インシデントの証拠とエンティティ
Microsoft Sentinel を使用すると、セキュリティ情報のさまざまなソースを使ってインシデントを作成できます。 Microsoft Sentinel のインシデント管理を最大限に活用するには、これらのソースを理解する必要があります。
インシデントの証拠
インシデントの "証拠" は、セキュリティ イベント情報と、Microsoft Sentinel 環境内の脅威を識別する関連する Microsoft Sentinel 資産で構成されます。 証拠は、Microsoft Sentinel がどのように脅威を特定したかを示し、インシデントの詳細に対する認識を高めることができる具体的なリソースにリンクされます。
events
イベントは、Microsoft Sentinel に関連付けられた Log Analytics ワークスペースにある 1 つまたは複数の特定のイベントにリンクしています。 これらのワークスペース自体に、通常は手動で解析するには多すぎる大量のイベントが含まれています。
Microsoft Sentinel 分析ルールにアタッチされているクエリでイベントが返された場合、生成されたインシデントにアタッチされるので、さらにレビューを行うことができます。 これらのイベントは、さらなる調査の前に、インシデントのスコープと頻度を把握するために使用できます。
警告
ほとんどのインシデントは分析ルールのアラートが原因で生成されます。 アラートの例を次に示します。
- 疑わしいファイルの検出。
- 疑わしいユーザー アクティビティの検出。
- 特権の昇格の試行。
分析ルールにより、Kusto 照会言語 (KQL) クエリ、または (Microsoft Defender for Cloud や Microsoft Defender XDR などの) Microsoft セキュリティ ソリューションへの直接接続に基づいて、アラートが生成されます。 アラートのグループ化を有効にすると、Microsoft Sentinel によりインシデントに関連するアラートの証拠が含められるようになります。
ブックマーク
インシデントを調査しているときに、追跡するイベントや、後で調査するためにマークするイベントを特定できます。 1 つまたは複数のイベントを選択し、それらをブックマークとして指定することで、Log Analytics で実行されたクエリを保持できます。 また、今後の脅威ハンティングのプロセスに適切な情報を提供するためのメモやタグを記録できます。 ブックマークを自分とチームメイトで使用できます。
インシデント エンティティ
インシデントの "エンティティ" とは、イベントに関係するネットワークまたはユーザー リソースのことです。 エンティティをエントリ ポイントとして使用すると、そのエンティティに関連付けられているすべてのアラートと相関関係を調べることができます。
エンティティの関係は、インシデントを調査するときに役立ちます。 ID アラート、ネットワーク アラート、データ アクセス アラートを個別に分析するのではなく、エンティティを使用して、環境内の特定のユーザー、ホスト、またはアドレスに関連付けられているすべてのアラートを観察できます。
エンティティ型の一部を次に示します。
- アカウント
- ホスト
- IP
- [URL]
- FileHash
たとえば、エンティティは、Contoso の特定のユーザー、ユーザーのホスト マシン、ユーザーが接続している他のホストに関連付けられている、すべてのアラートを識別するのに役立ちます。 そのユーザーに関連付けられている IP アドレスを特定し、同じ攻撃の一部である可能性があるイベントとアラートを明らかにすることができます。