Microsoft Sentinel を使用してインシデントを調査する
重要
記載されている機能は、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
この記事は、Microsoft Azure Sentinel でインシデントを調査するのに役立ちます。 Microsoft Azure Sentinel にデータ ソースを接続した後で、不審な事態が起きたときに通知を受けるようにします。 これを実現するために、Microsoft Sentinel では、割り当てや調査が可能なインシデントを生成する高度な分析ルールを作成できます。
この記事には、次の内容が含まれます。
- インシデントの調査
- 調査グラフを使用する
- 脅威に対応する
インシデントには複数のアラートを含めることができます。 ケースは、特定の調査に関連するすべての証拠を集計したものです。 インシデントは、 [分析] ページで作成した分析ルールに基づいて作成されます。 重大度や状態など、アラートに関連するプロパティはインシデント レベルで設定されます。 探している脅威の種類とその検出方法が Microsoft Azure Sentinel に認識された後、インシデントを調査することで検出された脅威を監視できます。
前提条件
インシデントの調査が可能なのは、分析ルールを設定するときにエンティティ マッピング フィールドを使用した場合のみです。 調査グラフでは、元のインシデントにエンティティが含まれている必要があります。
インシデントを割り当てる必要があるゲスト ユーザーがいる場合は、そのユーザーに Azure AD テナントのディレクトリ閲覧者ロールを割り当てる必要があります。 通常の (ゲスト以外の) ユーザーには、既定でこのロールが割り当てられています。
インシデントの調査方法
[インシデント] を選択します。 [インシデント] ページでは、インシデントの数と、それらが新規、アクティブ、終了状態のいずれかであるかを確認できます。 各インシデントについて、その発生時刻と状態を確認できます。 重大度を調べて、最初に処理するインシデントを決定します。
状態や重要度など、必要に応じてインシデントをフィルター処理できます。 詳細については、「インシデントを検索する」を参照してください。
調査を開始するには、特定のインシデントを選択します。 右側に、その重大度、関連するエンティティの数の概要、このインシデントをトリガーした生イベント、インシデントの一意の ID など、マップされた MITRE ATT & CKの戦術またはテクニックなどのインシデントの詳細情報が表示されます。
インシデント内のアラートとエンティティの詳細を表示するには、インシデントのページで [View full details](完全な詳細の表示) を選択し、インシデントの情報がまとめられている関連タブを確認します。
[タイムライン] タブで、インシデントのアラートとブックマークのタイムラインを確認します。これは、攻撃者のアクティビティのタイムラインを再構築するのに役立ちます。
[類似インシデント (プレビュー)] タブには、現在のインシデントに最も類似する他のインシデントが最大で 20 件まで、コレクションとして表示されます。 これにより、より大きなコンテキストでインシデントを確認でき、調査の指示に役立ちます。 以下で類似のインシデントに関する詳細を確認してください。
[アラート] タブでは、このインシデントに含まれるアラートを確認します。 アラートを生成した分析ルール、アラートごとに返された結果の数、アラートに対してプレイブックを実行する機能など、アラートに関するすべての関連情報が表示されます。 インシデントをさらにドリルダウンするには、 [イベント] の数を選択します。 これにより、結果を生成したクエリと、アラートをトリガーしたイベントが Log Analytics で開きます。
[ブックマーク] タブには、自分または他の調査担当者がこのインシデントにリンクしたブックマークが表示されます。 ブックマークに関する詳細を確認してください。
[エンティティ] タブでは、アラート ルールの定義の一部としてマップしたすべてのエンティティを表示できます。 これらは、ユーザー、デバイス、アドレス、ファイル、その他の種類など、インシデントで役割を果たしたオブジェクトです。
最後に、[コメント] タブでは、調査にコメントを追加することや、他のアナリストや調査担当者が追加したコメントを確認することができます。 コメントに関する詳細を確認してください。
インシデントを積極的に調査する場合、インシデントを閉じるまでその状態を [アクティブ] に設定することをお勧めします。
インシデントは特定のユーザーまたはグループに割り当てることができます。 インシデントごとに、[所有者] フィールドを設定することで、所有者を割り当てることができます。 すべてのインシデントは、開始時点では未割り当ての状態です。 また、調査した内容やインシデントに関する懸念事項を他のアナリストが理解できるように、コメントを追加することもできます。
最近選択したユーザーとグループが、図のドロップダウン リストの上部に表示されます。
[調査] を選択して、調査マップを表示します。
調査グラフを使用して詳細に調査する
調査グラフを使用すると、アナリストは調査ごとに適切な質問を行うことができます。 調査グラフを使用すると、関連データとすべての関連するエンティティを関連付けることによって、潜在的なセキュリティ脅威の範囲を理解し、根本原因を特定するのに役立ちます。 グラフに表示される任意のエンティティを選択して、さまざまな展開オプションを選択することにより、より詳細に調査できます。
調査グラフには、次のものがあります。
生データからのビジュアル コンテキスト:ライブのビジュアル グラフには、生データから自動的に抽出されたエンティティのリレーションシップが表示されます。 これにより、さまざまなデータ ソース間の接続を簡単に確認できます。
調査範囲全体の検出:組み込みの探索クエリを使用して調査範囲を拡大し、侵害の全範囲を明らかにします。
組み込みの調査手順:定義済みの探索オプションを使用して、脅威の発生時に適切な質問をするようにします。
調査グラフを使用するには:
