次の方法で共有


Microsoft Sentinel 用の高度なセキュリティ情報モデル (ASIM) ベースのドメイン ソリューション (プレビュー)

Microsoft の重要なソリューションは、Microsoft for Microsoft Sentinel によって公開されるドメイン ソリューションです。 これらのソリューションには、ネットワークなどの特定のカテゴリに対して複数の製品間で動作できるすぐに使用できるコンテンツがあります。 これらの重要なソリューションの一部では、正規化手法の高度なセキュリティ情報モデル (ASIM) を使用して、クエリ時またはインジェスト時にデータを正規化します。

重要

Microsoft の重要なソリューションとネットワーク セッション Essentials ソリューションは現在プレビュー段階です。 Azure プレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。

ASIM ベースの Microsoft の重要なソリューションを使用する理由

ドメイン カテゴリ内の複数のソリューションが同様の検出パターンを共有する場合、ASIM などの正規化されたスキーマでデータをキャプチャすることは理にかなっています。 重要なソリューションでは、この ASIM スキーマを使用して大規模な脅威を検出します。

コンテンツ ハブには、"セキュリティ - ネットワーク" などのドメイン カテゴリごとに複数の製品ソリューションがあります。 たとえば、Azure Firewall、Palo Alto Firewall、Corelight には、"セキュリティ - ネットワーク" ドメイン カテゴリの製品ソリューションがあります。

  • これらのソリューションには、設計によって異なるデータ取り込みコンポーネントがあります。 同じドメインカテゴリ内の分析、狩猟、ワークブック、その他のコンテンツには特定のパターンがあります。
  • 主要なネットワーク製品のほとんどは、通常とは異なる IP アドレスからの悪意のある脅威を含む、一般的なファイアウォール アラートの基本セットを持っています。 分析ルール テンプレートは、一般に、製品ソリューションの "セキュリティ - ネットワーク" カテゴリごとに複製されます。 複数のネットワーク製品を実行している場合は、複数の分析ルールを個別に確認して構成する必要があります。これは非効率的です。 また、構成されたルールごとにアラートが表示され、最終的にアラートの疲労が発生する可能性があります。
  • 重複するハンティング クエリがある場合は、実行モードのハンティングでパフォーマンスの低いハンティング エクスペリエンスが得られる可能性があります。 これらの重複ハンティング クエリでは、脅威ハンターが同様のクエリを選択して実行する非効率性も導入されます。

次の理由から、Microsoft の重要なソリューションを検討してください。

  • 正規化されたスキーマを使用すると、インシデントの詳細に簡単にクエリを実行できます。 類似のログ属性に対して異なるベンダー構文を覚える必要はありません。
  • 複数のソリューションのコンテンツを管理する必要がない場合は、ユース ケースの展開とインシデントの処理が簡単です。
  • 統合ブック ビューを使用すると、高パフォーマンスの ASIM パーサーを使用して、環境の可視性が向上し、クエリ時間の解析が可能になります。

サポートされている ASIM スキーマ

要点ソリューションは現在、Sentinel がサポートする次の異なる ASIM スキーマにまたがっています。

  • 監査イベント
  • 認証イベント
  • DNS アクティビティ
  • ファイル アクティビティ
  • ネットワーク セッション
  • プロセス イベント
  • Web セッション

詳細については、「 高度なセキュリティ情報モデル (ASIM) スキーマ」を参照してください。

インジェスト時間の正規化

インジェスト時間の正規化の結果は、次の正規化されたテーブルに取り込むことができます。

詳細については、「 取り込み時間の正規化」を参照してください。

ASIM ベースのドメインに不可欠なソリューションで利用できるコンテンツ

次の表では、各重要なソリューションで使用できるコンテンツの種類について説明します。 特定のユース ケースによっては、Microsoft Sentinel 製品ソリューションで利用可能なコンテンツを使用することもできます。

コンテンツの種類 説明
分析ルール ASIM ベースの重要なソリューションで使用できる分析ルールは汎用的であり、そのドメインに依存する Microsoft Sentinel 製品ソリューションに適しています。 Microsoft Sentinel 製品ソリューションには、分析ルールの一部としてソース固有のユース ケースが含まれている場合があります。 環境に合わせて、必要に応じて Microsoft Sentinel 製品ソリューション ルールを有効にします。
ハンティング クエリ ASIM ベースの必須ソリューションで使用できるハンティング クエリは汎用的であり、そのドメインに依存する Microsoft Sentinel 製品ソリューションからの脅威を検出するのに適しています。 Microsoft Sentinel 製品ソリューションでは、ソース固有のハンティング クエリをすぐに使用できる場合があります。 環境に必要に応じて、Microsoft Sentinel 製品ソリューションのハンティング クエリを使用します。
脚本 ASIM ベースの重要なソリューションは、1 秒あたりのイベント数が多いデータを処理することが期待されます。 その量のデータを使っているコンテンツがあると、ブックやクエリ結果の読み込みが遅くなる可能性のある、パフォーマンスへの影響が発生する場合があります。 この問題を解決するために、概要作成プレイブックはソース ログを要約し、情報を定義済みのテーブルに格納します。 要約プレイブックを有効にして、重要なソリューションがこのテーブルに対してクエリを実行できるようにします。

Microsoft Sentinel のプレイブックは、個別のリソースを作成する Azure Logic Apps に組み込まれているワークフローに基づいているため、その他の料金が適用される場合があります。 詳細については、 Azure Logic Apps の価格に関するページを参照してください。 集計データの保存には、その他の料金が適用される場合もあります。
監視リスト ASIM ベースの重要なソリューションは、分析ルールの検出とハンティング クエリに複数の条件セットを含むウォッチリストを使用します。 ウォッチリストを使用すると、次のタスクを実行できます。

- データのろ過を使用して集中監視を行います。
- リスト アイテムごとにハンティングと検出を切り替えます。
- しきい値ベースのアラートを利用するには しきい値の種類静的 に設定したままにし、異常ベースのアラートは過去数日間 (最大 14 日間) のデータから学習します。
- 個々のリスト アイテムに対してこのウォッチリストを使用して、 アラート名説明戦術重大度 を変更します。
- [重大度 ] を [無効] に設定して検出を無効にします。
ワークブック ASIM ベースの重要なソリューションで使用できるブックは、依存ドメインで発生するさまざまなイベントとアクティビティを統合したビューを提供します。 このブックは非常に大量のデータから結果をフェッチするため、パフォーマンスの低下が発生する可能性があります。 パフォーマンスの問題が発生した場合は、概要作成プレイブックを使用します。

他の Microsoft Sentinel ドメイン ソリューションのようなこれらの重要なソリューションには、独自のコネクタがありません。 ログを取得するには、Microsoft Sentinel 製品ソリューションのソース固有のコネクタに依存します。 ドメイン ソリューションがサポートする製品を理解するには、ASIM ドメインの各要点ソリューションの一覧の製品ソリューションの前提条件の一覧を参照してください。 1 つ以上の製品ソリューションをインストールします。 基になる製品の依存関係のニーズを満たし、このドメイン ソリューション コンテンツをより適切に使用できるように、データ コネクタを構成します。