この記事では、基になるクエリ結果のコンテンツでアラートの既定のプロパティをオーバーライドする方法について説明します。
スケジュールされた分析ルールを作成するプロセスでは、最初の手順としてルールの名前と説明を定義し、重大度と MITRE ATT&CK 戦術を割り当てます。 特定のルールによって生成されたすべてのアラート (および結果として作成されたすべてのインシデント) は、アラートの特定のインスタンスの特定のコンテンツに関係なく、ルールで定義されている名前、説明、重大度、戦術を継承します。
アラートの 詳細 機能を使用すると、次の 2 つの方法で、アラートのこれらのプロパティとその他の既定のプロパティをオーバーライドできます。
アラートのカスタムの変数名と説明を作成します。 アラートのクエリ出力で、アラートの各インスタンスの名前または説明にその内容を含めることができるフィールドを選択できます。 特定のインスタンスで選択したフィールドに値がない場合、そのインスタンスのアラートの詳細は、ウィザードの最初のページで指定した既定値に戻ります。
クエリ出力の該当フィールドの値を使用して、アラートの特定のインスタンスの重大度、戦術、およびその他のプロパティをカスタマイズします (以下のプロパティの全一覧を参照)。 選択したフィールドが空であるか、フィールド のデータ型と一致しない値がある場合、それぞれのアラート プロパティは既定値に戻ります (戦術と重大度については、ウィザードの最初のページで指定されたもの)。
重要
- 一部のアラートの詳細のカスタマイズ可能性 (以下に示す内容を参照) は現在 プレビュー段階です。 ベータ版、プレビュー版、またはその他の一般提供にまだリリースされていない Azure 機能に適用される追加の法的条件については、 Microsoft Azure プレビューの追加使用条件 を参照してください。
- Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。
アラートの詳細機能を使用するには、以下の手順に従います。 これらの手順は 分析ルール作成ウィザードの一部ですが、既存の分析ルールでアラートの詳細を追加または変更するシナリオに対処するために、ここでは個別に対処します。
アラートの詳細をカスタマイズする方法
Microsoft Sentinel にアクセスするポータルの [分析 ] ページを入力します。
Microsoft Sentinel ナビゲーション メニューの [構成 ] セクションで、[ 分析] を選択します。
スケジュールされたクエリ ルールを選択し、[ 編集] を選択します。 または、画面の上部にある [ スケジュールされたクエリ ルール > 作成 ] を選択して、新しいルールを作成します。
[ ルール ロジックの設定 ] タブを選択します。
[ アラート エンリッチメント ] セクションで、[ アラートの詳細] を展開します。
現在展開されている アラートの詳細 セクションで、アラートに表示する詳細に対応するプロパティを含むフリー テキストを追加します。
[ アラート名の形式 ] フィールドに、アラートの名前として表示するテキスト (アラート テキスト) を入力し、警告テキストの一部にするクエリ出力フィールドを二重の中かっこで囲みます。
例:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.[アラートの説明の形式] フィールドでも同じ操作を行います。
注意
現在、[アラート名の形式] フィールドと [アラートの説明の形式] フィールドには、それぞれ 3 つのパラメーターに制限されています。
その他の既定のプロパティをオーバーライドするには、[アラート プロパティ] ドロップダウン リストから アラート プロパティ を選択します。 次に、[ 値 ] ドロップダウン リストから、アラート プロパティを設定する内容を含むクエリ結果からフィールドを選択します。
その他の既定のプロパティをオーバーライドするには、[ + 新規追加] を選択し、前の手順を繰り返します。 次のプロパティをオーバーライドできます。
名前 説明 AlertName 文字列 をオンにします。 プレーン テキストのみをサポートします。 説明 文字列 をオンにします。 プレーン テキストのみをサポートします (Microsoft Sentinel が Defender ポータルにオンボードされている場合)。 AlertSeverity 次のいずれかの値です。
- 情報
- 低
- 中程度
- 高戦術 次のいずれかの値です。
- 偵察
- ResourceDevelopment
- InitialAccess
- 実行
- 固執
- 権限昇格
- DefenseEvasion
- CredentialAccess
- 発見
- LateralMovement
- コレクション
- 窃盗
- CommandAndControl
- インパクト
- PreAttack
- ImpairProcessControl
- InhibitResponseFunction手法 (プレビュー) 正規表現 ( ^T(?<Digits>\d{4})$) に一致する文字列。
例: T1234AlertLink (プレビュー) 糸 ConfidenceLevel (プレビュー) 次のいずれかの値です。
- 低
- 高
- 不明ConfidenceScore (プレビュー) 0-1 間の整数 (両端を含む) ExtendedLinks (プレビュー) 糸 ProductComponentName (プレビュー)
* この表の後にある注記をご覧ください糸 ProductName (プレビュー)
* この表の後にある注記をご覧ください糸 ProviderName (プレビュー)
* この表の後にある注記をご覧ください糸 RemediationSteps (プレビュー) 糸 注意事項
Microsoft Sentinel が Microsoft Defender ポータルにオンボードされている場合:
Microsoft ソースからのアラートの ProductName フィールドはカスタマイズしないでください。 それを行うと、これらのアラートは Microsoft Defender XDR から破棄されて、インシデントが作成されません。
ProductComponentName フィールドと ProviderName フィールドはカスタマイズできなくなりました。
これらのカスタマイズのいずれかがルールに既に存在する場合は、予期しない結果を避けるために、そのカスタマイズを削除して互換性を維持してください。
気が変わる場合、または間違った場合は、アラート のプロパティ/値 のペアの横にあるごみ箱アイコンをクリックしてアラートの詳細を削除するか、[ アラート名]/[説明の形式 ] フィールドからフリー テキストを削除できます。
アラートの詳細のカスタマイズが完了したら、ルールを作成する場合は、ウィザードの次のタブに進みます。 既存のルールを編集する場合は、[ 確認と作成 ] タブを選択します。ルールの検証が成功したら、[ 保存] を選択します。
サービスの制限
- 1 つのクエリで 最大 50 個の値 を持つフィールドをオーバーライドできます。 クエリが 50 個を超えると、 すべての カスタマイズされた値が削除され、すべてのクエリ結果でフィールドは既定値に戻ります。 カスタマイズされた値の削除を防ぐために、返される値が 50 個以下となるようにクエリを調整してください。
-
AlertNameフィールドとその他のコレクション以外のプロパティのサイズ制限は 256 バイトです。 -
Descriptionフィールドおよびその他のコレクション プロパティのサイズ制限は 5 KB です。 - サイズ制限を超える値は削除されます。
次のステップ
このドキュメントでは、Microsoft Sentinel 分析ルールでアラートの詳細をカスタマイズする方法について学習しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。
- アラートをエンリッチする他の方法を確認します。
- スケジュールされたクエリ分析ルールの完全な図を取得します。
- Microsoft Sentinel のエンティティの詳細を確認します。