Microsoft Azure Sentinel でスケジュール化された分析ルールのテンプレート バージョンを管理する

  • [アーティクル]

重要

この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

はじめに

Microsoft Azure Sentinel には分析ルール テンプレートが用意されており、このコピーを効果的に作成することでアクティブなルールに変換することができます。これは、テンプレートからルールを作成することで実現可能です。 ただし、その時点では、アクティブなルールとテンプレートの接続は切れています。 Microsoft のエンジニアやその他のユーザーによってルール テンプレートに変更が加えられても、事前にそのテンプレートから作成されたルールが、新しいテンプレートに合わせて動的に更新されることはありません

ただし、テンプレートから作成したルールには、どのテンプレートから作成されたかの情報が記録されているため、以下の 2 つの利点があります。

  • テンプレートからルールを作成する際 (またはその後) に変更を加えた場合、いつでもそのルールを (テンプレートのコピーとして) 元のバージョンに戻すことができます。

  • テンプレートが更新されたときには通知を受けることができ、ルールを新しいバージョンのテンプレートに更新するか、そのままにしておくかを選択することができます。

この記事では、これらのタスクの管理方法と注意事項について説明します。 以下に説明する手順は、テンプレートから作成されたすべての Scheduled 分析ルールに適用されます。

ルールのテンプレートのバージョン番号を確認する

テンプレート バージョン コントロールを導入することにより、ルール テンプレートと、そこから作成されたルールのバージョンを確認し、追跡することができます。 テンプレートが更新されているルールには、ルール名の横に "Update available" (更新あり) というバッジが表示されます。

  1. [分析] ブレードで、 [アクティブな規則] タブを選択します。

  2. 種類が Schedhuled の任意のルールを選択します。

    • ルールに "Update available" (更新あり) バッジが表示されている場合、詳細ウィンドウの [Edit](編集) ボタンの横に [Review and update](確認して更新) ボタンが表示されます (次の手順の画像 1 を参照してください)。

    • テンプレートから作成したルールに "Update available" (更新あり) バッジが表示されていない場合、詳細ウィンドウの [Edit](編集) ボタンの横には [Compare with template](テンプレートと比較) ボタンが表示されます (次の手順の画像 2 と 3 を参照してください)。

    • [Edit](編集) ボタンのみが表示されている場合、そのルールはテンプレートからではなく、0 から作成されています。

      テンプレートの更新が使用可能であることを示すバッジが付いた、アクティブなルールのリストを示すスクリーンショット。

  3. 詳細ペインの一番下までスクロールすると、2 つのバージョン番号が表示されます。これは、ルールの作成元のテンプレートのバージョンと、使用可能な最新のテンプレートのバージョンです。

    詳細ペインのスクリーンショット。下にスクロールすると、テンプレートのバージョン番号が表示されます。

    数値は "1.0.0" の形式で、それぞれメジャー バージョン、マイナー バージョン、ビルドを表しています。

    • "メジャー バージョン" の番号が違う場合、これはルールによる脅威の検出方法や、機能自体などに影響する、テンプレートの重要な部分が変更されたことを示します。 これは、ルールに含めるべき変更です。

    • "マイナー バージョン" の番号が違う場合、これは、テンプレートにマイナーな改良 (見た目の変化など) が加えられたことを示しています。これは、「あれば嬉しい」ものですが、ルールの機能、有効性、またはパフォーマンスを維持する上では重要ではありません。 この変更は、簡単に組み込んだり、消去することができます。

    Note

    上記の画像 2 と 3 は、更新されていないテンプレートから作成した 2 つのルールの例を示しています。

    • 画像 2 は、テンプレートのバージョン番号が最新のルールを示しています。 これは、2021 年 10 月に Microsoft Azure Sentinel でテンプレートのバージョン コントロールが初めて実装された後に、ルールが作成されたことを示しています。
    • 画像 3 は、最新のテンプレート バージョンを持たないルールを示しています。 これは、ルールが 2021 年 10 月より前に作成されたことを示しています。 利用可能な最新のテンプレート バージョンがある場合、これは、ルールの作成に使用されたテンプレートよりも新しいバージョンである可能性があります。

アクティブなルールとテンプレートを比較する

行いたいアクションに応じて以下のタブを選択し、そのアクションに関する説明を参照してください。

ルールを選択し、更新することに決めた場合は、詳細ペインの [Review and update](確認して更新) を選択します (上記を参照)。 分析ルール ウィザード[Compare to latest version](最新バージョンと比較) タブが表示されます。

このタブには、既存のルールの YAML 表現と最新バージョンのテンプレートが並べて比較されています。

分析ルール ウィザードの [最新バージョンと比較] タブのスクリーンショット。

注意

このルールを更新すると、既存のルールが最新バージョンのテンプレートで上書きされます。

参照名が変更されている場合があるため、既存のルールを参照している自動化ステップやロジックの検証を行う必要があります。 また、元のルールを作成する際に行ったカスタマイズ (クエリ、スケジュール、グループ、その他の設定への変更) も上書きされている可能性があります。

新しいテンプレート バージョンでルールを更新する

  • 新しいバージョンのテンプレートに加えられた変更に問題がなく、元のルールの他の部分に影響がなければ、 [Review and update](確認して更新) を選択して変更を検証し、適用します。

  • ルールをさらにカスタマイズする場合や、上書きしたくない変更を再度適用する場合は、 [Next : Custom changes](次へ: カスタム変更) を選択します。 これを選択した場合は、分析ルール ウィザードの残りのタブをまわって変更を行った後、 [Review and update](確認して更新) タブで変更を検証して適用します。

  • 既存のルールを変更せずに、既存のテンプレートのバージョンを維持する場合は、右上隅にある [X] を選択してウィザードを終了します。

次の手順

このドキュメントでは、Microsoft Azure Sentinel の分析ルール テンプレートのバージョンを追跡し、アクティブなルールを既存のテンプレート バージョンに戻すか、または新しいものに更新する方法について学習しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。