Microsoft Sentinel で異常検出分析ルールを使用する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel のカスタマイズ可能な異常機能により、イミディエイト値にすぐに使用できる組み込みの異常テンプレートが提供されます。 これらの異常テンプレートは、数千のデータ ソースと数百万のイベントを使用して堅牢になるように開発されましたが、この機能を使用すると、ユーザー インターフェイス内で異常のしきい値とパラメーターを簡単に変更することもできます。 異常ルールは既定で有効またはアクティブ化されるため、すぐに異常が生成されます。 これらの異常は、[ログ] セクションの Anomalies テーブルで見つけてクエリを実行できます。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Sentinel は、Microsoft Defender XDR または E5 のライセンスがなくても Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

カスタマイズ可能な異常ルール テンプレートを表示する

[分析] ページの [異常] タブで、グリッドに表示される異常ルールを見つけることができます。

1. Azure portal で Microsoft Sentinel を使用している場合は、Microsoft Sentinel ナビゲーション メニューから [分析] を選びます。

   Microsoft Defender ポータルのユーザーの場合、Microsoft Defender ナビゲーション メニューから [Microsoft Sentinel] > [構成] > [分析] の順に選択します。

2. [分析] ページで [異常] タブを選びます。

3. 次の条件の 1 つ以上でリストをフィルター処理するには、[フィルターの追加] を選び、それに応じて選択します。

   • [状態] - ルールが有効になっているか、無効になっているかを示します。

   • [戦術]: 異常の対象となる MITRE ATT&CK フレームワークの戦術です。

   • [技法]: 異常の対象となる MITRE ATT&CK フレームワークの技法です。

   • [データ ソース] - 異常を定義するために取り込んで分析する必要があるログの種類。

4. ルールを選び、詳細ウィンドウにに次の情報を表示します。

   • [説明] : 異常がどのように機能するか、および必要なデータについて説明します。

   • 戦術と手法は、異常の対象となる MITRE ATT&CK フレームワークの戦術と手法です。

   • [パラメーター] : 異常に対して構成可能な属性です。

   • [しきい値] : イベントがどの程度異常になったら異常を作成するかを示す構成可能な値です。

   • [ルールの頻度] : 異常を検出するログ処理ジョブ間の時間です。

   • [ルールの状態] には、有効にしたときに、ルールが 運用 または フライティング (ステージング) のどちらのモードで実行されるかが示されます。

   • [Anomaly version](異常バージョン) : ルールによって使用されるテンプレートのバージョンを示します。 既にアクティブになっているルールで使用されているバージョンを変更する場合は、ルールを再作成する必要があります。

Microsoft Sentinel に標準で付属しているルールは、編集または削除できません。 ルールをカスタマイズするには、まずルールの複製を作成してから、その複製をカスタマイズする必要があります。 完全な手順はこちらをご覧ください。

注意

ルールを編集できないのに、なぜ [編集] ボタンがあるのですか?

すぐに使用できる異常ルールの構成を変更することはできませんが、次の 2 つの操作を行うことができます。

1. ルールの状態を運用とフライティングの間で切り替えることができます。

2. カスタマイズ可能な異常に関するエクスペリエンスについて、フィードバックを Microsoft に送信できます。

異常の質を評価する

過去 24 時間でルールによって作成された異常のサンプルを確認することで、異常ルールのパフォーマンスを確認できます。

1. Azure portal で Microsoft Sentinel を使用している場合は、Microsoft Sentinel ナビゲーション メニューから [分析] を選びます。

   Microsoft Defender ポータルのユーザーの場合、Microsoft Defender ナビゲーション メニューから [Microsoft Sentinel] > [構成] > [分析] の順に選択します。

2. [分析] ページで [異常] タブを選びます。

3. 評価するルールを選び、その ID を詳細ウィンドウの上部から右側にコピーします。

4. Microsoft Sentinel のナビゲーション メニューから [ログ] を選択します。

5. クエリ ギャラリーが上部にポップアップ表示された場合は、閉じます。

6. [ログ] ページの左側にあるウィンドウで [テーブル] タブを選択します。

7. [時間範囲] フィルターを [過去 24 時間] に設定します。

8. 下の Kusto クエリをコピーし、クエリ ウィンドウに ("クエリをこちらに入力するか..." と表示されているところに) 貼り付けます。

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   上記でコピーしたルール ID を、引用符の間の <RuleId> の場所に貼り付けます。

