Microsoft Sentinelでの異常検出分析ルールの操作

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

重要

カスタム検出は、SIEM Microsoft Defender XDR全体で新しいルールMicrosoft Sentinel作成するための最良の方法になりました。 カスタム検出を使用すると、インジェスト コストを削減し、無制限のリアルタイム検出を取得し、自動エンティティ マッピングを使用してDefender XDRデータ、関数、修復アクションとシームレスに統合できます。 詳細については、 このブログを参照してください。

Microsoft Sentinelのカスタマイズ可能な異常機能には、すぐに使用できる価値を得るための組み込みの異常テンプレートが用意されています。 これらの異常テンプレートは、何千ものデータ ソースと何百万ものイベントを使用して堅牢にするために開発されましたが、この機能を使用すると、ユーザー インターフェイス内で異常のしきい値とパラメーターを簡単に変更することもできます。 異常ルールは既定で有効またはアクティブ化されるため、すぐに異常が生成されます。 これらの異常は、[ログ] セクションの Anomalies テーブルで確認してクエリを実行できます。

重要

2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します

Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。

カスタマイズ可能な異常ルール テンプレートを表示する

[分析] ページの [異常] タブで、グリッドに表示される 異常 ルール 確認できるようになりました。

  1. Microsoft Defender ポータルのユーザーの場合は、Microsoft Defender ナビゲーション メニューから [Microsoft Sentinel > 構成> Analytics] を選択します。

    Azure portalのMicrosoft Sentinelユーザーの場合は、Microsoft Sentinelナビゲーション メニューから [分析] を選択します。

  2. [分析] ページ 、[異常] タブ 選択します。

  3. 次の条件の 1 つ以上で一覧をフィルター処理するには、[ フィルターの追加] を選択し、それに応じて選択します。

    • 状態 - ルールが有効か無効か。

    • 戦術 - MITRE ATT は、異常によってカバーされる CK フレームワーク戦術を&します。

    • 手法 - MITRE ATT&異常によってカバーされる CK フレームワーク手法です。

    • データ ソース - 異常を定義するために取り込んで分析する必要があるログの種類。

  4. ルールを選択し、詳細ウィンドウで次の情報を表示します。

    • 説明 では、異常のしくみと必要なデータについて説明します。

    • 戦術と手法 は、異常によってカバーされる MITRE ATT&CK フレームワークの戦術と手法です。

    • パラメーター は、異常の構成可能な属性です。

    • しきい値 は、異常が作成される前にイベントが異常である必要がある程度を示す構成可能な値です。

    • ルールの頻度 は、異常を検出するログ処理ジョブ間の時間です。

    • ルールの状態 は、有効な場合に、ルールが 運用 モードまたは フライト (ステージング) モードで実行されるかどうかを示します。

    • 異常バージョン は、ルールによって使用されるテンプレートのバージョンを示します。 既にアクティブなルールで使用されるバージョンを変更する場合は、ルールを再作成する必要があります。

Microsoft Sentinelに付属するルールを編集または削除することはできません。 ルールをカスタマイズするには、まずルールの複製を作成してから、その複製をカスタマイズする必要があります。 完全な手順を参照してください

注:

ルールを編集できない場合、[編集] ボタンがあるのはなぜですか?

すぐに使用できる異常ルールの構成を変更することはできませんが、次の 2 つの操作を行うことができます。

  1. ルールのルールの状態運用フライティングの間で切り替えることができます。

  2. カスタマイズ可能な異常に関するエクスペリエンスに関するフィードバックを Microsoft に送信できます。

異常の品質を評価する

過去 24 時間にわたってルールによって作成された異常のサンプルを確認することで、異常ルールのパフォーマンスを確認できます。

  1. Azure portalのMicrosoft Sentinelユーザーの場合は、Microsoft Sentinelナビゲーション メニューから [分析] を選択します。

    Microsoft Defender ポータルのユーザーの場合は、Microsoft Defender ナビゲーション メニューから [Microsoft Sentinel > 構成> Analytics] を選択します。

