Microsoft Sentinel でアラートの詳細をカスタマイズする

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

この記事では、基になるクエリ結果のコンテンツでアラートの既定のプロパティをオーバーライドする方法について説明します。

スケジュールされた分析ルールを作成するプロセスでは、最初の手順としてルールの名前と説明を定義し、それに重大度と MITRE ATT&CK 戦術を割り当てます。 特定のルールによって生成されたすべてのアラート (および結果として作成されたすべてのインシデント) は、アラートの特定のインスタンスの特定のコンテンツに関係なく、ルールで定義されている名前、説明、重大度、戦術を継承します。

アラートの詳細機能を使用すると、次の 2 つの方法で、アラートの次などの既定のプロパティをオーバーライドできます。

• アラートのカスタムの変数名と説明を作成します。 アラートのクエリ出力で、アラートの各インスタンスの名前または説明にその内容を含めることができるフィールドを選択できます。 特定のインスタンスで選択したフィールドに値がない場合、そのインスタンスのアラートの詳細は、ウィザードの最初のページで指定した既定値に戻ります。

• クエリ出力の該当フィールドの値を使用して、アラートの特定のインスタンスの重大度、戦術、およびその他のプロパティをカスタマイズします (以下のプロパティの全一覧を参照)。 選択したフィールドが空であるか、フィールド のデータ型と一致しない値がある場合、それぞれのアラート プロパティは既定値に戻ります (戦術と重大度については、ウィザードの最初のページで指定されたもの)。

重要

• 一部のアラートの詳細のカスタマイズ性 (以下でそのように示されているものを参照) は、現在プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
• Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。

アラートの詳細機能を使用するには、以下の手順に従います。 この手順は分析ルール作成ウィザードの一部ですが、既存の分析ルールに対してアラートの詳細を追加または変更するシナリオを取り上げるために、ここでは別個に取り上げています。

アラートの詳細をカスタマイズする方法

1. Microsoft Sentinel 経由で、ポータルの [分析] ページに移動します。

   Azure Portal

   Microsoft Sentinel のナビゲーション メニューの [構成] セクションで、[分析] を選択します。

   Defender ポータル

   Microsoft Defender のナビゲーション メニューで、[Microsoft Sentinel]、[構成] の順に展開します。 分析を選択します。

2. スケジュール済みクエリ ルールを選択し、[編集] を選択します。 または、画面の上部にある [作成] > [スケジュール済みクエリ ルール] を選択して新しいルールを作成します。

3. [ルールのロジックを設定] タブを選択します。

4. [アラート エンリッチメント] セクションで、[アラートの詳細] を展開します。

   

5. 展開された [アラートの詳細] セクションで、アラートに表示する詳細に対応するプロパティを含むフリー テキストを追加します。

   1. [Alert Name Format] (アラート名の形式) フィールドに、アラートの名前として表示するテキスト (アラート テキスト) を入力し、そのアラート テキストに含めるクエリ出力フィールドを二重中かっこで囲みます。

      例: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. [Alert Description Format](アラートの説明の形式) フィールドでも同じ操作を行います。

      注意

      [Alert Name Format] (アラート名の形式) と [Alert Description Format] (アラートの説明の形式) フィールドでは現在、それぞれ 3 つのパラメーターに制限されています。

   3. その他の既定のプロパティをオーバーライドするには、[アラート プロパティ] ドロップダウン リストからアラート プロパティを選択します。 次に、[値] ドロップダウン リストから、アラート プロパティに内容を設定するクエリ結果のフィールドを選択します。

   4. さらに既定のプロパティをオーバーライドするには、[+ 新規追加] を選択し、前の手順を繰り返します。 次のプロパティをオーバーライドできます。

      名前	説明
      AlertName	String
      説明	String
      AlertSeverity	次のいずれかの値です。 - 情報 - 低 - Medium - 高
      方針	次のいずれかの値です。 - 偵察 - ResourceDevelopment - 初期アクセス - 実行 - 永続化 - 特権エスカレーション - 防御回避 - 資格情報アクセス - 検出 - 横移動 - コレクション - 流出 - 指揮統制 - 影響 - 攻撃前 - ImpairProcessControl - InhibitResponseFunction
      Techniques (プレビュー)	正規表現 (^T(?<Digits>\d{4})$) に一致する文字列。 例: T1234
      AlertLink (プレビュー)	String
      ConfidenceLevel (プレビュー)	次のいずれかの値です。 - 低 - 高 - 不明
      ConfidenceScore (プレビュー)	0-1 間の整数 (包含)
      ExtendedLinks (プレビュー)	String
      ProductComponentName (プレビュー)	String
      ProductName (プレビュー)	String
      ProviderName (プレビュー)	String
      RemediationSteps (プレビュー)	String

   気が変わった場合や、間違った場合は、[アラート プロパティ] と [値] ペアの横にあるごみ箱アイコンをクリックしてアラートの詳細を削除するか、[Alert Name Format] (アラート名の形式) と [Alert Description Format] (アラートの説明の形式) のフィールドからフリー テキストを削除できます。

6. アラートの詳細のカスタマイズが完了したら、ルールを作成する場合は、ウィザードの次のタブに進みます。 既存のルールを編集する場合は、[レビューと作成] タブを選択します。ルールの確認が正常に完了したら、[保存] を選択します。

   Note

   サービスの制限

   • アラートの詳細とカスタム詳細のサイズ制限はすべて合わせて、まとめて 64 KB です。

次のステップ

このドキュメントでは、Microsoft Sentinel 分析ルールでアラートの詳細をカスタマイズする方法について学習しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。

• アラートをエンリッチする他の方法を確認します。
  • データ フィールドを Microsoft Azure Sentinel のエンティティにマップする
  • Microsoft Sentinel でアラートに含まれるカスタム イベントの詳細を表示する
• スケジュールされたクエリ分析ルールの完全な画像を取得します。
• Microsoft Sentinel のエンティティの詳細を確認します。