Microsoft Sentinel によるハンティング中にデータを追跡する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

脅威検出では、通常、山のようなログ データを調べて、悪意のある動作の証拠を探す必要があります。 このプロセス中に調査担当者は、可能性のある仮説の実証と、侵害の詳細の把握の一環として、記憶し、再考し、分析する必要のあるイベントを探します。

この操作では、Microsoft Sentinel - [ログ] で実行したクエリが、関連すると思われるクエリ結果と共に保持される、Microsoft Sentinel のハンティング ブックマークが役立ちます。 また、メモやタグを追加することにより、コンテキストに関する所見を記録し、調査結果を参照することもできます。 ブックマークが設定されたデータは、自身とチームメイトが見ることができコラボレーションを簡単に行えるようにしています。

自分のカスタム ハンティング クエリを MITRE ATT&CK 手法にマッピングすることで、すべてのハンティング クエリにわたって MITRE ATT&CK 手法カバレッジのギャップを特定して対処できます。

Microsoft Sentinel Analytics でサポートされているエンティティ型と識別子の完全なセットをカスタム クエリでマッピングすることで、ブックマークを使用してハンティング中にさらに多くの種類のエンティティを調査します。 エンティティ ページインシデント調査グラフを使用して、ハンティング クエリ結果で返されるエンティティをブックマークを使用して探索します。 ブックマークがハンティング クエリの結果をキャプチャすると、クエリの MITRE ATT&CK 手法とエンティティ マッピングが自動的に継承されます。

ログのハンティング中に緊急に対処する必要があるものを検出した場合は、簡単にブックマークを作成し、インシデントに昇格するか、既存のインシデントに追加することができます。 インシデントについて詳しくは、Microsoft Sentinel でインシデントを調査する方法に関するページをご覧ください。

ブックマークに値するものが見つかったが、緊急ではない場合は、ブックマークを作成し、 [ハンティング] ウィンドウの [ブックマーク] タブで、ブックマークされたデータをいつでも再確認できます。 フィルタリングおよび検索オプションを使用して、現在の調査の特定のデータをすばやく見つけられます。

ブックマークの詳細から [調査] を選ぶと、ブックマークされたデータを視覚化できます。 これにより、対話型のエンティティ-グラフ ダイアグラムおよびタイムラインを使用して、調査結果を表示、調査、および視覚的に伝達できる調査エクスペリエンスが開始します。

または、ブックマークが設定されたデータを、Log Analytics ワークスペースの [HuntingBookmark](ハンティング ブックマーク) テーブルで直接確認できます。 次に例を示します。

ハンティング ブックマーク テーブルの表示のスクリーンショット。

テーブルでブックマークを表示すると、ブックマークが設定されたデータをフィルター処理、要約、および他のデータ ソースと結合でき、裏付けとなる証拠を簡単に見つけられます。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。

ブックマークを追加する

ブックマークを作成して、クエリ、結果、観察値、および検出結果を保持します。

  1. Azure portal の Microsoft Sentinel では、[脅威の管理] で、[ハンティング] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威の管理]>[ハンティング] を選択します。

  2. いずれかのハンティング クエリを選択します。

  3. ハンティング クエリの詳細で、[クエリの実行] を選択します。

  4. [View query results](クエリ結果の表示) を選択します。 次に例を示します。

    Microsoft Sentinel ハンティングのクエリ結果を表示するスクリーンショット。

    このアクションにより、[ログ] ウィンドウにクエリ結果が表示されます。

  5. ログ クエリ結果の一覧でチェック ボックスを使用して、興味のある情報が含まれている 1 つまたは複数の行を選択します。

  6. [ブックマークの追加] を選択します。

    ハンティング ブックマークをクエリに追加するスクリーンショット。

  7. 右側の [ブックマークの追加] ウィンドウで、必要に応じてブックマーク名を更新し、タグを追加し、項目に関して興味深かったことを識別するために役立つメモを追加します。

  8. ブックマークは、必要に応じて MITRE ATT&CK 手法またはサブ手法にマップできます。 MITRE ATT&CK のマッピングは、ハンティング クエリ内のマップされた値から継承されますが、手動で作成することもできます。 [ブックマークの追加] ウィンドウの [戦術と手法] セクションのドロップダウン メニューから、目的の手法に関連付けられている MITRE ATT&CK 戦術を選択します。 メニューが展開され、すべての MITRE ATT&CK 手法が表示されます。このメニューでは複数の手法とサブ手法を選択できます。

    Mitre の攻撃の戦術と手法をブックマークにマップする方法のスクリーンショット。

  9. 次に、ブックマークされたクエリ結果からエンティティの拡張セットを抽出し、さらに調査できます。 [エンティティ マッピング] セクションで、ドロップダウンを使用してエンティティの種類と識別子を選択します。 次に、対応する識別子を含むクエリ結果の列をマップします。 次に例を示します。

    ハンティング ブックマークのエンティティ型をマップするスクリーンショット。

    調査グラフでブックマークを表示するには、少なくとも 1 つのエンティティをマップする必要があります。 作成したアカウント、ホスト、IP、URL エンティティ型へのエンティティ マッピングがサポートされ、下位互換性が保持されます。