インシデントを選択し、 [調査] を選択します。 これにより、調査グラフが表示されます。 グラフには、アラートに直接接続されているエンティティと、さらに接続されている各リソースのイラスト マップが示されます。
重要
インシデントの調査が可能なのは、分析ルールを設定するときにエンティティ マッピング フィールドを使用した場合のみです。 調査グラフでは、元のインシデントにエンティティが含まれている必要があります。
現在、Microsoft Azure Sentinel では、過去 30 日間までのインシデントの調査がサポートされています。
エンティティを選択すると、 [エンティティ] ウィンドウが開き、そのエンティティに関する情報を確認できます。
各エンティティの上にカーソルを置くと、エンティティの種類ごとにセキュリティ エクスパートやアナリストによって作成された質問の一覧が表示され、調査を深めることができます。 これらのオプションを探索クエリと呼びます。
たとえば、関連するアラートを要求できます。 探索クエリを選択すると、結果として得られたエンティティがグラフに追加されます。 この例では、 [Related alerts](関連するアラート) を選択すると、グラフに次のアラートが返されます。
関連するアラートが点線でエンティティに接続されていることを確認します。
探索クエリごとに、 [イベント] を選択して、生イベントの結果と、Log Analytics で使用されるクエリを開くオプションを選択できます。
インシデントの理解のために、グラフには平行したタイムラインが表示されます。
タイムライン上にカーソルを移動して、グラフ上のどの項目がどの時点で発生したかを確認します。
調査に集中する
インシデントにアラートを追加することで、またはインシデントからアラートを削除することで、調査の範囲を拡大または縮小する方法について説明します。
類似インシデント (プレビュー)
セキュリティ運用アナリストとして、インシデントを調査するときは、より大きなコンテキストに注意を払う必要があります。 たとえば、類似する他のインシデントが以前に発生したか、または現在発生しているかどうかを確認する必要があります。
場合により、同時に発生しているインシデントを特定する必要があります。これらは、同じ大規模な攻撃戦略の一部である可能性があります。
過去の類似するインシデントを現在の調査の参照ポイントとして使用するために、場合により、それらのインシデントを特定する必要があります。
多くのコンテキストを提供できる SOC のユーザーを見つけるため、または調査をエスカレートできる先のユーザーを見つけるために、場合により、過去の類似インシデントの所有者を特定する必要があります。
インシデントの詳細ページの [類似インシデント] タブ (現在プレビュー中) には、現在のインシデントに最も類似する他のインシデントが最大で 20 件表示されます。 類似性は Microsoft Sentinel の内部アルゴリズムによって計算され、インシデントは類似性の降順で並べ替えられて表示されます。
類似性の計算
類似性は、次の 3 つの基準により決定されます。
類似のエンティティ: インシデントと別のインシデントの両方に同じエンティティが含まれる場合、そのインシデントは別のインシデントに類似していると見なされます。 2 つのインシデントに共通するエンティティが多く含まれるほど、それらのインシデントはより類似していると見なされます。
類似のルール: インシデントと別のインシデントの両方が同じ分析ルールによって作成された場合、そのインシデントは別のインシデントに類似していると見なされます。
類似のアラート詳細: インシデントと別のインシデントが同じタイトル、製品名、カスタム詳細のいずれか、またはこれらのすべてを共有する場合、そのインシデントは別のインシデントに類似していると見なされます。
インシデントが類似インシデントの一覧に表示される理由は、[Similarity reason] (類似の理由) 列に表示されます。 情報アイコンにカーソルを合わせると、共通の項目 (エンティティ、ルール名、または詳細) が表示されます。
類似性の時間枠
インシデントの類似性は、14 日前からインシデントの最後のアクティビティまで、つまりインシデントの最新アラートの終了時刻までのデータに基づいて計算されます。
インシデントの類似性は、インシデントの詳細ページに移動するたびに再計算されます。そのため、新しいインシデントが作成された場合やインシデントが更新された場合には、結果がセッション間で異なることがあります。
インシデントに関するコメント
セキュリティ運用アナリストは、インシデントを調査する際、マネジメントへの正確なレポート、そして仕事仲間とのシームレスな連携とコラボレーションを徹底するために、実施する手順をもれなく文書化する必要があります。 Microsoft Sentinel には、その実現に寄与する豊富なコメント環境が用意されています。
コメントを使って実行できる重要な事柄がもう 1 つあります。インシデントが自動的にエンリッチされることです。 インシデントの発生時に、関連した情報を外部ソース (ファイルにマルウェアが含まれていないか VirusTotal でチェックするなど) から取り込むプレイブックを実行するとき、自分が定義した情報に加え、外部ソースの応答をインシデントのコメントに記録させることができます。
コメントの使い方は簡単です。 インシデントの詳細ページの [コメント] タブからアクセスできます。
よく寄せられる質問
インシデントのコメントを使用する際に考慮すべき事柄がいくつかあります。 以下、それらの考慮事項を質問形式で示します。
サポートされる入力の種類を教えてください
テキスト: Microsoft Sentinel のコメントでは、テキスト入力としてプレーンテキスト、基本的な HTML、Markdown がサポートされます。 コピーしたテキスト、HTML、Markdown をコメント ウィンドウに貼り付けることもできます。
画像: 画像へのリンクをコメントに挿入してその画像をインラインで表示できます。ただし、パブリックにアクセスできる場所 (Dropbox、OneDrive、Google ドライブなど) に画像があらかじめホストされている必要があります。 画像をコメントに直接アップロードすることはできません。
コメントにサイズ制限はありますか?
