Microsoft Sentinel によるハンティング中にデータを追跡する

  • [アーティクル]

脅威検出では、通常、山のようなログ データを調べて、悪意のある動作の証拠を探す必要があります。 このプロセス中に調査担当者は、可能性のある仮説の実証と、侵害の詳細の把握の一環として、記憶し、再考し、分析する必要のあるイベントを探します。

この操作では、Microsoft Sentinel - Logs で実行したクエリが、関連すると思われるクエリ結果と共に保持される、Microsoft Sentinel のハンティング ブックマークが役立ちます。 また、メモやタグを追加することにより、コンテキストに関する所見を記録し、調査結果を参照することもできます。 ブックマークが設定されたデータは、自身とチームメイトが見ることができコラボレーションを簡単に行えるようにしています。

自分のカスタム ハンティング クエリを MITRE ATT&CK 手法にマッピングすることで、すべてのハンティング クエリにわたって MITRE ATT&CK 手法カバレッジのギャップを特定して対処できます。

また、Microsoft Sentinel Analytics でサポートされているエンティティ型と識別子の完全なセットをカスタム クエリでマッピングすることで、ブックマークを使用してハンティング中にさらに多くの種類のエンティティを調査することもできます。 これにより、エンティティ ページインシデント調査グラフを使用して、ハンティング クエリ結果で返されるエンティティをブックマークを使用して探索できます。 ブックマークがハンティング クエリの結果をキャプチャすると、クエリの MITRE ATT&CK 手法とエンティティ マッピングが自動的に継承されます。

ログのハンティング中に緊急に対処する必要があるものを検出した場合は、簡単にブックマークを作成し、インシデントに昇格するか、既存のインシデントに追加することができます。 インシデントについて詳しくは、Microsoft Sentinel でインシデントを調査する方法に関するページをご覧ください。

ブックマークに値するものが見つかったが、緊急ではない場合は、ブックマークを作成し、 [ハンティング] ウィンドウの [ブックマーク] タブで、ブックマークされたデータをいつでも再確認できます。 フィルタリングおよび検索オプションを使用して、現在の調査の特定のデータをすばやく見つけられます。

ブックマークの詳細から [調査] を選ぶと、ブックマークされたデータを視覚化できます。 これにより、対話型のエンティティ-グラフ ダイアグラムおよびタイムラインを使用して、調査結果を表示、調査、および視覚的に伝達できる調査エクスペリエンスが開始します。

または、ブックマークが設定されたデータを、Log Analytics ワークスペースの [HuntingBookmark](ハンティング ブックマーク) テーブルで直接確認できます。 次に例を示します。

ハンティング ブックマーク テーブルの表示のスクリーンショット。

テーブルでブックマークを表示すると、ブックマークが設定されたデータをフィルター処理、要約、および他のデータ ソースと結合でき、裏付けとなる証拠を簡単に見つけられます。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

ブックマークを追加する

  1. Azure portal で、 [Microsoft Sentinel][脅威の管理][ハンティング] の順に移動して、不審な動作や異常な動作についてクエリを実行します。

  2. ハンティング クエリの 1 つを選択し、右側のハンティング クエリの詳細で [クエリの実行] を選択します。

  3. [View query results](クエリ結果の表示) を選択します。 次に例を示します。

    Microsoft Sentinel ハンティングのクエリ結果を表示するスクリーンショット。

    このアクションにより、[ログ] ウィンドウにクエリ結果が表示されます。

  4. ログ クエリ結果の一覧でチェック ボックスを使用して、興味のある情報が含まれている 1 つまたは複数の行を選択します。

  5. [ブックマークの追加] を選択します。

    ハンティング ブックマークをクエリに追加するスクリーンショット。

  6. 右側の [ブックマークの追加] ウィンドウで、必要に応じてブックマーク名を更新し、タグを追加し、項目に関して興味深かったことを識別するために役立つメモを追加します。

  7. ブックマークは、必要に応じて MITRE ATT&CK 手法またはサブ手法にマップできます。 MITRE ATT&CK のマッピングは、ハンティング クエリ内のマップされた値から継承されますが、手動で作成することもできます。 [ブックマークの追加] ウィンドウの [戦術と手法] セクションのドロップダウン メニューから、目的の手法に関連付けられている MITRE ATT&CK 戦術を選びます。 メニューが展開され、すべての MITRE ATT&CK 手法が表示されます。このメニューでは複数の手法とサブ手法を選択できます。

    Mitre の攻撃の戦術と手法をブックマークにマップする方法のスクリーンショット。

  8. 次に、ブックマークされたクエリ結果からエンティティの拡張セットを抽出し、さらに調査できます。 [エンティティ マッピング] セクションで、ドロップダウンを使用してエンティティの種類と識別子を選択します。 次に、対応する識別子を含むクエリ結果の列をマップします。 次に例を示します。

    ハンティング ブックマークのエンティティ型をマップするスクリーンショット。

    調査グラフでブックマークを表示するには、少なくとも 1 つのエンティティをマップする必要があります。 以前作成したアカウント、ホスト、IP、URL エンティティ型へのエンティティ マッピングがサポートされ、下位互換性が維持されます。

