Microsoft Sentinel でハンティング ライブストリームを使用して脅威を検出する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

ハンティング ライブストリームを使用して、イベントの発生時に新たに作成したクエリをテストしたり、一致が見つかった場合にセッションから通知を取得したり、必要に応じて調査を開始したりできるようにする対話型セッションを作成します。 どのような Log Analytics クエリを使用したライブストリーム セッションでも、すばやく作成できます。

  • イベントの発生時に新たに作成したクエリをテストする

    イベントにアクティブに適用されている現在のルールとの競合を発生させずに、クエリをテストし、調整することができます。 これらの新しいクエリが期待どおりに動作することを確認したら、セッションをアラートに昇格させるオプションを選択することで、クエリをカスタムのアラート ルールに簡単に昇格させることができます。

  • 脅威が発生した際に通知を受け取る

    脅威データ フィードを集計済みのログ データと比較し、一致が見つかった場合に通知を受け取ることができます。 脅威データ フィードは、潜在的脅威または現在の脅威に関連する継続的なデータ ストリームであるため、この通知から組織に対する潜在的脅威が判明する可能性があります。 カスタムのアラート ルールを維持するためのオーバーヘッドを発生させることなく潜在的な問題の通知を受け取るには、カスタムのアラート ルールではなくライブストリーム セッションを作成します。

  • 調査を開始する

    ホストやユーザーなどの資産に関連する調査が積極的に行われている場合は、特定の (または任意の) アクティビティがその資産で発生すると、ログ データ内に表示されます。 そのアクティビティが発生したら通知されるようにします。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

ライブストリーム セッションを作成する

既存のハンティング クエリからライブストリーム セッションを作成することも、ゼロからセッションを作成することもできます。

  1. Azure portal の Microsoft Sentinel では、[脅威管理] で、[ハンティング] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威管理]>[ハンティング] を選択します。

  2. ハンティング クエリからライブストリーム セッションを作成するには、次のようにします。

    1. [クエリ] タブで、使用するハンティング クエリを見つけます。
    2. クエリを右クリックし、 [Add to Livestream](ライブストリームに追加) を選択します。 次に例を示します。

    Microsoft Sentinel ハンティング クエリからライブストリーム セッションを作成する

  3. ゼロからライブストリーム セッションを作成するには、次のようにします。

    1. [ライブストリーム] タブを選択します。
    2. [+ 新しいライブストリーム] を選択します。

  4. [Livestream](ライブストリーム) ウィンドウで、次を実行します。

    • クエリからライブストリームを開始した場合は、クエリを確認し、必要があれば変更を加えてください。
    • ゼロからライブストリームの作成を開始した場合は、クエリを作成します。

    ライブストリームでは、Azure Data Explorer 内のデータのクロスリソース クエリ がサポートされています。 クロスリソース クエリの詳細をご確認ください

  5. コマンド バーで、 [再生] を選択します。

    コマンド バーの下にあるステータス バーに、ライブストリーム セッションが実行中であるか一時停止しているかが示されます。 次の例では、セッションが実行中です。

    Microsoft Sentinel ハンティングからライブストリーム セッションを作成する

  6. コマンド バーで、 [保存] を選択します。

    [一時停止] を選択しない限り、Azure portal からサインアウトするまで、セッションが継続的に実行されます。

ライブストリーム セッションを表示する

  1. Azure portal の Microsoft Sentinel では、[脅威管理] で、[ハンティング] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威管理]>[ハンティング] を選択します。

  2. [ライブストリーム] タブを選択します。

  3. 表示または編集するライブストリーム セッションを選択します。 次に例を示します。

    Microsoft Sentinel ハンティング クエリからライブストリーム セッションを作成する

    選択したライブストリーム セッションが開き、再生、一時停止、編集などを行うことができるようになります。

新しいイベントが発生したときに通知を受け取る

新しいイベントについてのライブストリーム通知では Azure portal の通知が使用されるため、Azure portal を使用すればいつでもこれらの通知を確認できます。 次に例を示します。

Azure portal のライブストリーム通知

通知を選択すると、 [Livestream](ライブストリーム) ウィンドウが開きます。

ライブストリーム セッションをアラートに昇格させる

ライブストリーム セッションを新しいアラートに昇格するには、関連するライブストリーム セッションのコマンド バーで [アラートに昇格] を選択します。

ライブストリーム セッションをアラートに昇格させる

このアクションにより、ルールの作成ウィザードが開きます。このウィザードには、ライブストリーム セッションに関連付けられているクエリが事前に設定されています。

次のステップ

この記事では、Microsoft Sentinel でハンティング ライブストリームを使用する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。