  10. [保存] を選択して変更をコミットし、ブックマークを追加します。 ブックマークが設定されたすべてのデータは他の調査担当者と共有され、共同の調査エクスペリエンスに向けた最初の一歩となります。

このウィンドウが Microsoft Sentinel から開くたびに、ログクエリの結果にブックマークが設定されます。 たとえば、ナビゲーション バーから [全般]>[ログ] を選択したり、調査グラフでイベント リンクを選択したり、インシデントの完全な詳細からアラート ID を選択したりする場合です。 Azure Monitor から直接など、他の場所から [ログ] ウィンドウを開く場合、ブックマークを作成することはできません。

ブックマークを表示および更新する

[ブックマーク] タブからブックマークを見つけて更新します。

  1. Azure portal の Microsoft Sentinel では、[脅威の管理] で、[ハンティング] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威の管理]>[ハンティング] を選択します。

  2. ブックマークの一覧を表示するには、[ブックマーク] タブを選択します。

  3. 特定のブックマーク (複数可) を検索またはフィルター処理して見つけます。

  4. 個々のブックマークを選択すると、右側のウィンドウにブックマークの詳細が表示されます。

  5. 必要に応じて変更を加えます。 変更内容は自動的に保存されます。

調査グラフでのブックマークの探索

対話型のエンティティ-グラフ ダイアグラムおよびタイムラインを使用して、検出結果を表示、調査、および視覚的に伝達できる調査エクスペリエンスが開始することで、ブックマークされたデータを視覚化します。

  1. [ブックマーク] タブで、調査するブックマーク (複数可) を選択します。

  2. ブックマークの詳細で、少なくとも 1 つのエンティティが確実にマップされているようにします。

  3. 調査グラフのブックマークを表示するには、 [調査] を選びます。

調査グラフを使用する手順については、「調査グラフを使用して詳細を確認する」を参照してください。

新規または既存のインシデントにブックマークを追加する

[ハンティング] ページの [ブックマーク] タブからインシデントにブックマークを追加します。

  1. [ブックマーク] タブで、インシデントに追加するブックマーク (複数可) を選択します。

  2. コマンド バーから [インシデント アクション] を選択します。

    インシデントにブックマークを追加するスクリーンショット。

  3. 必要に応じて、 [新しいインシデントを作成する] または [既存のインシデントに追加] のどちらかを選択します。 その後、以下を実行します。

    • 新しいインシデントの場合: 必要に応じて、インシデントの詳細を更新し、 [作成] を選択します。
    • 既存のインシデントにブックマークを追加する場合: インシデントを 1 つ選択し、 [追加] を選択します。

コマンド バーの [インシデント アクション] オプションの代替手段として、1 つまたは複数のブックマークのコンテキスト メニュー ( [...] ) を使用して、 [新しいインシデントを作成する][既存のインシデントに追加] 、および [インシデントから削除する] オプションを選択できます。

インシデント内のブックマークを表示するには、 [Microsoft Sentinel][脅威の管理][インシデント] の順に移動し、ブックマークが設定されたインシデントを選択します。 [View full details](完全な詳細の表示) を選択し、[ブックマーク] タブを選択します。

ログでブックマークが設定されたデータを表示する

ブックマークされたクエリ、結果、またはその履歴を表示します。

  1. [ハンティング]>[ブックマーク] タブからブックマークを選択します。

  2. 詳細ウィンドウに表示されるリンクを選択します。

    • [ソース クエリの表示] では、[ログ] ウィンドウにソース クエリが表示されます。

    • [View bookmark log](ブックマーク ログの表示) では、更新を行ったユーザー、更新された値、更新が行われた時刻など、すべてのブックマーク メタデータが表示されます。

  3. [ハンティング]>[ブックマーク] タブのコマンド バーで [Bookmark Logs]\(ブックマーク ログ\) を選択して、すべてのブックマークの生のブックマーク データを表示します。

    ブックマーク ログ コマンドのスクリーンショット。

このビューには、メタデータが関連付けられているすべてのブックマークが表示されます。 Kusto クエリ言語 (KQL) クエリを使用して、検索している特定のブックマークの最新版に絞り込むことができます。

ブックマークの作成時から、それが [ブックマーク] タブに表示されるまでの間に、大幅な遅延 (分単位) が発生することがあります。

ブックマークを削除する

ブックマークを削除すると、[ブックマーク] タブの一覧からブックマークが除かれます。Log Analytics ワークスペースの [HuntingBookmark] テーブルには、以前のブックマーク エントリが含まれたままですが、最新のエントリでは [SoftDelete] の値が true に変更されるため、古いブックマークを簡単に除外できます。 ブックマークを削除しても、ほかのブックマークやアラートに関連付けられている調査エクスペリエンスからはどのエンティティも削除されません。

ブックマークを削除するには、次の手順を実行します。

  1. [ハンティング]>[ブックマーク] タブで、削除するブックマーク (複数可) を選択します。

  2. 右クリックし、選択したブックマークを削除するオプションを選択します。

関連するコンテンツ

この記事では、Microsoft Sentinel でブックマークを使用して検出調査を実行する方法を学習しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。