重要
カスタム検出は、SIEM Microsoft Defender XDR全体で新しいルールMicrosoft Sentinel作成するための最良の方法になりました。 カスタム検出を使用すると、インジェスト コストを削減し、無制限のリアルタイム検出を取得し、自動エンティティ マッピングを使用してDefender XDRデータ、関数、修復アクションとシームレスに統合できます。 詳細については、 このブログを参照してください。
Microsoft Sentinelでは、スケーラブルな機械学習アルゴリズムに基づく相関エンジンである Fusion を使用して、キル チェーンのさまざまな段階で観察される異常な動作と不審なアクティビティの組み合わせを特定することで、マルチステージ攻撃 (高度な永続的な脅威または APT とも呼ばれます) を自動的に検出します。 これらの発見に基づいて、Microsoft Sentinelは、キャッチするのが難しいインシデントを生成します。 これらのインシデントは、2 つ以上のアラートまたはアクティビティで構成されます。 設計上、これらのインシデントはボリュームが少ない、忠実度が高い、重大度が高い。
環境に合わせてカスタマイズされたこの検出テクノロジは、 誤検知 率を低下させるだけでなく、情報が限られた攻撃や欠落している攻撃を検出することもできます。
Fusion は、高度なマルチステージ攻撃を検出するためにさまざまな製品からの複数の信号を関連付けるので、Fusion 検出の成功は、アラートとしてではなく、Microsoft Sentinel インシデント ページに Fusion インシデントとして表示され、SecurityAlert テーブルではなく、ログの SecurityIncident テーブルに格納されます。
Fusion の構成
Fusion は、高度なマルチステージ攻撃検出と呼ばれる分析ルールとして、Microsoft Sentinelで既定で有効になっています。 ルールの状態を表示および変更したり、Fusion ML モデルに含まれるソース信号を構成したり、環境に適用できない特定の検出パターンを Fusion 検出から除外したりできます。 Fusion ルールを構成する方法について説明します。
注:
Microsoft Sentinel現在、Fusion エンジンの機械学習アルゴリズムをトレーニングするために、30 日間の履歴データが使用されています。 このデータは、機械学習パイプラインを通過する Microsoft のキーを使用して常に暗号化されます。 ただし、Microsoft Sentinel ワークスペースで CMK を有効にした場合、トレーニング データはカスタマー マネージド キー (CMK) を使用して暗号化されません。 Fusion をオプトアウトするには、Microsoft Sentinel>Configuration>Analytics > Active ルールに移動し、[高度なマルチステージ攻撃検出] ルールを右クリックし、[無効] を選択します。
Microsoft Defender ポータルにオンボードされているMicrosoft Sentinelワークスペースの場合、Fusion は無効になります。 その機能は、Microsoft Defender XDR関連付けエンジンに置き換えられます。
新たな脅威のための融合
重要
示されている Fusion 検出は現在プレビュー段階 です。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。 2025 年 7 月以降、多くの新規顧客が自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「移動する時間: セキュリティを強化するためにMicrosoft SentinelのAzure portalを廃止する」を参照してください。
注:
米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府機関のお客様向けのクラウド機能の可用性に関するMicrosoft Sentinelテーブルを参照してください。
Fusion の構成
Fusion は、高度なマルチステージ攻撃検出と呼ばれる分析ルールとして、Microsoft Sentinelで既定で有効になっています。 ルールの状態を表示および変更したり、Fusion ML モデルに含まれるソース信号を構成したり、環境に適用できない特定の検出パターンを Fusion 検出から除外したりできます。 Fusion ルールを構成する方法について説明します。
ワークスペースで カスタマー マネージド キー (CMK) を有効にしている場合は、Fusion をオプトアウトできます。 Microsoft Sentinel現在、Fusion エンジンの機械学習アルゴリズムをトレーニングするために 30 日間の履歴データが使用されており、このデータは、機械学習パイプラインを通過する Microsoft のキーを使用して常に暗号化されます。 ただし、トレーニング データは CMK を使用して暗号化されません。 Fusion をオプトアウトするには、Microsoft Sentinelで高度なマルチステージ攻撃検出分析ルールを無効にします。 詳細については、「 Fusion ルールの構成」を参照してください。