9. [実行] を選択します。

結果が複数ある場合は、異常の質の評価を開始できます。 結果が得られない場合は、時間範囲を広げてみてください。

各異常の結果を展開してから、 [AnomalyReasons] フィールドを展開します。 これにより、異常が発生した理由が示されます。

異常の "妥当性" または "有用性" は、お使いの環境の条件によって異なる場合がありますが、異常ルールによってあまりにも多くの異常が生成される理由として一般的なのは、しきい値が低すぎることです。

異常ルールを調整する

異常ルールは、最大限の効果がすぐに得られるように設計されていますが、すべての状況は一意であり、ときには異常ルールを調整する必要があります。

元のアクティブなルールは編集できないので、最初にアクティブな異常ルールを複製してから、コピーをカスタマイズする必要があります。

元の異常ルールは、無効にするか削除するまで実行され続けます。

これは仕様によるもので、元の構成と新しいものによって生成された結果を比較する機会を提供するためです。 重複するルールは既定で無効になっています。 特定の異常ルールのカスタマイズされたコピーを 1 つだけ作成できます。 2 つ目のコピーを作成しようとすると失敗します。

1. 異常ルールの構成を変更するには、[異常] タブのリストからルールを選びます。

2. ルールの行の任意の場所を右クリックするか、行の末尾にある省略記号 (...) を左クリックし、コンテキスト メニューから [複製] を選びます。

   次の特性を持つ新しいルールがリストに表示されます。

   • ルール名は元のルールと同じになり、末尾に "- Customized" が追加されます。
   • ルールの状態は [無効] になります。
   • FLGT バッジが行の先頭に表示され、ルールがフライティング モードであることを示します。

3. このルールをカスタマイズするには、ルールを選び、詳細ウィンドウまたはルールのコンテキスト メニューから [編集] を選びます。

4. 分析ルール ウィザードでこのルールが開きます。 ここで、ルールのパラメーターとそのしきい値を変更できます。 変更できるパラメーターは、異常の種類とアルゴリズムによって異なります。

   変更の結果は、 [結果のプレビュー] ウィンドウでプレビューできます。 結果のプレビューで [異常 ID] を選択すると、ML モデルによってそれが異常と識別される理由が表示されます。

5. カスタマイズしたルールを有効にして結果を生成します。 一部の変更ではルールの再実行が必要になる場合があるため、それが完了するまで待機してから [ログ] ページに戻って結果を確認する必要があります。 カスタマイズされた異常ルールは、既定で フライティング (テスト) モードで実行されます。 既定では、元のルールは引き続き実稼働モードで実行されます。

6. 結果を比較するには、[ログ] の Anomalies テーブルに戻って以前と同じように新しいルールを評価します。代わりに次のクエリのみを使用して、元のルールと重複するルールによって生成された異常を探します。

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   元のルールからコピーしたルール ID を、引用符の間の <RuleId> の場所に貼り付けます。 元のルールと重複ルールの AnomalyTemplateId の値は、どちらも元のルールの RuleId の値と同じです。

カスタマイズしたルールの結果に問題がなければ、[異常] タブに戻ってカスタマイズしたルールをクリックし、[編集] ボタンを選び、[全般] タブで [フライティング] から [運用] に切り替えます。 実稼働では同じルールの 2 つのバージョンを同時に持つことはできないため、元のルールは自動的に [フライティング] に変更されます。

次のステップ

このドキュメントでは、Microsoft Sentinel でカスタマイズ可能な異常検出分析ルールを使用する方法を学習しました。

• カスタマイズ可能な異常に関する背景情報をさらに取得します。
• Microsoft Sentinel で使用可能な異常の種類を表示します。
• その他の分析ルールの種類を確認します。