  2. [分析] ページ 、[異常] タブ 選択します。

  3. 評価するルールを選択し、詳細ウィンドウの上部から右側にその ID をコピーします。

  4. Microsoft Sentinel ナビゲーション メニューで、[ログ] を選択します

  5. [クエリ] ギャラリーが上部に表示される場合は、それを閉じます。

  6. [ログ] ページの左側のウィンドウで [テーブル] タブを選択します。

  7. [時間範囲] フィルターを [過去 24 時間] に設定します。

  8. 以下の Kusto クエリをコピーし、クエリ ウィンドウに貼り付けます ("ここにクエリを入力してください。

    Anomalies 
| where RuleId contains "<RuleId>"

    上記でコピーしたルール ID を、引用符の間に <RuleId> の代わりに貼り付けます。

  9. [実行] を選択します。

いくつかの結果が得られたら、異常の品質の評価を開始できます。 結果がない場合は、時間範囲を増やしてみてください。

各異常の結果を展開し、[ AnomalyReasons ] フィールドを展開します。 これは、異常が発生した理由を示します。

異常の "妥当性" または "有用性" は、環境の条件によって異なりますが、異常ルールが多すぎる異常を生成する一般的な理由は、しきい値が低すぎるということです。

異常ルールを調整する

異常ルールは、最大限の効果を得るために設計されていますが、すべての状況は一意であり、場合によっては異常ルールを調整する必要があります。

元のアクティブなルールを編集できないため、最初にアクティブな異常ルールを複製してから、コピーをカスタマイズする必要があります。

元の異常ルールは、無効または削除するまで実行を続けます。

これは設計上、元の構成と新しい構成によって生成された結果を比較する機会を提供します。 重複ルールは既定で無効になっています。 特定の異常ルールのカスタマイズされたコピーは 1 つだけ作成できます。 2 つ目のコピーを作成しようとすると失敗します。

  1. 異常ルールの構成を変更するには、[異常 ] タブの 一覧からルールを選択します。

  2. ルールの行の任意の場所を右クリックするか、行の末尾にある省略記号 (...) を左クリックし、コンテキスト メニューから [ 複製 ] を選択します。

    次の特性を持つ新しいルールが一覧に表示されます。

    • ルール名は元の名前と同じになり、末尾に "- Customized" が追加されます。
    • ルールの状態は [無効] になります
    • FLGT バッジが行の先頭に表示され、ルールがフライティング モードであることを示します。

  3. このルールをカスタマイズするには、ルールを選択し、詳細ウィンドウまたはルールのコンテキスト メニューから [編集 ] を選択します。

  4. 分析ルール ウィザードでルールが開きます。 ここでは、ルールのパラメーターとそのしきい値を変更できます。 変更できるパラメーターは、異常の種類とアルゴリズムによって異なります。

    [結果のプレビュー ] ウィンドウで変更の結果をプレビューできます。 結果プレビューで Anomaly ID を 選択して、ML モデルがその異常を識別する理由を確認します。

  5. カスタマイズしたルールを有効にして結果を生成します。 一部の変更では、ルールの再実行が必要な場合があるため、完了するまで待ってから、ログ ページの結果チェックに戻る必要があります。 カスタマイズされた異常ルールは、既定で フライティング (テスト) モードで実行されます。 既定では、元のルールは引き続き 運用 モードで実行されます。

  6. 結果を比較するには、 ログ の Anomalies テーブルに戻り、 以前と同様に新しいルールを評価します。代わりに次のクエリのみを使用して、元のルールと重複するルールによって生成された異常を検索します。

    Anomalies 
| where AnomalyTemplateId contains "<RuleId>"

    元のルールからコピーしたルール ID を、引用符の間に <RuleId> の代わりに貼り付けます。 元のルールと重複するルールの両方の AnomalyTemplateId の値は、元のルールの RuleId の値と同じです。

カスタマイズしたルールの結果に問題がなければ、[ 異常 ] タブに戻り、カスタマイズしたルールを選択し、[ 編集 ] ボタンを選択し、[ 全般 ] タブで [フライト ] から [ 運用] に切り替えることができます。 運用環境で同じルールの 2 つのバージョンを同時に使用できないため、元のルールは自動的に Flighting に変更されます。

次の手順

このドキュメントでは、Microsoft Sentinelでカスタマイズ可能な異常検出分析ルールを操作する方法について説明しました。

  • Last updated on