Microsoft Sentinel内のエンティティにデータ フィールドをマップする

エンティティ マッピングは、 スケジュールされた分析ルールの構成に不可欠な部分です。 ルールの出力 (アラートとインシデント) を強化し、その後の調査プロセスと修復アクションの構成要素として機能する重要な情報を提供します。

以下に詳しく説明する手順は、分析ルール作成ウィザードの一部です。 ここでは個別に扱われ、既存の分析ルールでエンティティ マッピングを追加または変更するシナリオに対処します。

重要

エンティティをマップする方法

  1. ポータルで、Microsoft Sentinelにアクセスする [分析] ページを入力します。

    Microsoft Sentinel ナビゲーション メニューの [構成] セクションで、[分析] を選択します。

  2. スケジュールされたクエリ ルールを選択し、詳細ウィンドウから [編集 ] を選択します。 または、画面の上部にある [ スケジュールされたクエリ ルール > 作成 ] をクリックして、新しいルールを作成します。

  3. [ ルール ロジックの設定 ] タブを選択します。新しいルールの場合は、[ルール クエリ] ウィンドウに クエリ を入力します。

  4. [ アラートの強化 ] セクションで、[ エンティティ マッピング] を展開します

    エンティティ マッピングを展開する

  5. [現在展開されている エンティティ マッピング ] セクションで、[ 新しいエンティティの追加] を選択します。

    新しいエンティティを追加する方法を示すスクリーンショット。

  6. [エンティティ] ドロップダウン リストから エンティティ の種類を選択します。

    エンティティの種類を選択する

  7. エンティティの 識別子 を選択します。 識別子は、エンティティを十分に識別できるエンティティの属性です。 [ 識別子 ] ドロップダウン リストから 1 つを選択し、識別子に対応する [値 ] ドロップダウン リストからデータ フィールドを選択します。 一部の例外を除き、 の一覧には、ルール クエリのサブジェクトとして定義されているテーブル内のデータ フィールドが設定されます。

    特定のエンティティ マッピング に対して最大 3 つの識別子 を定義できます。 必要な識別子もあれば、省略可能な識別子もあります。 少なくとも 1 つの必須識別子を選択する必要があります。 そうでない場合は、必要な識別子を示す警告メッセージが表示されます。 最適な結果を得るには、可能な限り 強力な識別子を 使用する必要があります。また、複数の強力な識別子を使用すると、データ ソース間の相関関係が高くなります。 使用可能な エンティティと識別子の完全な一覧を参照してください。

    フィールドをエンティティにマップする

  8. [ 新しいエンティティの追加] を選択して、さらにエンティティをマップします。 1 つの分析ルールで 最大 10 個のエンティティ マッピング を定義できます。 同じ型の複数をマップすることもできます。 たとえば、2 つの IP エンティティ (1 つは 送信元 IP アドレス フィールドから、もう 1 つは 宛先 IP アドレス フィールド) をマップできます。 これにより、両方を追跡できます。

    考えを変えた場合、または間違った場合は、エンティティ のドロップダウン リストの横にあるごみ箱のアイコンをクリックして、エンティティ マッピングを削除できます。

  9. マッピング エンティティが完了したら、[ 確認と作成 ] タブをクリックします。ルールの検証が成功したら、[保存] をクリック します

注:

  • 1 つのアラートで最大 500 個のエンティティをまとめて識別し、ルールで定義されているすべてのエンティティ マッピングで均等に分割できます

    • たとえば、ルールで 2 つのエンティティ マッピングが定義されている場合、各マッピングは最大 250 個のエンティティを識別できます。5 つのマッピングが定義されている場合、それぞれが最大 100 個のエンティティを識別できます。
    • 1 つのエンティティ型の複数のマッピング (たとえば、ソース IP と宛先 IP) は、それぞれ個別にカウントされます。
    • アラートにこの制限を超える項目が含まれている場合、これらの余分な項目はエンティティとして認識および抽出されません。
  • アラートの エンティティ 領域全体 ([ エンティティ ] フィールド) のサイズ制限は 64 KB です

    • 64 KB を超えるエンティティ フィールドは切り捨てられます。 エンティティが識別されると、フィールド サイズが 64 KB に達するまでアラートに 1 つずつ追加され、未確認のエンティティはアラートから削除されます。

新しいバージョンに関する注意事項

  • 新しいバージョンが一般公開 (GA) になったので、古いバージョンを使用するための機能フラグの回避策は使用できなくなりました。

  • 以前のバージョンを使用してこの分析ルールのエンティティ マッピングを事前に定義していた場合、新しいバージョンに自動的に変換されます。

次の手順

このドキュメントでは、Microsoft Sentinel分析ルールのエンティティにデータ フィールドをマップする方法について説明しました。 Microsoft Sentinelの詳細については、次の記事を参照してください。