Microsoft Sentinel でアラートに含まれるカスタム イベントの詳細を表示する

スケジュールされたクエリ分析ルールは 、Microsoft Sentinel に接続されているデータ ソースからの イベント を分析し、これらのイベントの内容がセキュリティの観点から重要な場合に アラート を生成します。 これらのアラートは、Microsoft Sentinel のさまざまなエンジンによってさらに分析、グループ化、フィルター処理され、SOC アナリストの注意を引く インシデント に蒸留されます。 ただし、アナリストがインシデントを表示した場合、すぐに表示されるのはコンポーネント アラート自体のプロパティのみです。 実際の内容 (イベントに含まれる情報) を確認するには、さらに調べる必要があります。

分析ルール ウィザードのカスタム詳細機能を使用すると、それらのイベントから作成されたアラート内のイベント データを表示し、イベント データをアラート のプロパティの一部にすることができます。 事実上、これにより、インシデントのイベントの内容をすぐに可視化できるため、はるかに高速で効率的なトリアージ、調査、結論の導出、対応が可能になります。

以下で詳しく説明する手順は、分析ルールの作成ウィザードの一部です。 ここでは、既存の分析ルールでカスタムの詳細を追加または変更するシナリオに対処するために、個別に扱います。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

2026 年 7 月以降、Microsoft Sentinel は Defender ポータルでのみサポートされ、Azure portal を使用している残りの顧客は自動的にリダイレクトされます。

Azure で Microsoft Sentinel を使用しているお客様は、Microsoft Defender によって提供される完全な統合セキュリティ操作エクスペリエンスのために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 すべての Microsoft Sentinel ユーザー向けの Microsoft Defender ポータルへの移行の計画」を参照してください。

カスタム イベントの詳細を表示する方法

1. Microsoft Sentinel にアクセスするポータルの [分析 ] ページを入力します。

   Defender ポータル

   Microsoft Defender ナビゲーション メニューで、Microsoft Sentinel を展開し、次に 構成 を展開します。 [分析] を選択します。

   Azure Portal

   Microsoft Sentinel ナビゲーション メニューの [構成 ] セクションで、[ 分析] を選択します。

2. スケジュールされたクエリ ルールを選択し、[ 編集] をクリックします。 または、画面の上部にある [ スケジュールされたクエリ ルール > 作成 ] をクリックして、新しいルールを作成します。

3. [ ルール ロジックの設定 ] タブをクリックします。

4. [ アラート エンリッチメント ] セクションで、[ カスタムの詳細] を展開します。

   

5. 現在展開されている [カスタムの詳細 ] セクションで、表示する詳細に対応するキーと値のペアを追加します。

   1. [ キー ] フィールドに、アラートのフィールド名として表示される任意の名前を入力します。

   2. [ 値 ] フィールドで、アラートに表示するイベント パラメーターをドロップダウン リストから選択します。 この一覧には、ルール クエリの対象となるテーブルのフィールドに対応する値が設定されます。

      

6. [ 新規追加] をクリックして詳細を表示し、最後の手順を繰り返してキーと値のペアを定義します。

   気が変わる場合、または間違いをした場合は、その詳細の 値 ドロップダウン リストの横にあるごみ箱アイコンをクリックして、カスタム詳細を削除できます。

7. カスタム詳細の定義が完了したら、[ 校閲と作成 ] タブをクリックします。ルールの検証が成功したら、[ 保存] をクリックします。

   注

   サービスの制限

   • 1 つの分析ルールで 最大 20 個のカスタム詳細 を定義できます。 各カスタム詳細には 、最大 50 個の値を含めることができます。

   • 1 つのアラート内のすべてのカスタム詳細とその値の合計サイズ制限は 2 KB です。 この上限を超えた値は削除されます。

次のステップ

このドキュメントでは、Microsoft Sentinel 分析ルールを使用してアラートにカスタムの詳細を表示する方法について説明します。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。

• アラートをエンリッチする他の方法を確認します。
  • Microsoft Sentinel でデータ フィールドをエンティティにマップする
  • Microsoft Sentinel でアラートの詳細をカスタマイズする
• スケジュールされたクエリ分析ルールの完全な図を取得します。
• Microsoft Sentinel のエンティティの詳細を確認します。