Microsoft Sentinel でアラートに含まれるカスタム イベントの詳細を表示する

はじめに

スケジュールされたクエリ分析ルールを使用すると、Microsoft Sentinel に接続されたデータ ソースのイベントを分析し、それらのイベントの内容がセキュリティの観点から重要な場合にアラートを生成できます。 これらのアラートは、Microsoft Sentinel のさまざまなエンジンを使用してさらに分析、グループ化、フィルター処理が行われ、SOC アナリストにとって注意が必要なインシデントへと抽出されます。 ただし、アナリストがインシデントを表示した場合、すぐに表示されるのはコンポーネント アラート自体のプロパティのみです。 実際の内容 (イベントに含まれる情報) を確認するには、さらに調べる必要があります。

分析ルール ウィザードカスタムの詳細機能を使用すると、それらのイベントから構築されたイベント データをアラートに表示し、イベント データをアラート プロパティの一部にすることができます。 事実上、これにより、インシデントのイベントの内容をすぐに可視化できるため、はるかに高速で効率的なトリアージ、調査、結論の導出、対応が可能になります。

以下で詳しく説明する手順は、分析ルールの作成ウィザードの一部です。 ここでは、既存の分析ルールでカスタムの詳細を追加または変更するシナリオに対処するために、個別に扱います。

カスタム イベントの詳細を表示する方法

  1. Microsoft Sentinel のナビゲーション メニューから [分析] を選択します。

  2. スケジュールされたクエリ ルールを選択し、 [編集] をクリックします。 または、画面の上部の [作成] > [スケジュール済みクエリ ルール] をクリックして新しいルールを作成します。

  3. [ルールのロジックを設定] タブをクリックします。

  4. [アラート エンリッチメント] セクションで、[カスタムの詳細] を展開します。

    Find and select custom details

  5. 展開された [Custom details](カスタムの詳細) セクションで、表示する詳細に対応するキーと値のペアを追加します。

    1. [キー] フィールドに、アラートのフィールド名として表示される任意の名前を入力します。

    2. [値] フィールドで、アラートに表示するイベント パラメーターをドロップダウン リストから選択します。 この一覧には、ルール クエリの対象となるテーブルのフィールドに対応する値が設定されます。

      Add custom details

  6. [新規追加] をクリックして詳細を表示し、最後の手順を繰り返してキーと値のペアを定義します。

    気が変わった場合や、間違えた場合は、その詳細の [値] ドロップダウン リストの横にあるゴミ箱アイコンをクリックすると、カスタムの詳細を削除できます。

  7. カスタム詳細の定義が完了したら、 [確認と作成] タブをクリックします。ルールの検証に成功したら、 [保存] をクリックします。

    Note

    サービスの制限

    • 1 つの分析ルールで最大 20 個のカスタムの詳細を定義できます。

    • カスタム詳細とアラート詳細のサイズ制限はすべて合わせて、まとめて 64 KB です。

次のステップ

このドキュメントでは、Microsoft Sentinel 分析ルールを使用してアラートにカスタムの詳細を表示する方法について説明します。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。