Microsoft Sentinel の脅威インテリジェンスにエンティティを追加する

• 適用対象:

  Microsoft Sentinel in the Azure portal

調査では、インシデントの範囲と性質を理解するための重要な部分として、エンティティとそのコンテキストを調べます。 インシデントにおける悪意のあるドメイン名、URL、ファイル、または IP アドレスを検出した場合は、脅威インテリジェンスの侵害インジケーター (IOC) としてラベル付けして追跡する必要があります。

たとえば、ネットワーク全体でポート スキャンを実行している、コマンドおよびコントロール ノードとして機能している、またはネットワーク内の多数のノードから送受信している IP アドレスを検出します。

Microsoft Sentinel を使うと、インシデント調査グラフ内でこのような種類のエンティティにフラグを付けて、脅威インテリジェンスに追加できます。 追加したインジケーターをログと脅威インテリジェンスの両方で確認し、Microsoft Sentinel ワークスペース全体で使用できます。

脅威インテリジェンスにエンティティを追加する

新しいインシデントの詳細ページでは、調査グラフに加えて、脅威インテリジェンスにエンティティを追加する別の方法が提供されます。 その両方の方法は、以下のとおりです。

インシデントの詳細ページ

1. Microsoft Sentinel のナビゲーション メニューから [インシデント] を選択します。

2. 調査するインシデントを選択します。 インシデントの詳細パネルで、[すべての詳細を表示] を選択してインシデントの詳細ページを開きます。

   

3. 脅威インジケーターとして追加するエンティティを [エンティティ] ウィジェットから見つけます。 (リストをフィルター処理したり、検索文字列を入力することで、検索しやすくなります)。

4. エンティティの右側にある 3 つの点を選択し、ポップアップ メニューから [TI に追加] を選択します。

   脅威インジケーターとして追加できるのは、次の種類のエンティティのみです。

   • ドメイン名
   • IP アドレス (IPv4 と IPv6)
   • URL
   • ファイル (ハッシュ)

   

調査グラフ

調査グラフは視覚的かつ直感的なツールであり、関係性とパターンが提示され、アナリストは適切な質問をして、リードに従うことができます。 これを使って脅威インテリジェンス インジケーター リストにエンティティを追加できます。こうすると、ワークスペース全体で使用できるようになります。

1. Microsoft Sentinel のナビゲーション メニューから [インシデント] を選択します。

2. 調査するインシデントを選択します。 インシデントの詳細パネルで、[アクション] ボタンを選択し、ポップアップ メニューから [調査] を選択します。 これにより、調査グラフが開きます。

   

3. 脅威インジケーターとして追加するエンティティをグラフから選びます。 右側にサイド パネルが開きます。 [Add to TI] (TI への追加) を選びます。

   脅威インジケーターとして追加できるのは、次の種類のエンティティのみです。

   • ドメイン名
   • IP アドレス (IPv4 と IPv6)
   • URL
   • ファイル (ハッシュ)

   

2 つのインターフェイスのうちどれを選択しても、最終的にはここにたどり着きます。

1. [新しいインジケーター] サイド パネルが開きます。 次のフィールドが自動的に設定されます。

   • Type

     • 追加するエンティティが表すインジケーターの種類。
       指定できる値のドロップダウン: ipv4-addr、ipv6-addr、URL、file、domain-name
     • 必須。エンティティ型に基づいて自動的に設定されます。

   • Value

     • このフィールドの名前は、選んだインジケーターの種類に応じて動的に変化します。
     • インジケーター自体の値。
     • 必須。エンティティの値に基づいて自動的に設定されます。

   • タグ

     • インジケーターに追加できるフリーテキストのタグ。
     • 省略可能。インシデント ID によって自動的に設定されます。 その他のものを追加することもできます。

   • 名前

     • インジケーターの名前 - インジケーター リストに表示される内容です。
     • 省略可能。インシデント名によって自動的に設定されます。

   • 作成者

     • インジケーターの作成者。
     • 省略可能。Microsoft Sentinel にログインしているユーザーによって自動的に設定されます。

   残りのフィールドは適宜入力します。

   • 脅威の種類

     • このインジケーターが表す脅威の種類。
     • 省略可能。フリー テキスト。

   • 説明

     • インジケーターの説明。
     • 省略可能。フリー テキスト。

   • 取り消し

     • インジケーターの取り消し状態。 インジケーターを取り消すにはチェックボックスをオンにします。アクティブにするにはチェックボックスをオフにします。
     • 省略可能。ブール値。

   • [信頼度]

     • データの正確性における信頼度を反映したスコア (割合)。
     • 省略可能。整数、1 から 100

   • Kill chain

     • このインジケーターが対応する Lockheed Martin Cyber Kill Chain のフェーズ。
     • 省略可能。フリー テキスト

   • 有効期間の開始

     • このインジケーターが有効と見なされる開始時刻。
     • 必須。日時

   • 有効期限

     • このインジケーターが有効と見なされなくなる時刻。
     • 省略可能。日時

   

2. すべてのフィールドに目的の情報を入力したら、[適用] を選びます。 右上隅にインジケーターが作成されたことを示す確認メッセージが表示されます。

3. このエンティティは、脅威インジケーターとしてワークスペースに追加されます。 これは、[脅威インテリジェンス] ページのインジケーター リストと、[ログ] の ThreatIntelligenceIndicators テーブルで確認できます。

関連するコンテンツ

この記事では、脅威インジケーター リストにエンティティを追加する方法について説明しました。 詳細については、次を参照してください。

• Microsoft Sentinel を使用してインシデントを調査する
• Microsoft Sentinel の脅威インテリジェンスについて
• Microsoft Sentinel で脅威インジケーターを操作する