分析ルールの種類
Microsoft Azure Sentinel の分析ルールを使用すると、Microsoft Azure Sentinel に接続されているソースからのデータに基づいて通知とアラートを構成できます。 これらのアラートは、脅威が発生した場合に Contoso の SOC チームが確実に把握するのに役立ち、その後チームが適切に対応して脅威が会社の資産に到達するのを防ぐことができます。
分析ルールの種類
Microsoft Azure Sentinel の分析に用意されている組み込みの分析ルールを使用して、次の種類を含む潜在的な脅威を検索できます。
異常
Fusion
Microsoft セキュリティ
機械学習による (ML) 行動分析
スケジュールされたアラート
NRT (準リアルタイム) ルール
[脅威インテリジェンス]
![[分析] ホーム ページのルール テンプレートのスクリーンショット。](../../wwl-sci/analyze-data-in-sentinel/media/03-rule-templates.png)
異常
異常アラートは警報であり、異常な動作を知らせます。
Fusion
Microsoft Sentinel では、高度なマルチステージ攻撃を検出するために、スケーラブルな機械学習アルゴリズムを備えた Fusion 相関エンジンが使用されます。 このエンジンにより、複数の製品における多数の忠実度の低いアラートとイベントが、忠実度の高い実用的なインシデントに関連付けられます。 Fusion は既定で有効になっています。 ロジックは非表示であるため、カスタマイズすることはできません。このテンプレートを使用して作成できる規則は 1 つだけです。
Fusion エンジンでは、スケジュールされた分析ルールからのアラートを他のシステムからのアラートと関連付け、結果として忠実度の高いインシデントを生成することもできます。
Fusion 検出は、Microsoft Azure Sentinel で既定で有効になっています。 Microsoft により、脅威検出のための Fusion 検出シナリオが絶えず更新されています。 この記事の執筆時点では、異常と Fusion 検出のために、次のデータ コネクタを構成する必要があります。
すぐに使える異常検出
Microsoft 製品からのアラート
Microsoft Entra ID Protection
Microsoft Defender for Cloud
Microsoft Defender for IoT
- Microsoft Defender XDR
Microsoft Defender for Cloud Apps
Microsoft Defender for Endpoint
Microsoft Defender for Identity
Microsoft Defender for Office 365
スケジュール化された分析ルール (組み込みおよびセキュリティ アナリストが作成したもの) からのアラート。 Fusion で使用するには、分析ルールにキルチェーン (戦術) とエンティティ マッピング情報が含まれている必要があります
Fusion アラートによって特定される一般的な攻撃検出シナリオには、次のようなものがあります。
データ流出。 Microsoft Entra アカウントへの疑わしいサインインの後に検出された疑わしいアクティビティ (Microsoft 365 メールボックスにおける疑わしい転送ルールなど) は、侵害されたユーザー アカウントを示唆している可能性があります。
データの破棄。 Microsoft Entra アカウントへの疑わしいサインインの後に異常な数の一意のファイルが削除された場合は、データを破棄するために侵害されたユーザー アカウントが使用されたことを示唆している可能性があります。
サービス拒否。 Microsoft Entra アカウントへの疑わしいサインインの後に多数の Azure 仮想マシン (VM) が削除された場合は、組織の資産を破壊するために使用できる侵害されたユーザー アカウントの存在を示唆している可能性があります。
横移動。 Microsoft Entra アカウントへの疑わしいサインインの後に多数の偽装アクションが発生した場合は、悪意のある目的のために使用された侵害されたユーザー アカウントを示唆している可能性があります。
ランサムウェア。 Microsoft Entra アカウントへの疑わしいサインインの後、データの暗号化に使用される異常なユーザー行動によって、ランサムウェア実行アラートがトリガーされることがあります。
Note
Microsoft Azure Sentinel の Fusion テクノロジの詳細については、「 Sentinel での高度なマルチステージ攻撃の検出」を参照してください
Microsoft セキュリティ
Microsoft Azure Sentinel に接続された Microsoft セキュリティ ソリューションを構成して、接続済みサービスで生成されたすべてのアラートから自動的にインシデントを作成することができます。
たとえば、危険度の高い脅威として分類されているユーザーが、サインインして会社のリソースにアクセスしようとした場合に、Contoso に対してアラートが通知されるように構成できます。
次のセキュリティ ソリューションを構成し、それらのアラートを Microsoft Azure Sentinel に送信することができます。
Microsoft Defender for Cloud Apps
Microsoft Defender for Server
Microsoft Defender for IoT
Microsoft Defender for Identity
Microsoft Defender for Office 365
Microsoft Entra ID Protection
Microsoft Defender for Endpoint
Note
Microsoft では、セキュリティ情報イベント管理 (SIEM) と拡張された検出および応答 (XDR) の用語が、セキュリティ製品全体で統一されています。
これらのアラートは、重要度や、アラート名に含まれる特定のテキストによってフィルター処理することができます。
ML による行動分析
Microsoft Azure Sentinel の分析には、機械学習による行動分析ルールが組み込まれています。 これらの組み込みのルールを編集したり、ルールの設定を確認したりすることはできません。 これらのルールでは、疑わしいアクティビティを検出するために Microsoft の機械学習アルゴリズムが使用されます。 機械学習アルゴリズムによって、いくつかの忠実性の低いインシデントが忠実性の高いセキュリティ インシデントに関連付けられます。 この相関関係により、さまざまな製品からの多数のアラートを手動で分析して関連付けた場合にかかる時間を、何時間も節約できます。 分析ルールで使用される機械学習アルゴリズムによって、重要なデータを迅速に取り込んで接続することで、アラートに関するノイズも軽減できます。
たとえば、機械学習による行動分析ルールを使用することで、異常な Secure Shell プロトコル (SSH) のサインインやリモート デスクトップ プロトコル (RDP) のサインイン アクティビティを検出できます。
スケジュールされたアラート
スケジュールされたアラート分析ルールは、最高レベルのカスタマイズを提供します。 Kusto クエリ言語 (KQL) を使用して独自の式を定義し、セキュリティ イベントをフィルター処理したり、ルールを実行するスケジュールを設定したりできます。