Microsoft Sentinel のエンティティ ページ

インシデント調査にユーザー アカウント、ホスト名、IP アドレス、Azure リソースが表示されると、その詳細について確認が必要となる場合があります。 たとえば、アクティビティ履歴、それが他のアラートやインシデントに表示されているかどうか、それが予期しないことまたは特性ではないことを行ったかどうかなどを知ることができます。 要するに、これらのエンティティが表す脅威の種類を特定し、それに応じて調査を実施するのに役立つ情報が必要です。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

エンティティ ページ

このような場合、エンティティを選択し (クリック可能なリンクとして表示されます)、エンティティ ページ (そのエンティティに関する有用な情報が多く含まれるデータシート) に移動できます。 Microsoft Sentinel エンティティ動作ページでエンティティを直接検索することで、エンティティ ページにアクセスすることもできます。 エンティティ ページで見つけることができる情報の種類には、そのエンティティについての基本的な事実、このエンティティに関連した注目すべきイベントのタイムライン、そのエンティティの行動に関する分析情報が含まれます。

具体的には、エンティティ ページは次の 3 つの部分で構成されます。

• 左側のパネルには、Microsoft Entra ID、Azure Monitor、Azure Activity、Azure Resource Manager、Microsoft Defender for Cloud、CEF/Syslog、Microsoft Defender XDR (およびそのすべてのコンポーネント) などのデータ ソースから収集された、そのエンティティの識別情報が表示されます。

• 中央のパネルには、そのエンティティに関連した注目すべきイベント (アラート、ブックマーク、異常、アクティビティなど) のグラフとテキストの両方のタイムラインが表示されます。 アクティビティは、Log Analytics からの注目すべきイベントの集計です。 これらのアクティビティを検出するクエリは、Microsoft のセキュリティリ調査チームによって開発されており、独自のカスタムクエリを追加して、任意のアクティビティを検出できるようになりました。

• 右側のパネルには、エンティティに関する行動分析情報が表示されます。 これらの分析情報は、Microsoft セキュリティ調査チームによって継続的に開発されています。 これらはさまざまなデータ ソースに基づいており、エンティティとその観察されたアクティビティのコンテキストを提供するため、異常な動作とセキュリティの脅威をすばやく特定するのに役立ちます。

新しい調査エクスペリエンスを使用してインシデントを調査している場合は、インシデントの詳細ページのすぐ内側に、パネル化されたバージョンのエンティティ ページが表示されます。 特定のインシデント内のすべてのエンティティの一覧があり、エンティティを選択すると、3 つの "カード" (情報、タイムライン、分析情報) が表示されたサイド パネルが開き、インシデント内のアラートに対応する特定の期間内に、上記の同じ情報がすべて表示されます。

Defender ポータルで Microsoft Sentinel を使用している場合は、Defender エンティティ ページの [Sentinel イベント] タブにタイムラインと分析情報のパネルが表示されます。

Defender ポータル

Azure Portal

タイムライン

Defender ポータル

[Sentinel イベント] タブのタイムラインには、Defender ポータルの動作分析に対するエンティティ ページの寄与の大部分が追加されます。 ここには、エンティティ関連のイベントに関する項目が表示されるため、特定の期間内のエンティティのアクティビティを理解するのに役立ちます。

特に、Azure Monitor エージェントまたはカスタム コネクタ経由で取り込まれた syslog/CEF やカスタム ログなど、Microsoft Sentinel によってのみ収集されたサードパーティソースからの Sentinel イベント タイムライン アラートおよびイベントが表示されます。

タイムラインには、次の種類の項目が含まれています。

• アラート: エンティティが [マップされたエンティティ] として定義されているすべてのアラート。 組織で分析ルールを使用するカスタム アラートが作成されている場合は、ルールのエンティティ マッピングが正しく行われていることを確認してください。

• ブックマーク: そのページに表示されている特定のエンティティを含むすべてのブックマーク。

• 異常: さまざまなデータ入力のエンティティごとに、独自の履歴アクティビティ、ピアの履歴アクティビティ、組織全体の履歴アクティビティに対して作成された動的ベースラインに基づく UEBA 検出。

• アクティビティ: エンティティに関連する注目すべきイベントの集計。 さまざまなアクティビティが自動的に収集され、任意のアクティビティを追加することで、このセクションをカスタマイズできるようになりました。

  デバイス エンティティの場合、2025 年 1 月に新しいアクティビティの種類が追加されました。 このアクティビティには、業界最高のネットワーク デバイス ログから収集されたデータに基づく、特定のデバイスから送信されて破棄、ブロック、拒否されたネットワーク トラフィックが含まれます。 セキュリティ チームは、これらのログから、潜在的な脅威をすばやく特定して対処するための重要な情報を得られます。

2025 年 1 月の時点で、デバイス エンティティに対するアクティビティは、デバイス エンティティ ページのメインの [タイムライン] タブに表示され、残りは以前と同様に [Sentinel イベント] タブにも表示されます。 詳しくは、「統合タイムライン (プレビュー)」をご覧ください。

