Microsoft Sentinelでアラートの詳細をカスタマイズする

この記事では、基になるクエリ結果のコンテンツでアラートの既定のプロパティをオーバーライドする方法について説明します。

スケジュールされた分析ルールを作成するプロセスでは、最初の手順としてルールの名前と説明を定義し、重大度と MITRE ATT&CK 戦術を割り当てます。 特定のルールによって生成されたすべてのアラート (および結果として作成されたすべてのインシデント) は、アラートの特定のインスタンスの特定のコンテンツに関係なく、ルールで定義された名前、説明、重大度、および戦術を継承します。

アラートの 詳細 機能を使用すると、次の 2 つの方法で、これらのアラートとその他の既定のプロパティをオーバーライドできます。

• アラートのカスタム、変数名、説明を作成します。 アラートの各インスタンスの名前または説明に内容を含めることができるアラートのクエリ出力のフィールドを選択できます。 選択したフィールドに特定のインスタンスに値がない場合、そのインスタンスのアラートの詳細は、ウィザードの最初のページで指定された既定値に戻ります。

• クエリ出力の関連フィールドの値を使用して、アラートの特定のインスタンスの重大度、戦術、およびその他のプロパティ (以下のプロパティの完全な一覧を参照) をカスタマイズします。 選択したフィールドが空であるか、フィールド データ型と一致しない値を持つ場合、それぞれのアラート プロパティは既定値に戻ります (戦術と重大度の場合は、ウィザードの最初のページで指定されたもの)。

アラートの詳細機能を使用するには、次の手順に従います。 これらの手順は 分析ルール作成ウィザードの一部ですが、既存の分析ルールでアラートの詳細を追加または変更するシナリオに対処するために、ここでは個別に対処します。

アラートの詳細をカスタマイズする方法

1. ポータルで、Microsoft Sentinelにアクセスする [分析] ページを入力します。

   • Azure portal
   • Defender ポータル

   Microsoft Sentinel ナビゲーション メニューの [構成] セクションで、[分析] を選択します。

2. スケジュールされたクエリ ルールを選択し、[編集] を選択 します。 または、画面の上部にある [スケジュールされたクエリ ルール > 作成 ] を選択して、新しいルールを作成します。

3. [ ルール ロジックの設定 ] タブを選択します。

4. [ アラート エンリッチメント ] セクションで、[ アラートの詳細] を展開します。

   

5. [アラートの詳細] セクションで、 アラート に表示する詳細に対応するプロパティを含むフリー テキストを追加します。

   1. [ アラート名の形式 ] フィールドに、アラートの名前として表示するテキスト (アラート テキスト) を入力し、アラート テキストの一部にするクエリ出力フィールドを二重の中かっこで囲んで含めます。

      例: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. [ アラートの説明の書式 ] フィールドでも同じ操作を行います。

      注:

      現在、[アラート名の形式] フィールドと [アラートの説明の書式] フィールドには、それぞれ 3 つのパラメーターが制限されています。

   3. 他の既定のプロパティをオーバーライドするには、[アラート プロパティ] ドロップダウン リストから alert プロパティ を選択します。 次に、[ 値 ] ドロップダウン リストから、アラート プロパティを設定する内容のクエリ結果からフィールドを選択します。

   4. より多くの既定のプロパティをオーバーライドするには、[ + 新規追加] を選択し、前の手順を繰り返します。 次のプロパティをオーバーライドできます。

      名前	説明
      AlertName	文字列。 プレーン テキストのみをサポートします。
      説明	文字列。 Microsoft Sentinelが Defender ポータルにオンボードされている場合にのみ、プレーン テキストがサポートされます。
      AlertSeverity	以下のどちらかの値 : - 情報 - 低 - Medium - High
      戦術	以下のどちらかの値 : - 偵察 - ResourceDevelopment - InitialAccess - 実行 - 永続 化 - PrivilegeEscalation - DefenseEvasion - CredentialAccess - 発見 - LateralMovement - コレクション - 流出 - CommandAndControl - 影響 - PreAttack - ImpairProcessControl - InhibitResponseFunction
      手法 (プレビュー)	次の正規表現に一致する文字列: ^T(?<Digits>\d{4})$。 例: T1234
      AlertLink (プレビュー)	文字列
      ConfidenceLevel (プレビュー)	以下のどちらかの値 : - 低 - High - 不明
      ConfidenceScore (プレビュー)	0-1 の整数 (包括)
      ExtendedLinks (プレビュー)	文字列
      ProductComponentName (プレビュー) *この表に従って注意書きを参照してください	文字列
      ProductName (プレビュー) *この表に従って注意書きを参照してください	文字列
      ProviderName (プレビュー) *この表に従って注意書きを参照してください	文字列
      RemediationSteps (プレビュー)	文字列

      注意

      Microsoft Defender ポータルにMicrosoft Sentinelオンボードした場合:

      • Microsoft ソースからのアラートの [ProductName] フィールドはカスタマイズしないでください。 これにより、これらのアラートがMicrosoft Defender XDRから削除され、インシデントは作成されません。

      • ProductComponentName フィールドと ProviderName フィールドはカスタマイズできなくなります。

      これらのカスタマイズのいずれかがいずれかのルールに既に存在する場合は、カスタマイズを削除して互換性を維持し、予期しない結果を回避します。

   考えを変えた場合、または間違った場合は、 アラート プロパティ/値 のペアの横にあるごみ箱のアイコンをクリックしてアラートの詳細を削除するか、[ アラート名]/[説明の書式 ] フィールドからフリー テキストを削除できます。

6. アラートの詳細のカスタマイズが完了したら、ルールを作成する場合は、ウィザードの次のタブに進みます。 既存のルールを編集している場合は、[ 確認と作成 ] タブを選択します。ルールの検証が成功したら、[保存] を選択 します。

サービスの制限

• 1 つのクエリで 最大 50 個の値 を持つフィールドをオーバーライドできます。 クエリが 50 個のカスタマイズされた値を超えると、 すべての カスタマイズされた値が削除され、すべてのクエリ結果でフィールドが既定値に戻ります。 カスタマイズされた値が削除されないように、クエリを調整して 50 以下の値を生成します。
• AlertName フィールドとその他のコレクション以外のプロパティのサイズ制限は 256 バイトです。
• Description フィールドとその他のコレクション プロパティのサイズ制限は 5 KB です。
• サイズ制限を超える値は削除されます。

次の手順

このドキュメントでは、Microsoft Sentinel分析ルールでアラートの詳細をカスタマイズする方法について説明しました。 Microsoft Sentinelの詳細については、次の記事を参照してください。

• アラートを強化する他の方法を調べる:
  • Microsoft Sentinel内のエンティティにデータ フィールドをマップする
  • Microsoft Sentinelのアラートでカスタム イベントの詳細を表示する
• スケジュールされたクエリ分析ルールの全体像を取得します。
• Microsoft Sentinelのエンティティの詳細については、こちらをご覧ください。