Microsoft Sentinel でエンティティ ページを使用してエンティティを調査する
インシデント調査でユーザー アカウント、ホスト名/IP アドレス、または Azure リソースに遭遇した場合は、詳細を知りたいと思うことがあります。 たとえば、アクティビティ履歴、それが他のアラートやインシデントに表示されているかどうか、それが予期しないことまたは特性ではないことを行ったかどうかなどを知ることができます。 要するに、これらのエンティティが表す脅威の種類を特定し、それに応じて調査を実施するのに役立つ情報が必要です。
エンティティ ページ
このような場合、エンティティを選択し (クリック可能なリンクとして表示されます)、エンティティ ページ (そのエンティティに関する有用な情報が多く含まれるデータシート) に移動できます。 Microsoft Sentinel エンティティ動作ページでエンティティを直接検索することで、エンティティ ページにアクセスすることもできます。 エンティティ ページで見つけることができる情報の種類には、そのエンティティについての基本的な事実、このエンティティに関連した注目すべきイベントのタイムライン、そのエンティティの行動に関する分析情報が含まれます。
具体的には、エンティティ ページは次の 3 つの部分で構成されます。
左側のパネルには、Microsoft Entra ID、Azure Monitor、Azure Activity、Azure Resource Manager、Microsoft Defender for Cloud、CEF/Syslog、Microsoft 365 Defender (およびそのすべてのコンポーネント) などのデータ ソースから収集された、そのエンティティの識別情報が含まれます。
中央のパネルには、そのエンティティに関連した注目すべきイベント (アラート、ブックマーク、異常、アクティビティなど) のグラフとテキストの両方のタイムラインが表示されます。 アクティビティは、Log Analytics からの注目すべきイベントの集計です。 これらのアクティビティを検出するクエリは、Microsoft のセキュリティリ調査チームによって開発されており、独自のカスタムクエリを追加して、任意のアクティビティを検出できるようになりました。
右側のパネルには、エンティティに関する行動分析情報が表示されます。 これらの分析情報は、Microsoft セキュリティ調査チームによって継続的に開発されています。 これらはさまざまなデータ ソースに基づいており、エンティティとその観察されたアクティビティのコンテキストを提供するため、異常な動作とセキュリティの脅威をすばやく特定するのに役立ちます。
2023 年 11 月の時点で、次世代の分析情報がエンリッチメント ウィジェットの形式で、プレビューとして利用可能になりつつあります。 これらの新しい分析情報は、外部ソースからのデータを統合してリアルタイムで更新を取得し、既存の分析情報と並べて表示できます。 これらの新しいウィジェットを利用するには、ウィジェットエクスペリエンス を有効にする必要があります。
新しい調査エクスペリエンスを使用してインシデントを調査している場合は、インシデントの詳細ページのすぐ内側に、パネル化されたバージョンのエンティティ ページが表示されます。 特定のインシデント内のすべてのエンティティの一覧があり、エンティティを選択すると、3 つの "カード" (情報、タイムライン、分析情報) が表示されたサイド パネルが開き、インシデント内のアラートに対応する特定の期間内に、上記の同じ情報がすべて表示されます。
タイムライン
タイムラインは、Microsoft Sentinel の行動分析に対するエンティティ ページの主要な部分です。 ここには、エンティティ関連のイベントに関する項目が表示されるため、特定の期間内のエンティティのアクティビティを理解するのに役立ちます。
事前に設定されたいくつかのオプション ( [過去 24 時間] など) の中から [時間範囲] を選択するか、またはそれをカスタム定義の期間に設定できます。 さらに、タイムライン内の情報を特定の種類のイベントまたはアラートに制限するフィルターを設定できます。
タイムラインには、次の種類の項目が含まれています。
アラート - そのエンティティが [マップされたエンティティ] として定義されているすべてのアラート。 組織で分析ルールを使用したカスタム アラートが作成されている場合は、ルールのエンティティ マッピングが正しく実行されていることを確認する必要がある点に注意してください。
ブックマーク - ページにその特定のエンティティが表示されているすべてのブックマーク。
異常 - さまざまなデータ入力にわたる各エンティティに対して作成された動的ベースラインに基づき、また独自の履歴アクティビティ、ピアのアクティビティ、および組織全体のアクティビティに対する UEBA 検出。
アクティビティ - そのエンティティに関連した注目すべきイベントの集計。 さまざまなアクティビティが自動的に収集され、任意のアクティビティを追加することで、このセクションをカスタマイズできるようになりました。
エンティティ分析情報
エンティティ分析情報は、アナリストがより効率的かつ効果的に調査できるようにするために Microsoft のセキュリティ研究者によって定義されたクエリです。 この分析情報はエンティティ ページの一部として表示され、ホストとユーザーに関する重要なセキュリティ情報を表形式データとグラフの両方の形式で提供します。 ここに情報が表示されるため、Log Analytics に迂回する必要はありません。 この分析情報には、サインイン、グループの追加、異常なイベントなどに関連したデータや、異常な行動を検出するための高度な ML アルゴリズムが含まれています。
この分析情報は、次のデータ ソースに基づいています。
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor Agent)
- CommonSecurityLog (Microsoft Sentinel)
エンティティ ページを使用する方法
エンティティ ページは、複数の使用シナリオの一部になるように設計されており、インシデント管理、調査グラフ、ブックマークから、または Microsoft Sentinel のメイン メニューの [エンティティの行動] の下のエンティティ検索ページから直接アクセスできます。
エンティティ ページの情報は、「Microsoft Sentinel UEBA リファレンス」で詳細に説明されているように、BehaviorAnalytics テーブルに格納されます。
サポートされているエンティティ ページ
Microsoft Sentinel では現在、次のエンティティ ページが提供されています。
ユーザー アカウント
Host
IP アドレス (プレビュー)
注意
IP アドレス エンティティ ページ (現在はプレビュー段階にあります) には、Microsoft の脅威インテリジェンス サービスによって提供される位置情報データが含まれています。 このサービスは、Microsoft ソリューションとサードパーティのベンダーやパートナーが提供する位置情報データを組み合わせたものです。 このデータは、セキュリティ インシデントのコンテキストで分析や調査に利用できます。 詳細については、「Microsoft Sentinel において REST API を使用して位置情報データでエンティティをエンリッチする (パブリック プレビュー)」も参照してください。
Azure リソース (プレビュー)
IoT デバイス (プレビュー)
次のステップ
このドキュメントでは、エンティティ ページを使用して Microsoft Sentinel のエンティティに関する情報を取得する方法を学びました。 エンティティの詳細および使用方法については、次の記事をご覧ください。