  9. [保存] をクリックして変更をコミットし、ブックマークを追加します。 ブックマークが設定されたすべてのデータは他の調査担当者と共有され、共同の調査エクスペリエンスに向けた最初の一歩となります。

注意

このウィンドウが Microsoft Sentinel から開くたびに、ログクエリの結果にブックマークが設定されます。 たとえば、ナビゲーション バーから [全般]>[ログ] を選択したり、調査グラフでイベント リンクを選択したり、インシデントの完全な詳細からアラート ID を選択したりする場合です。 Azure Monitor から直接など、他の場所から [ログ] ウィンドウを開く場合、ブックマークを作成することはできません。

ブックマークを表示および更新する

  1. Azure portal で、 [Microsoft Sentinel][脅威の管理][ハンティング] の順に移動します。

  2. ブックマークの一覧を表示するには、[ブックマーク] タブを選択します。

  3. 特定のブックマークを検索するには、検索ボックスやフィルター オプションを使用します。

  4. 個々のブックマークを選択して、右側の詳細ウィンドウでブックマークの詳細を表示します。

  5. 必要に応じて変更を行います。これは、自動的に保存されます。

調査グラフでのブックマークの探索

  1. Azure portal で、 [Microsoft Sentinel][脅威の管理][ハンティング][ブックマーク] タブの順に移動して、調査するブックマーク (複数可) を選択します。

  2. ブックマークの詳細で、少なくとも 1 つのエンティティが確実にマップされているようにします。

  3. 調査グラフのブックマークを表示するには、 [調査] を選びます。

調査グラフを使用する手順については、「調査グラフを使用して詳細を確認する」を参照してください。

新規または既存のインシデントにブックマークを追加する

  1. Azure portal で、 [Microsoft Sentinel][脅威の管理][ハンティング][ブックマーク] タブの順に移動して、インシデントに追加するブックマーク (複数可) を選択します。

  2. コマンド バーから [インシデント アクション] を選択します。

    インシデントにブックマークを追加するスクリーンショット。

  3. 必要に応じて、 [新しいインシデントを作成する] または [既存のインシデントに追加] のどちらかを選択します。 その後、以下を実行します。

    • 新しいインシデントの場合: 必要に応じて、インシデントの詳細を更新し、 [作成] を選択します。
    • 既存のインシデントにブックマークを追加する場合: インシデントを 1 つ選択し、 [追加] を選択します。

インシデント内のブックマークを表示するには、 [Microsoft Sentinel][脅威の管理][インシデント] の順に移動し、ブックマークが設定されたインシデントを選択します。 [View full details](完全な詳細の表示) を選択し、[ブックマーク] タブを選択します。

ヒント

コマンド バーの [インシデント アクション] オプションの代替手段として、1 つまたは複数のブックマークのコンテキスト メニュー ( [...] ) を使用して、 [新しいインシデントを作成する][既存のインシデントに追加] 、および [インシデントから削除する] オプションを選択できます。

ログでブックマークが設定されたデータを表示する

ブックマークが設定されたクエリ、結果、または履歴を表示するには、 [ハンティング]>[ブックマーク] タブでブックマークを選択し、詳細ウィンドウで表示されるリンクを使用します。

  • [ソース クエリの表示] では、[ログ] ウィンドウにソース クエリが表示されます。

  • [View bookmark log](ブックマーク ログの表示) では、更新を行ったユーザー、更新された値、更新が行われた時刻など、すべてのブックマーク メタデータが表示されます。

また、[ハンティング]>[ブックマーク] タブのコマンド バーで [Bookmark Logs](ブックマーク ログ) を選択して、すべてのブックマークの生のブックマーク データを表示することもできます。

ブックマーク ログ コマンドのスクリーンショット。

このビューには、メタデータが関連付けられているすべてのブックマークが表示されます。 Kusto クエリ言語 (KQL) クエリを使用して、検索している特定のブックマークの最新版に絞り込むことができます。

注意

ブックマークの作成時から、それが [ブックマーク] タブに表示されるまでの間に、著しい遅れ (分単位) が発生することがあります。

ブックマークを削除する

  1. Azure portal で、 [Microsoft Sentinel][脅威の管理][ハンティング][ブックマーク] タブの順に移動して、削除するブックマーク (複数可) を選択します。

  2. 選択内容を右クリックし、選択したブックマークの数を削除するオプションを選びます。

ブックマークを削除すると、 [ブックマーク] タブの一覧からブックマークが除かれます。Log Analytics ワークスペースの [HuntingBookmark] (検出ブックマーク) テーブルには、以前のブックマーク エントリが含まれたままですが、最新のエントリでは [SoftDelete] 値が true に変更されるため、古いブックマークを簡単に除外できます。 ブックマークを削除しても、他のブックマークやアラートに関連付けられている調査エクスペリエンスからはどのエンティティも削除されません。

次のステップ

この記事では、Microsoft Sentinel でブックマークを使用して検出調査を実行する方法を学習しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。