Share via


分析ルールで脅威インジケーターを使用する

脅威インジケーターを使用して分析ルールを強化し、統合した脅威インテリジェンスに基づいてアラートを自動的に生成します。

前提条件

  • 脅威のインジケーター。 これらは、脅威インテリジェンス フィード、脅威インテリジェンス プラットフォーム、フラット ファイルからの一括インポート、または手動入力から行うことができます。

  • データ ソース: データ コネクタからのイベントは、Sentinel ワークスペースに送られる必要があります。

  • "TI map... " の形式の分析ルールは、お持ちの脅威インジケーターを、取り込んだイベントにマップできます。

セキュリティ アラートを生成するルールを構成する

以下に、Microsoft Sentinel にインポートした脅威インジケーターを使用してセキュリティ アラートを生成するルールを有効化して構成する方法の例を示します。 この例では、 [TI map IP entity to AzureActivity](TI で IP エンティティを AzureActivity にマップする) というルール テンプレートを使用します。 このルールで、あらゆる IP アドレスの種類の脅威インジケーターとすべての Azure アクティビティ イベントを照合します。 一致が見つかると、アラートが対応するインシデントと一緒に生成され、セキュリティ運用チームによる調査を行えるようになります。 この特定の分析ルールでは、Azure アクティビティ データ コネクタ (Azure サブスクリプション レベルのイベントをインポートするため)、脅威インテリジェンス データ コネクタのいずれかまたは両方 (脅威インジケーターをインポートするため) が必要です。 このルールは、インポートされたインジケーターまたは手動で作成されたインジケーターからもトリガーされます。

  1. Azure portal から、Microsoft Sentinel サービスに移動します。

  2. 脅威インテリジェンス データ コネクタを使用して脅威インジケーターをインポートした先、および Azure アクティビティ データ コネクタを使用して Azure アクティビティ データをインポートした先のワークスペースを選択します。

  3. Microsoft Sentinel メニューの [構成] セクションで [分析] を選択します。

  4. [規則のテンプレート] タブを選択して、使用可能な分析ルール テンプレートの一覧を表示します。

  5. 下に示すように、 [TI map IP entity to AzureActivity](TI で IP エンティティを AzureActivity にマップする) というタイトルの付いたルールを見つけ、必要なすべてのデータ ソースを接続済みであることを確認します。

    AzureActivity 分析ルールへの TI マップ IP エンティティに必要なデータ ソースのスクリーンショット。

  6. [TI で IP エンティティを AzureActivity にマップする] ルールを選択してから、 [ルールの作成] を選択してルール構成ウィザードを開きます。 ウィザードで設定を構成してから、[次へ: ルールのロジックを設定 >] を選択します。

    分析ルールの作成構成ウィザードのスクリーンショット。

  7. ウィザードのルール ロジック部分には、次の項目が事前に設定されています。

    • ルールで使用されるクエリ。

    • エンティティ マッピング。これはアカウント、IP アドレス、URL などのエンティティの認識方法を Microsoft Sentinel に指示するもので、これにより、インシデントおよび調査において、このルールによって生成されたセキュリティ アラートでのデータ処理方法が理解されるようになります。

    • このルールを実行するスケジュール。

    • セキュリティ アラートが生成されるまでに必要なクエリ結果の数。

    テンプレートの既定の設定は次のとおりです。

    • 1 時間に 1 回実行します。

    • ThreatIntelligenceIndicator テーブルのすべての IP アドレス脅威インジケーターを、AzureActivity テーブルにある過去 1 時間のイベントで見つかったすべての IP アドレスと照合します。

    • クエリ結果が 0 件より大きい (一致が見つかったことを意味する) 場合に、セキュリティ アラートを生成します。

    • ルールが有効になっています。

    既定の設定は、そのままにすることも、要件に合わせて変更することもできます。また、 [インシデントの設定] タブでインシデント生成設定を定義できます。詳細については、「脅威を検出するためのカスタム分析規則を作成する」を参照してください。 終了したら、 [自動応答] タブを選択します。

  8. この分析ルールからセキュリティ アラートが生成されたときにトリガーする自動化を構成します。 Microsoft Sentinel のオートメーションは、Azure Logic Apps によって提供されるオートメーション ルールプレイブックの組み合わせを使用して行われます。 詳細については、「チュートリアル: Microsoft Sentinel でオートメーション ルールとプレイブックを使用する」を参照してください。 終了したら、[次へ: レビュー >] ボタンを選択して続行します。

  9. ルールの検証に合格したことを示すメッセージが表示されたら、 [作成] ボタンを選択すると完了です。

ルールを見直す

Microsoft Sentinel の [分析] セクションにある [アクティブな規則] タブで、有効になっているルールを見つけます。 そこからアクティブなルールの編集、有効化、無効化、複製、または削除を行います。 新しいルールはアクティブ化すると直ちに実行され、その後は定義されたスケジュールで実行されます。

既定の設定に従うと、ルールがスケジュールに従って実行されるたびに、結果が見つかった場合はセキュリティ アラートが生成されます。 Microsoft Sentinel のセキュリティ アラートは、Microsoft Sentinel の [ログ] セクションで、Microsoft Sentinel グループの下にある SecurityAlert テーブルで確認できます。

Microsoft Sentinel では、分析ルールから生成されたアラートでもセキュリティ インシデントが生成され、Microsoft Sentinel メニューの [脅威管理] にある [インシデント] で確認できます。 インシデントは、セキュリティ運用チームが、適切な応答アクションを判断するためにトリアージして調査する対象です。 詳細については、「チュートリアル: Microsoft Sentinel を使用してインシデントを調査する」を参照してください。

Note

分析ルールの制約は 14 日間を超えて検索するため、Microsoft Sentinel は、12 日ごとにインジケーターを更新して、分析ルールによって照合目的で使用できるようにします。

この記事では、脅威インテリジェンス インジケーターを使用して脅威を検出する方法について説明しました。 Microsoft Sentinel の脅威インテリジェンスに関するさらなる情報については、次の記事を参照してください。