コメントごと: 1 つのコメントが保持できる最大文字数は 30,000 文字です。
インシデントごと: 1 つのインシデントが保持できる最大コメント数は 100 件です。
注意
Log Analytics の SecurityIncident テーブルにおけるインシデント レコード 1 件のサイズの上限は 64 KB です。 この上限を超えた場合、コメントは (最古のものから) 切り詰められ、[高度な検索] の結果に表示されるコメントに影響する可能性があります。
インシデント データベース内の実際のインシデント レコードには影響しません。
コメントはだれが編集したり削除したりできますか?
編集: コメントを編集するためのアクセス許可が与えられているのは、その作成者だけです。
削除: コメントを削除するためのアクセス許可が与えられているのは、Microsoft Sentinel 共同作成者ロールのユーザーだけです。 コメントの作成者であっても、コメントを削除するにはこのロールが必要です。
インシデントを閉じる
特定のインシデントを解決した後 (調査が結論に達した場合など)、インシデントの状態を [Closed](終了) に設定する必要があります。 この場合、インシデントを閉じる理由を指定して、インシデントを分類するよう求められます。 この手順は必須です。 [Select classification](分類を選択) をクリックし、ドロップダウン リストから次のいずれかを選択します。
- [True Positive - suspicious activity](真陽性 - 疑わしいアクティビティ)
- [Benign Positive - suspicious but expected]\(無害な陽性 - 不審だが、予期されている)
- [False Positive - incorrect alert logic](偽陽性 - 間違ったアラート ロジック)
- [False Positive - incorrect data](偽陽性 - 不適切なデータ)
- [Undetermined](不明)
![[分類の選択] リストで使用できる分類が強調表示されているスクリーンショット。](media/investigate-cases/closing-reasons-dropdown.png)
偽陽性と真陽性について詳しくは、「Microsoft Azure Sentinel での偽陽性の処理」を参照してください。
適切な分類を選択した後、 [コメント] フィールドに説明文を追加します。 これは、このインシデントを参照する必要がある場合に役立ちます。 完了したら [適用] をクリックすると、インシデントが閉じられます。
インシデントを検索する
特定のインシデントをすばやく検索するには、インシデント グリッドの上にある検索ボックスに検索文字列を入力して Enter キーを押し、表示されるインシデントの一覧を適切に変更します。 目的のインシデントが結果に含まれていない場合は、 [高度な検索] オプションを使用して検索を絞り込むことができます。
検索パラメーターを変更するには、 [検索] ボタンを選択し、検索を実行するパラメーターを選択します。
次に例を示します。
既定では、インシデントの検索は、インシデント ID、タイトル、タグ、所有者、および製品名の値に対してのみ実行されます。 検索ペインで、一覧を下にスクロールして検索する他のパラメーターを 1 つ以上選択し、 [適用] を選択して検索パラメーターを更新します。 [既定値として設定] を選択すると、選択されているパラメーターが既定のオプションにリセットされます。
注意
[所有者] フィールドの検索では、名前とメール アドレスの両方がサポートされます。
高度な検索オプションを使用すると、検索動作が次のように変更されます。
| 検索動作 | 説明 |
|---|---|
| 検索ボタンの色 | 検索で現在使用されているパラメーターの種類に応じて、検索ボタンの色が変わります。
|
| 自動更新 | 高度な検索パラメーターを使用すると、結果の自動更新を選択できなくなります。 |
| エンティティ パラメーター | 高度な検索では、すべてのエンティティ パラメーターがサポートされています。 任意のエンティティ パラメーターで検索すると、すべてのエンティティ パラメーターで検索が実行されます。 |
| 検索文字列 | 単語の文字列を検索すると、検索クエリ内のすべての単語が含まれます。 検索文字列では大文字と小文字が区別されます |
| クロス ワークスペースのサポート | クロスワークスペース ビューでは、高度な検索はサポートされていません。 |
| 表示される検索結果の数 | 高度な検索パラメーターを使用している場合、一度に表示される結果は 50 件のみです。 |
ヒント
探しているインシデントが見つからない場合は、検索パラメーターを削除して検索を広げます。 検索結果の項目が多すぎる場合は、さらにフィルターを追加して結果を絞り込みます。
次のステップ
この記事では、Microsoft Azure Sentinel を使用して、インシデントの調査を開始する方法について学習しました。 詳細については、次を参照してください。