Microsoft Sentinel で脅威インジケーターを操作する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

次のアクティビティによって脅威インテリジェンス (TI) を Microsoft Azure Sentinel に統合します。

• さまざまな TI プラットフォームおよびフィードに対してデータ コネクタを有効化して、Microsoft Azure Sentinel に脅威インテリジェンスをインポートします。

• インポートした脅威インテリジェンスを [ログ] や Microsoft Sentinel の [脅威インテリジェンス] ページに表示して、管理します。

• 脅威を検出し、インポートした脅威インテリジェンスに基づいて、組み込みの分析ルール テンプレートを使用してセキュリティ アラートとインシデントを生成します。

• 脅威インテリジェンス ブックを使用して、Microsoft Sentinel で、インポートした脅威インテリジェンスに関する重要な情報を視覚化します。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

Microsoft Sentinel で脅威インジケーターを表示する

[脅威インテリジェンス] ページでインジケーターを検索して表示する

この手順では、Microsoft Sentinel のメイン メニューからアクセスできる [脅威インテリジェンス] ページでインジケーターを表示し、管理する方法を説明します。 [脅威インテリジェンス] ページを使用して、Log Analytics クエリを作成することなく、インポートした脅威インジケーターの並べ替え、フィルター処理、検索を行います。

[脅威インテリジェンス] ページで脅威インテリジェンス インジケーターを表示するには:

1. Azure portal の Microsoft Sentinel では、[脅威の管理] で、[脅威インテリジェンス] を選びます。
   Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威の管理]>[脅威インテリジェンス] を選びます。

2. グリッドから、詳細を表示しようとしているインジケーターを選択します。 右側にインジケーターの詳細が表示され、信頼度のレベル、タグ、脅威の種類などの情報が示されます。

3. Microsoft Sentinel のこのビューでは、最新バージョンのインジケーターのみが表示されます。 インジケーターがどのように更新されるかの詳細については、脅威インテリジェンスに関するページを参照してください。

4. IP とドメイン名インジケーターは位置情報と WhoIs の追加データによってエンリッチされるため、選択したインジケーターが見つかった調査についてより多くのコンテキストを提供します。

次に例を示します。

Azure Portal

Defender ポータル

重要

位置情報と WhoIs のエンリッチメントは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

ログでインジケーターを見つけて表示する

この手順では、使用されているソース フィードやコネクタに関係なく、インポートした脅威インジケーターを他の Microsoft Sentinel イベント データと一緒に Microsoft Sentinel の [ログ] 領域に表示する方法について説明します。

インポートした脅威インジケーターは、[Microsoft Sentinel] > [ThreatIntelligenceIndicator] の表に一覧表示されます。これが、Analytics や Workbooks など、Microsoft Sentinel の他の場所で実行される脅威インテリジェンス クエリの基盤です。

[ログ] 内の脅威インテリジェンス インジケーターを表示するには:

1. Azure portal の Microsoft Sentinel の場合、[全般] の下にある [ログ] を選びます。
   Defender ポータルの Microsoft Sentinel では、[調査と応答]>[ハンティング]>[高度なハンティング] を選びます。

2. ThreatIntelligenceIndicator テーブルは、Microsoft Sentinel グループの下にあります。

3. テーブル名の横にある [データのプレビュー] アイコン (目のアイコン) を選択し、 [クエリ エディターで表示] ボタンを選択してこのテーブルのレコードを表示するクエリを実行します。

   結果は、このスクリーンショットに示されているサンプルの脅威インジケーターのようになります。

   

インジケーターの作成とタグ付け

[脅威インテリジェンス] ページでは、Microsoft Sentinel のインターフェイス内で直接脅威インジケーターを作成したり、インジケーターのタグ付けやセキュリティ調査に関連した新しいインジケーターの作成という最も一般的な 2 つの脅威インテリジェンス管理タスクを実行したりすることもできます。

新しいインジケーターを作成する

1. Azure portal の Microsoft Sentinel では、[脅威の管理] で、[脅威インテリジェンス] を選びます。
   Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威の管理]>[脅威インテリジェンス] を選びます。

2. ページ上部のメニュー バーから [新規追加] ボタンを選択します。

   

3. インジケーターの種類を選択し、 [新しいインジケーター] パネルのフォームに入力します。 必須フィールドには、赤いアスタリスク (*) が付いています。

4. [適用] を選択します。 インジケーターがインジケーター リストに追加され、 [ログ] の ThreatIntelligenceIndicator テーブルにも送信されます。

