ウィザードから分析ルールを作成する
Contoso で疑わしいアクティビティや脅威を検索するために、カスタム分析ルールを作成できます。
カスタムのスケジュール済み分析ルールを作成する
スケジュール済みクエリ ルールの種類からカスタム ルールを作成すると、最も高いレベルのカスタマイズが可能になります。 独自の KQL コードを定義したり、アラートを実行するスケジュールを設定したり、ルールを Microsoft Azure Sentinel プレイブックと関連付けることによって自動アクションを指定したりできます。
スケジュール済みクエリ ルールを作成するには、Azure portal の [Microsoft Azure Sentinel] の下で、[分析] を選択します。 ヘッダー バーで、[+作成] を選択してから、[スケジュール済みクエリ ルール] を選択します。
Note
スケジュール済みルールは、[分析] ウィンドウの [Rules and Templates](ルールとテンプレート) の一覧でスケジュール済みルールを選択してから [ルールの作成] を詳細ウィンドウで選択して作成することもできます。
作成するスケジュール済みクエリ ルールは、次の要素で構成されます。
[全般] タブ
次の表は、[全般] ウィンドウの入力フィールドの一覧を示します。
| フィールド | 内容 |
|---|---|
| 名前 | アラートによって検出される疑わしいアクティビティの種類を説明する、わかりやすい名前を指定します。 |
| 説明 | 他のセキュリティ アナリストがルールの内容を理解するのに役立つ詳細な説明を入力します。 |
| 方針 | [方針] ドロップダウン リストを使用して、MITRE の方針に従ってルールを分類するために使用できる攻撃の種類の中から 1 つを選択します。 |
| 重大度 | [重要度] ドロップダウン リストを選択して、アラートの重要度のレベルを [高]、[中]、[低]、または [情報] のいずれかに分類します。 |
| 状態 | ルールの状態を指定します。 既定では、状態は [有効] です。多数の擬陽性が生成される場合は、[無効] を選択してルールを無効にできます。 |
[ルールのロジックを設定] タブ
[ルールのロジックを設定] タブでは、Microsoft Sentinel ワークスペースに対して実行される KQL コードを指定することにより、検出方法を定義できます。 KQL クエリによって、インシデントのトリガーと作成に使われるセキュリティ データがフィルター処理されます。
[ルール クエリ] フィールドに KQL クエリ文字列を入力すると、[Results simulation (preview)](結果シミュレーション (プレビュー)) セクションを使用してクエリの結果を確認できます。 [結果シミュレーション (プレビュー)] セクションは、クエリによって予期される結果が返されたかどうかを判断するのに役立ちます。
次のサンプル クエリでは、Azure アクティビティで異常な数のリソースが作成された場合にアラートが生成されます。
AzureActivity
| where OperationName == "MICROSOFT.COMPUTE/VIRTUALMACHINES/WRITE"
| where ActivityStatus == "Succeeded"
| make-series dcount(ResourceId) default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
ヒント
KQL 照会言語の詳細については、「Kusto 照会言語 (KQL) の概要」を参照してください。
アラート エンリッチメント (プレビュー)
アラート エンリッチメントを使用すると、クエリの結果をさらにカスタマイズできます。
エンティティ マッピング
[エンティティ マッピング] セクションで、クエリ結果から最大 5 つのエンティティを定義し、これらのエンティティを使用して詳細分析を行うことができます。 [新しいエンティティの追加] を選択して、これらのエンティティをクエリ ルールに追加します。 それらのエンティティは、[インシデント] タブで 1 つのグループとして表示されるため、視覚的な調査を実行するのに役立ちます。一部のエンティティには、ユーザー、ホスト、または IP アドレスを表す情報が含まれています。
カスタム詳細
[カスタム詳細] セクションでは、キーと値のペアを設定できます。これらがクエリ結果に表示されると、結果にイベント パラメーターが表示されます。
[アラートの詳細]
[アラートの詳細] セクションでは、アラートの各インスタンスで示すことができるパラメーターとしてフリー テキストを入力できます。これらは、そのアラートのインスタンスに割り当てられた方針と重大度も含む場合があります。
クエリのスケジュール設定
[クエリのスケジュール設定] セクションで、クエリを実行する頻度と、クエリでどれだけ履歴をさかのぼってデータを検索するかを構成できます。 重複するアラートが作成される可能性があるため、クエリの実行頻度よりも古いデータを検索しないようにすることが重要です。
アラートのしきい値
[アラートのしきい値] セクションでは、ルールに対して陽性の結果が何回返されたらアラートが生成されるかを指定できます。 次の論理演算子を使用して、適切な論理式を定義できます。
- 次の値より大きい
- 次の値より小さい
- 次の値に等しい
- 次の値と等しくない
イベントのグループ化
[イベント グループ化] セクションで、次の 2 つのオプションのいずれかを選択できます。
- [すべてのイベントを単一のアラートにグループ化する]。 これは既定のオプションです。指定したアラートのしきい値よりも多くの結果がクエリから返された場合、1 つのアラートが作成されます。
- [各イベントに対するアラートをトリガーする] 。 このオプションを使用する場合、クエリによって返されたイベントごとに一意のアラートが作成されます。
抑制
[抑制] セクションで、[Stop running the Query after the alert is generated](アラートが生成された後はクエリの実行を停止する) オプションを [オン] または [オフ] に設定できます。 [オン] を選択すると、ルールを抑制したい期間中にルールが再度トリガーされた場合、Microsoft Azure Sentinel による追加のインシデントの作成が一時停止されます。
インシデントの設定 (プレビュー)
[インシデントの設定] タブを使用してインシデントを作成します。これらはグループ化アラートにより、トリガーとタイム フレームに基づいて生成されます。
[アラート グループ化] セクションでは、複数のアラートを 1 つのインシデントにグループ化することで、そのノイズを軽減できます。 関連するアラートのグループ化を有効にする場合、次のオプションの中から選択できます。
- すべてのエンティティが一致した場合にアラートを 1 つのインシデントにグループ化する (推奨)
- このルールによってトリガーされるすべてのアラートを 1 つのインシデントにグループ化する
- 選択したエンティティが一致する場合にアラートを 1 つのインシデントにグループ化する (たとえば、ソースやターゲットの IP アドレス)。
以前にクローズされたインシデントに属する別のアラートが生成された場合、クローズされた一致するインシデントを再度開くこともできます。
[Automated response](自動化された対応) タブ
この演習では使用しません。
[ルールのロジックを設定] タブ - 演習
[自動応答] タブで、既存の自動化ルールを選ぶか、新しいものを作成します。 自動化ルールは、選んだトリガーと条件に基づいてプレイブックを実行できます。
プレイブックを作成し、インシデント作成時に自動化された活動を実行する方法の詳細については、「Microsoft Sentinel プレイブックを使用した脅威対処」モジュールを参照してください。
[確認と作成] タブ
[確認と作成] タブで、新しいルールを作成する前に、ウィザードで構成した設定を確認します。