになります。また、ルールの作成者がこのワークスペースへのアクセスを失った場合でも、このアクセスは維持されます。

ただし、このアクセスには例外が 1 つあります。MSSP の場合のように、他のサブスクリプションまたはテナントのワークスペースにアクセスするためのルールが作成される場合、Microsoft Sentinel は顧客データへの無認可のアクセスを防ぐために追加のセキュリティ対策を講じます。 これらの種類のルールでは、ルールを作成したユーザーの資格情報が、個別のアクセス トークンではなくルールに適用されるため、ユーザーが他のサブスクリプションまたはテナントにアクセスできなくなった場合、ルールは機能しなくなります。

Microsoft Sentinel をクロス サブスクリプションまたはクロス テナントのシナリオで運用する場合、アナリストまたはエンジニアの誰かが特定のワークスペースへのアクセスを失うと、そのユーザーにより作成されたすべてのルールが機能しなくなるので注意してください。 この状況では、"リソースへのアクセスが不十分" に関する正常性の監視メッセージが表示され、一定の回数を失敗した後に、ルールが自動的に無効になります。

ルールを ARM テンプレートにエクスポートする

ルールをコードとして管理およびデプロイする場合は、簡単に Azure Resource Manager (ARM) テンプレートにルールをエクスポートできます。 また、ユーザー インターフェイスでルールを表示および編集するために、テンプレート ファイルからルールをインポートすることもできます。

次のステップ