このタイムラインには、過去 24 時間の情報が表示されます。 現時点、この期間を調整することはできません。

Azure Portal

タイムラインは、Microsoft Sentinel の行動分析に対するエンティティ ページの主要な部分です。 ここには、エンティティ関連のイベントに関する項目が表示されるため、特定の期間内のエンティティのアクティビティを理解するのに役立ちます。

事前に設定されたいくつかのオプション ( [過去 24 時間] など) の中から [時間範囲] を選択するか、またはそれをカスタム定義の期間に設定できます。 さらに、タイムライン内の情報を特定の種類のイベントまたはアラートに制限するフィルターを設定できます。

タイムラインには、次の種類の項目が含まれています。

• アラート: エンティティが [マップされたエンティティ] として定義されているすべてのアラート。 組織で分析ルールを使用したカスタム アラートが作成されている場合は、ルールのエンティティ マッピングが正しく実行されていることを確認する必要がある点に注意してください。

• ブックマーク: そのページに表示されている特定のエンティティを含むすべてのブックマーク。

• 異常: さまざまなデータ入力の各エンティティで作成された、および独自の履歴アクティビティ、ピアの履歴アクティビティ、組織全体の履歴アクティビティに対して作成された動的ベースラインに基づく UEBA 検出。

• アクティビティ: エンティティに関連する注目すべきイベントの集計。 さまざまなアクティビティが自動的に収集され、任意のアクティビティを追加することで、このセクションをカスタマイズできるようになりました。

エンティティ分析情報

エンティティ分析情報は、アナリストがより効率的かつ効果的に調査できるようにするために Microsoft のセキュリティ研究者によって定義されたクエリです。 この分析情報はエンティティ ページの一部として表示され、ホストとユーザーに関する重要なセキュリティ情報を表形式データとグラフの両方の形式で提供します。 ここに情報が表示されるため、Log Analytics に迂回する必要はありません。 この分析情報には、サインイン、グループの追加、異常なイベントなどに関連したデータや、異常な行動を検出するための高度な ML アルゴリズムが含まれています。

この分析情報は、次のデータ ソースに基づいています。

• Syslog (Linux)
• SecurityEvent（セキュリティイベント）(Windows)
• AuditLogs (Microsoft Entra ID)
• SigninLogs (Microsoft Entra ID)
• OfficeActivity (Office 365)
• BehaviorAnalytics (UEBA Microsoft Sentinel)
• ハートビート (Azure Monitor エージェント)
• CommonSecurityLog (Microsoft Sentinel)

一般に、エンティティ ページに表示される各エンティティ分析情報には、結果と併せて、分析情報の基になるクエリが表示されたページへのリンクが含まれているため、結果をより詳しく確認することができます。

• Azure portal の Microsoft Sentinel でこのリンクをクリックすると、[ログ] ページに移動します。
• Microsoft Defender ポータルのリンクをクリックすると、[高度な追求] ページが表示されます。

エンティティ ページを使用する方法

エンティティ ページは、複数の使用シナリオの一部として設計されており、インシデント管理、調査グラフ、ブックマークからアクセスすることも、Microsoft Sentinel のメイン メニューの [ エンティティの動作 ] の下にあるエンティティ検索ページから直接アクセスすることもできます。

エンティティ ページの情報は、「Microsoft Sentinel UEBA リファレンス」で詳細に説明されているように、BehaviorAnalytics テーブルに格納されます。

サポートされているエンティティ ページ

Microsoft Sentinel では現在、次のエンティティ ページが提供されています。

• ユーザー アカウント

• ホスト

• IP アドレス (プレビュー)

  注意

  IP アドレス エンティティ ページ (現在はプレビュー段階にあります) には、Microsoft の脅威インテリジェンス サービスによって提供される位置情報データが含まれています。 このサービスは、Microsoft ソリューションとサードパーティのベンダーやパートナーが提供する位置情報データを組み合わせたものです。 このデータは、セキュリティ インシデントのコンテキストで分析や調査に利用できます。 詳細については、「Microsoft Sentinel において REST API を使用して位置情報データでエンティティをエンリッチする (パブリック プレビュー)」も参照してください。

• Azure リソース (プレビュー)

• IoT デバイス (プレビュー) — 現在、Azure portal の Microsoft Sentinel のみです。

次のステップ

このドキュメントでは、エンティティ ページを使用して Microsoft Sentinel のエンティティに関する情報を取得する方法を学びました。 エンティティの詳細および使用方法については、次の記事をご覧ください。

• Microsoft Sentinel のエンティティについて学習します。
• エンティティ ページのタイムラインのアクティビティをカスタマイズする
• Microsoft Azure Sentinel のユーザー/エンティティ行動分析 (UEBA) を使用して高度な脅威を特定する
• Microsoft Sentinel でエンティティの行動分析を有効にする。
• セキュリティの脅威を検出する。