照合分析を使用して脅威を検出する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft によって生成された脅威インテリジェンスを利用して、Microsoft Defender 脅威インテリジェンス分析ルールを使用した忠実さが高いアラートとインシデントを生成します。 Microsoft Sentinel のこの組み込みルールは、インジケーターを、Common Event Format (CEF) ログ、ドメインと IPv4 脅威インジケーターを含む Windows DNS イベント、syslog データなどと照合します。

前提条件

忠実さが高いアラートとインシデントを生成するには、サポートされている 1 つ以上のデータ コネクタをインストールする必要があります。 プレミアム Microsoft Defender 脅威インテリジェンス ライセンスは必要ありません。 適切なソリューションをコンテンツ ハブからインストールして、これらのデータ ソースを接続します。

• レガシ エージェント経由のCommon Event Format (CEF)
• レガシ エージェント経由の Windows DNS (プレビュー)
• レガシ エージェント経由の Syslog
• Microsoft 365 サービス (以前の Office 365)
• Azure アクティビティ ログ
• AMA 経由の Windows DNS
• ASIM ネットワーク セッション

たとえば、データ ソースによっては、次のソリューションとデータ コネクタを使用できます。

解決策	データ コネクタ
Sentinel 向け Common Event Format ソリューション	Microsoft Sentinel 用 Common Event Format コネクタ
Windows Server DNS	Microsoft Sentinel 用 DNS コネクタ
Sentinel 向け Syslog ソリューション	Microsoft Sentinel 用 Syslog コネクタ
Sentinel 向け Microsoft 365 ソリューション	Microsoft Sentinel 用 Office 365 コネクタ
Sentinel 向け Azure アクティビティ ソリューション	Microsoft Sentinel 用 Azure アクティビティ コネクタ
Windows ファイアウォール	AMA コネクタ経由の Windows ファイアウォール イベント

照合分析ルールを構成する

照合分析は、Microsoft Defender 脅威インテリジェンス分析ルールを有効にすると構成されます。

1. [構成] セクションの [分析] メニューを選択します。

2. [ルール テンプレート] タブを選択します。

3. 検索ウィンドウに「脅威インテリジェンス」と入力します。

4. Microsoft Defender 脅威インテリジェンス分析ルール テンプレートを選択します。

5. [ルールの作成] を選択します。 ルールの詳細は読み取り専用で、ルールは既定の状態で有効になっています。

6. [確認]>[作成] を選択します。

データ ソースとインジケーター

Microsoft Defender 脅威インテリジェンス分析では、次の方法で、ログとドメイン、IP、URL インジケーターが照合されます。

• Log Analytics の CommonSecurityLog テーブルに取り込まれた CEF ログが、RequestURL フィールドに入力されている場合は URL とドメイン インジケーターを照合し、DestinationIP フィールドの IPv4 インジケーターを照合します。
• SubType == "LookupQuery" が DnsEvents テーブルに取り込まれた Windows DNS ログが、Name フィールドに入力されたドメイン インジケーターと、IPAddresses フィールドの IPv4 インジケーターを照合します。
• Facility == "cron" が Syslog テーブルに取り込まれた Syslog イベントが、SyslogMessage フィールドから直接ドメインと IPv4 インジケーターを照合します。
• OfficeActivity テーブルに取り込まれた Office アクティビティ ログが、ClientIP フィールドから直接 IPv4 インジケーターを照合します。
• AzureActivity テーブルに取り込まれた Azure アクティビティ ログが、CallerIpAddress フィールドから直接 IPv4 インジケーターを照合します。
• ASimDnsActivityLogs テーブルに取り込まれた ASIM DNS ログは、DnsQuery フィールドに設定されたドメイン インジケーターと、DnsResponseName フィールドの IPv4 インジケーターを照合します。
• ASimNetworkSessionLogs テーブルに取り込まれた ASIM ネットワーク セッションは、次のフィールドの 1 つ以上に設定された IPv4 インジケーターを照合します: DstIpAddr、DstNatIpAddr、SrcNatIpAddr、SrcIpAddr、DvcIpAddr。

照合分析によって生成されたインシデントをトリアージする

Microsoft の分析で一致が検出されると、生成されたすべてのアラートはインシデントにグループ化されます。

Microsoft Defender 脅威インテリジェンス分析ルールによって生成されたインシデントをトリアージするには、次の手順を使用します。

1. Microsoft Defender 脅威インテリジェンス分析ルールを有効にした Microsoft Sentinel ワークスペースで、[インシデント] を選択し、「Microsoft Defender 脅威インテリジェンス分析」を検索します。

   検出されたすべてのインシデントがグリッドに表示されます。

2. [すべての詳細を表示] を選択して、特定のアラートなど、インシデントに関するエンティティとその他の詳細を表示します。

   次に例を示します。

   

3. アラートとインシデントに割り当てられている重大度を確認します。 インジケーターの照合方法に応じて、適切な重大度 (Informational から High まで) がアラートに割り当てられます。 たとえば、インジケーターがトラフィックを許可したファイアウォール ログと一致した場合は、重大度の高いアラートが生成されます。 同じインジケーターがトラフィックをブロックしたファイアウォール ログと一致した場合は、低または中程度のアラートが生成されます。

   アラートはその後、インジケーターの観測可能単位でグループ化されます。 たとえば、24 時間の期間に生成され、contoso.com ドメインに一致するアラートはすべて、最も高いアラート重大度に基づいて割り当てられた重大度で、1 つのインシデントにグループ化されます。

4. インジケーターの情報を確認します。 一致が検出されると、インジケーターは Log Analytics の ThreatIntelligenceIndicators テーブルに公開され、[脅威インテリジェンス] ページに表示されます。 このルールから発行されたインジケーターの場合、ソースは Microsoft Threat Intelligence Analytics として定義されます。

ThreatIntelligenceIndicators テーブルの例を次に示します。

管理インターフェイス内でインジケーターを検索する例を次に示します。

Microsoft Defender 脅威インテリジェンスからさらにコンテキストを取得する

忠実度の高いアラートやインシデントに加えて、一部の Microsoft Defender 脅威インテリジェンスのインジケーターには、Intel エクスプローラー内のリファレンス記事へのリンクが含まれています。

詳細については、Intel エクスプローラーを使用した検索とピボットを参照してください。

関連するコンテンツ

この記事では、Microsoft によって生成された脅威インテリジェンスを接続してアラートとインシデントを生成する方法について説明しました。 Microsoft Sentinel の脅威インテリジェンスの詳細については、次の記事を参照してください。

• Microsoft Sentinel で脅威インジケーターを操作する。
• Microsoft Azure Sentinel を STIX、TAXII 脅威インテリジェンス フィードに接続する。
• Microsoft Sentinel に脅威インテリジェンス プラットフォームを接続する。
• Microsoft Sentinel と容易に統合できる TIP プラットフォーム、TAXII フィード、エンリッチメントを確認する。