エンティティを探す

  • 7 分

アラートが Microsoft Sentinel に送信されるときには、ユーザー アカウント、ホスト、IP アドレスなど、Microsoft Sentinel によってエンティティとして識別および分類されたデータ要素が含まれます。 ときによって、エンティティに関する十分な情報がアラートに含まれていない場合に、この識別が困難になることがあります。

たとえば、ユーザー アカウントは複数の方法で識別できます。Microsoft Entra アカウントの数値識別子 (GUID) またはユーザー プリンシパル名 (UPN) 値を使用する方法や、ユーザー名と NT ドメイン名を組み合わせて使用する方法です。 データ ソースが異なる場合、同じユーザーが異なる方法で識別されることがあり得ます。 そのため、Microsoft Sentinel は、可能な限り、これらの識別子を 1 つのエンティティに統合して、適切に識別できるようにします。

しかし、いずれかのリソース プロバイダーによって作成されたアラートでエンティティを十分に識別できない場合があります (たとえば、ドメイン名のコンテキストがないユーザー名など)。 このような場合、ユーザー エンティティを同じユーザー アカウントの他のインスタンスとマージすることはできません。これは別個のエンティティとして識別されます。それら 2 つのエンティティは、統合されず分離されたままになります。

この発生リスクを最小限に抑えるために、使用しているすべてのアラート プロバイダーについて、生成されるアラート内でエンティティが正しく識別されることを確実にする必要があります。 さらに、ユーザー アカウント エンティティを Microsoft Entra ID と同期することで、統合ディレクトリを作成してユーザー アカウント エンティティをマージできるようになります。

現在、Microsoft Sentinel では次の種類のエンティティが識別されます。

  • ユーザー アカウント (Account)

  • Host

  • IP アドレス (IP)

  • マルウェア

  • ファイル

  • Process

  • クラウド アプリケーション (CloudApplication)

  • ドメイン名 (DNS)

  • Azure リソース

  • ファイル (FileHash)

  • レジストリ キー

  • レジストリ値

  • セキュリティ グループ

  • URL

  • IoT デバイス

  • メールボックス

  • メール クラスター

  • メール メッセージ

  • 送信メール

エンティティ ページ

検索、アラート、または調査で何らかのエンティティ (現在はユーザーとホストに制限されています) を検出した場合は、そのエンティティを選択してエンティティ ページに移動できます。これは、そのエンティティに関する役立つ情報が豊富に含まれているデータシートです。 このページで見つけることができる情報の種類には、そのエンティティについての基本的な事実、このエンティティに関連した注目すべきイベントのタイムライン、そのエンティティの行動に関する分析情報が含まれます。

エンティティ ページは、次の 3 つの部分で構成されます。

  • 左側のパネルには、Microsoft Entra ID、Azure Monitor、Microsoft Defender for Cloud、Microsoft Defender XDR といったデータ ソースから収集されたエンティティの識別情報が含まれます。

  • 中央のパネルには、そのエンティティに関連した注目すべきイベント (アラート、ブックマーク、アクティビティなど) のグラフとテキストの両方のタイムラインが表示されます。 アクティビティは、Log Analytics からの注目すべきイベントの集計です。 これらのアクティビティを検出するクエリは、Microsoft のセキュリティ調査チームによって開発されています。

  • 右側のパネルには、エンティティに関する行動分析情報が表示されます。 これらの分析情報は、異常やセキュリティの脅威をすばやく特定するために役立ちます。 この分析情報は Microsoft のセキュリティ調査チームによって開発され、異常検出モデルに基づいています。

タイムライン

Screen shot of an Entity Behavior timeline.

タイムラインは、Microsoft Sentinel の行動分析に対するエンティティ ページの主要な部分です。 ここには、エンティティ関連のイベントに関する項目が表示されるため、特定の期間内のエンティティのアクティビティを理解するのに役立ちます。

事前に設定されたいくつかのオプション ( [過去 24 時間] など) の中から [時間範囲] を選択するか、またはそれをカスタム定義の期間に設定できます。 さらに、タイムライン内の情報を特定の種類のイベントまたはアラートに制限するフィルターを設定できます。

タイムラインには、次の種類の項目が含まれています。

アラート - そのエンティティが [マップされたエンティティ] として定義されているすべてのアラート。 組織で分析ルールを使用したカスタム アラートが作成されている場合は、ルールのエンティティ マッピングが正しく実行されていることを確認する必要があります。

ブックマーク - ページにその特定のエンティティが表示されているすべてのブックマーク。

アクティビティ - そのエンティティに関連した注目すべきイベントの集計。

エンティティ分析情報

エンティティ分析情報は、アナリストがより効率的かつ効果的に調査できるようにするために Microsoft のセキュリティ研究者によって定義されたクエリです。 この分析情報はエンティティ ページの一部として表示され、ホストとユーザーに関する重要なセキュリティ情報を表形式データとグラフの両方の形式で提供します。 ここに情報が表示されるため、Log Analytics に迂回する必要はありません。 この分析情報には、サインイン、グループの追加、異常なイベントなどに関連したデータや、異常な行動を検出するための高度な ML アルゴリズムが含まれています。 この分析情報は、次のデータの種類に基づいてます。

  • syslog

  • SecurityEvent

  • [監査ログ]

  • サインイン ログ

  • オフィスのアクティビティ

  • 行動分析 (UEBA)