脅威インジケーターのタグ付けと編集

タグ付けは、脅威インジケーターをグループ化して見つけやすくする簡単な方法です。 通常は、特定のインシデントに関連するインジケーター、または特定の既知のアクターや既知の攻撃キャンペーンからの脅威を表すものにタグを適用できます。 脅威インジケーターを個別にタグ付けするか、インジケーターを複数選択してすべて一度にタグ付けします。 複数のインジケーターにインシデント ID をタグ付けする例を次に示します。 タグ付けは自由形式であるため、脅威インジケーター タグの標準的な名前付け規則を作成することをお勧めします。 インジケーターには複数のタグを適用できます。

Microsoft Sentinel では、Microsoft Sentinel で直接作成されたか、TIP や TAXII サーバーなどのパートナー ソースから取得されたかに関係なく、インジケーターを編集することもできます。 Microsoft Sentinel で作成されたインジケーターの場合、すべてのフィールドを編集できます。 パートナー ソースから取得したインジケーターの場合は、タグ、[有効期限]、[信頼度]、[取り消し] など、特定のフィールドのみ編集可能です。 どちらの方法でも、[脅威インテリジェンス] ページ ビューに表示されるのは最新バージョンのインジケーターのみであることに注意してください。 インジケーターがどのように更新されるかの詳細については、脅威インテリジェンスに関するページを参照してください。

ブックによって脅威インテリジェンスに関する分析情報を提供する

専用の Microsoft Sentinel ブックを使用して、Microsoft Sentinel で脅威インテリジェンスに関する重要な情報を視覚化できます。このブックは、ビジネス ニーズに応じてカスタマイズできます。

Microsoft Sentinel で提供される脅威インテリジェンス ブックを見つける方法と、ブックを編集してカスタマイズする方法の例を次に示します。

1. Azure portal から、Microsoft Sentinel サービスに移動します。

2. いずれかの脅威インテリジェンス データ コネクタを使用して脅威インジケーターをインポートしたワークスペースを選択します。

3. Microsoft Sentinel メニューの [脅威管理] セクションで、 [ブック] を選択します。

4. [脅威インテリジェンス] というタイトルの付いたブックを見つけ、下に示すように、ThreatIntelligenceIndicator テーブルにデータがあることを確認します。

   

5. [保存] ボタンを選択し、ブックを格納する Azure の場所を選択します。 この手順は、ブックを任意の方法で変更し、変更内容を保存する場合に必要です。

6. 次に、 [保存されたブックの表示] ボタンを選択して、表示および編集用にブックを開きます。

7. これで、テンプレートによって提供される既定のグラフが表示されます。 グラフを変更するには、ページ上部にある [編集] ボタンを選択して、ブックの編集モードに入ります。

8. 脅威の種類別に脅威インジケーターを示す新しいグラフを追加します。 ページの下部までスクロールし、 [クエリの追加] を選択します。

9. Log Analytics ワークスペースのログ クエリのテキスト ボックスに次のテキストを追加します。

   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

10. [視覚化] ドロップダウンで、 [横棒グラフ] を選択します。

11. [編集が完了しました] ボタンを選択します。 ブックの新しいグラフが作成されました。

    

ブックには、Microsoft Sentinel のあらゆる側面に関する分析情報を提供する、強力な対話型ダッシュボードが用意されています。 ブックでは多くのことができますが、提供されるテンプレートを最適な出発点として、使い慣れてきたらテンプレートをカスタマイズしたり、さまざまなデータ ソースを組み合わせた新しいダッシュボードを作成したりできます。これにより、独自の方法でデータを視覚化できるようになります。 Microsoft Azure Sentinel ブックは Azure Monitor ブックに基づいているため、広範なドキュメントが既にあり、さらに多くのテンプレートを利用できます。 Azure Monitor ブックを使用した対話型レポートの作成の方法に関するこの記事から読み始めることをお勧めします。

また、GitHub 上は Azure Monitor ブックの活発なコミュニティがあるため、追加のテンプレートをダウンロードしたり、独自のテンプレートを投稿したりすることができます。

関連するコンテンツ

この記事では、Microsoft Sentinel 全体で脅威インテリジェンス インジケーターを操作するすべての方法について学習しました。 Microsoft Sentinel の脅威インテリジェンスに関するさらなる情報については、次の記事を参照してください。

• Microsoft Sentinel の脅威インテリジェンスについて。
• Microsoft Azure Sentinel を STIX、TAXII 脅威インテリジェンス フィードに接続する。
• Microsoft Sentinel と簡単に統合できる TIP、TAXII フィード、エンリッチメントを確認する。