Microsoft Sentinelが Defender ポータルにオンボードされている場合、Fusion は無効になります。 代わりに、Defender ポータルで作業する場合、Fusion によって提供される機能は、Microsoft Defender XDR関連付けエンジンに置き換えられます。
新たな脅威のための Fusion (プレビュー)
セキュリティ イベントの量は増え続け、攻撃の範囲と洗練度はますます高まっています。 既知の攻撃シナリオを定義できますが、環境内の新しい脅威と未知の脅威はどうでしょうか。
Microsoft Sentinelの ML 駆動 Fusion エンジンは、拡張 ML 分析を適用し、アラートの疲労を低く保ちながら、より広範な異常信号の範囲を関連付けることによって、環境内の新たな未知の脅威を見つけるのに役立ちます。
Fusion エンジンの ML アルゴリズムは、常に既存の攻撃から学習し、セキュリティ アナリストの考え方に基づいて分析を適用します。 そのため、環境内のキル チェーン全体で何百万もの異常な動作から以前に検出されなかった脅威を検出できるため、攻撃者の一歩先を行くのに役立ちます。
新たな脅威の Fusion では、 次のソースからのデータ収集と分析がサポートされています。
Microsoft サービスからのアラート:
- Microsoft Entra ID 保護
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
スケジュールされた分析ルールからのアラート。 Fusion で使用するには、分析ルールにキル チェーン (戦術) とエンティティ マッピング情報が含まれている必要があります。
Fusion を新たな脅威に対応させるために、上記のすべてのデータ ソースを接続する必要はありません。 ただし、接続したデータ ソースが多いほど、カバレッジが広くなり、Fusion によって検出される脅威が増えます。
Fusion エンジンの相関関係によって新たな脅威が検出されると、Microsoft Sentinelは、Fusion によって検出された可能性のあるマルチステージ攻撃アクティビティという重大度の高いインシデントを生成します。
ランサムウェア用の Fusion
Microsoft Sentinelの Fusion エンジンは、次のデータ ソースから異なる種類の複数のアラートを検出し、ランサムウェア アクティビティに関連している可能性があると判断すると、インシデントを生成します。
- Microsoft Defender for Cloud
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity コネクタ
- Microsoft Defender for Cloud Apps
- スケジュールされた分析ルールをMicrosoft Sentinelします。 Fusion では、戦術情報とマップされたエンティティを含むスケジュールされた分析ルールのみが考慮されます。
このような Fusion インシデントは、 検出されたランサムウェア アクティビティに関連する可能性がある複数のアラートという名前で、特定の時間枠内に関連するアラートが検出され、攻撃の 実行 と 防御回避 の段階に関連付けられているときに生成されます。
たとえば、Microsoft Sentinelは、特定の期間内に同じホストで次のアラートがトリガーされた場合、考えられるランサムウェア アクティビティのインシデントを生成します。
| 通知 | ソース | 重要度 |
|---|---|---|
| Windows エラーイベントと警告イベント | スケジュールされた分析ルールをMicrosoft Sentinelする | 情報 |
| "GandCrab" ランサムウェアが防止されました | Microsoft Defender for Cloud | medium |
| "Emotet" マルウェアが検出されました | Microsoft Defender for Endpoint | 情報 |
| 'Tofsee' バックドアが検出されました | Microsoft Defender for Cloud | 低 |
| 'Parite' マルウェアが検出されました | Microsoft Defender for Endpoint | 情報 |
シナリオベースの Fusion 検出
次のセクションでは、Fusion 相関エンジンを使用して検出Microsoft Sentinel、脅威分類別にグループ化されたシナリオベースのマルチステージ攻撃の種類を示します。
これらの Fusion を利用した攻撃検出シナリオを有効にするには、関連するデータ ソースを Log Analytics ワークスペースに取り込む必要があります。 次の表のリンクを選択して、各シナリオとそれに関連するデータ ソースについて説明します。
| 脅威の分類 | シナリオ |
|---|---|
| コンピューティング リソースの不正使用 | |
| 資格情報アクセス | |
| 資格情報の収集 | |
| Crypto-mining | |
| データの破棄 | |
| データ流出 |
|
| サービス拒否 | |
| 横方向の移動 | |
| 悪意のある管理アクティビティ | |
|
悪意のある実行 正当なプロセス |
|
| マルウェア C2 またはダウンロード | |
| 永続性 |
|
| ランサムウェア | |
| リモート悪用 | |
| リソースの乗っ取り |
関連コンテンツ
詳細については、以下を参照してください: