Microsoft Sentinel (レガシ) を使用してインシデントを調査する

  • 適用対象: Microsoft Sentinel in the Azure portal

この記事は、Microsoft Sentinelの従来のインシデント調査エクスペリエンスを使用するのに役立ちます。 新しいバージョンのインターフェイスを使用している場合は、一致する新しい一連の手順を使用します。 詳細については、「Microsoft Sentinelでのインシデントの移動と調査」を参照してください。

データ ソースをMicrosoft Sentinelに接続した後、疑わしいことが発生したときに通知を受け取る必要があります。 これを行うために、Microsoft Sentinelでは、割り当ておよび調査できるインシデントを生成する高度な分析ルールを作成できます。

インシデントには、複数のアラートを含めることができます。 これは、特定の調査に関連するすべての証拠の集計です。 インシデントは、[ 分析 ] ページで作成した分析ルールに基づいて作成されます。 重大度や状態などのアラートに関連するプロパティは、インシデント レベルで設定されます。 探している脅威の種類と検出方法をMicrosoft Sentinelに知らせると、インシデントを調査して検出された脅威を監視できます。

重要

現在、機能はプレビュー段階です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。

前提条件

  • 分析ルールを設定するときにエンティティ マッピング フィールドを使用した場合にのみ、インシデントを調査できます。 調査グラフでは、元のインシデントにエンティティが含まれている必要があります。

  • インシデントを割り当てる必要があるゲスト ユーザーがある場合は、Microsoft Entra テナントでディレクトリ閲覧者ロールを割り当てる必要があります。 通常の (非ゲスト) ユーザーには、既定でこのロールが割り当てられます。

インシデントを調査する方法

  1. [ インシデント] を選択します。 [ インシデント ] ページでは、持っているインシデントの数と、インシデントが新規、 アクティブ、またはクローズのどちらであるかを確認できます。 インシデントごとに、発生した時刻とインシデントの状態を確認できます。 重大度を調べ、最初に処理するインシデントを決定します。

    インシデントの重大度のビューのスクリーンショット。

  2. 状態や重大度など、必要に応じてインシデントをフィルター処理できます。 詳細については、「 インシデントの検索」を参照してください。

  3. 調査を開始するには、特定のインシデントを選択します。 右側には、インシデントの重大度、関連するエンティティの数の概要、このインシデントをトリガーした生イベント、インシデントの一意の ID、マップされた MITRE ATT&CK 戦術または手法など、インシデントの詳細な情報が表示されます。

  4. インシデント内のアラートとエンティティの詳細を表示するには、[インシデント] ページで [ 完全な詳細の表示 ] を選択し、インシデント情報を要約する関連タブを確認します。

    アラートの詳細の表示のスクリーンショット。

    • 現在新しいエクスペリエンスを使用している場合は、インシデントの詳細ページの右上でオフに切り替えて、代わりにレガシ エクスペリエンスを使用します。

    • [タイムライン] タブで、インシデント内のアラートとブックマークのタイムラインを確認します。これは、攻撃者のアクティビティのタイムラインを再構築するのに役立ちます。

    • [ 類似インシデント (プレビュー)] タブには、現在のインシデントに最も近い最大 20 件の他のインシデントのコレクションが表示されます。 これにより、インシデントをより大きなコンテキストで表示でき、調査の指示に役立ちます。 同様のインシデントの詳細については、以下を参照してください

    • [ アラート ] タブで、このインシデントに含まれるアラートを確認します。 アラートに関するすべての関連情報 (生成された分析ルール、アラートごとに返された結果の数、アラートでプレイブックを実行する機能) が表示されます。 インシデントをさらにドリルダウンするには、[イベント] の数を選択 します。 これにより、結果を生成したクエリと、Log Analytics でアラートをトリガーしたイベントが開きます。

    • [ ブックマーク ] タブには、自分または他の調査担当者がこのインシデントにリンクしたブックマークが表示されます。 ブックマークの詳細については、こちらをご覧ください

    • [エンティティ] タブには、アラート ルール定義の一部としてマップしたすべてのエンティティが表示されます。 これらは、ユーザー、デバイス、アドレス、ファイル、 またはその他の種類のいずれであっても、インシデントで役割を果たしたオブジェクトです。

    • 最後に、[ コメント ] タブで、調査に関するコメントを追加し、他のアナリストや調査担当者が行ったコメントを表示できます。 コメントの詳細については、こちらをご覧ください

  5. インシデントを積極的に調査している場合は、インシデントを閉じるまでインシデントの状態を [アクティブ] に設定することをお勧めします。

  6. インシデントは、特定のユーザーまたはグループに割り当てることができます。 インシデントごとに、[ 所有者] フィールド を設定して所有者を割り当てることができます。 すべてのインシデントは未割り当てとして開始されます。 また、調査した内容とインシデントに関する懸念事項を他のアナリストが理解できるように、コメントを追加することもできます。

    ユーザーにインシデントを割り当てるスクリーンショット。

    最近選択したユーザーとグループが、図のドロップダウン リストの上部に表示されます。

  7. [ 調査] を選択して、調査マップを表示します。

調査グラフを使用して詳細を確認する

調査グラフを使用すると、アナリストは調査ごとに適切な質問をすることができます。 調査グラフは、関連するデータを関連エンティティと関連付けることで、潜在的なセキュリティ上の脅威の範囲を理解し、根本原因を特定するのに役立ちます。 グラフに表示されるエンティティをさらに詳しく調べるには、エンティティを選択し、さまざまな展開オプションを選択します。

調査グラフには、次のものが表示されます。

  • 生データからのビジュアル コンテキスト: ライブのビジュアル グラフには、生データから自動的に抽出されたエンティティリレーションシップが表示されます。 これにより、さまざまなデータ ソース間の接続を簡単に確認できます。

  • 完全な調査範囲の検出: 組み込みの探索クエリを使用して調査範囲を拡張し、侵害の完全な範囲を表示します。

  • 組み込みの調査手順: 定義済みの探索オプションを使用して、脅威に直面した際に適切な質問をしていることを確認します。

調査グラフを使用するには:

  1. インシデントを選択し、[ 調査] を選択します。 これにより、調査グラフに移動します。 このグラフは、アラートに直接接続されたエンティティと、さらに接続された各リソースの説明図を提供します。

    マップを表示します。

    重要

    • 分析ルールを設定するときにエンティティ マッピング フィールドを使用した場合にのみ、インシデントを調査できます。 調査グラフでは、元のインシデントにエンティティが含まれている必要があります。

    • Microsoft Sentinelは現在、30 日までのインシデントの調査をサポートしています。

  2. エンティティを選択して [ エンティティ ] ウィンドウを開き、そのエンティティに関する情報を確認できるようにします。

    マップでエンティティを表示する

  3. 各エンティティにカーソルを合わせて調査を拡大し、調査を深めるためにエンティティの種類ごとにセキュリティエキスパートとアナリストによって設計された質問の一覧を明らかにします。 これらのオプション 探索クエリを呼び出します。

    詳細を確認する

    たとえば、関連するアラートを要求できます。 探索クエリを選択すると、結果の権利がグラフに追加されます。 この例では、[ 関連するアラート ] を選択すると、次のアラートがグラフに返されました。

    スクリーンショット: 関連するアラートを表示する

    関連するアラートが、点線でエンティティに接続されているように見えるのを確認します。

  4. 探索クエリごとに、 [イベント] を選択して、生のイベントの結果と Log Analytics で使用されるクエリを開くオプションを選択できます>

  5. インシデントを理解するために、グラフは並列タイムラインを提供します。

    スクリーンショット: マップ内のタイムラインを表示します。

  6. タイムラインにカーソルを合わせると、グラフのどの時点で発生したかを確認できます。

    スクリーンショット: マップでタイムラインを使用してアラートを調査します。

調査に集中する

インシデントにアラートを追加するか、インシデントからアラートを削除することで、調査の範囲を広げたり絞り込んだりする方法について説明します。

類似インシデント (プレビュー)

セキュリティ運用アナリストとして、インシデントを調査するときは、その大きなコンテキストに注意を払う必要があります。 たとえば、このような他のインシデントが以前に発生したか、現在発生しているかどうかを確認する必要があります。

  • 同じ大規模な攻撃戦略の一部である可能性のある同時インシデントを特定したい場合があります。

  • 過去に類似したインシデントを特定し、現在の調査の参照ポイントとして使用することもできます。

  • 過去の類似インシデントの所有者を特定し、より多くのコンテキストを提供できる SOC 内のユーザーを見つけたり、調査をエスカレートできるユーザーを見つけたりすることもできます。

[インシデントの詳細] ページの [類似 インシデント] タブには、現在のインシデントと最も似た最大 20 件のインシデントが表示されます。 類似性は内部Microsoft Sentinelアルゴリズムによって計算され、インシデントは類似性の降順で並べ替えられて表示されます。

同様のインシデントの表示のスクリーンショット。

類似性の計算

類似性が決定される基準は 3 つあります。

  • 同様のエンティティ: インシデントは、両方に同じエンティティが含まれている場合、別のインシデントと同様と見な されます。 2 つのインシデントに共通するエンティティが多いほど、類似していると見なされます。

  • 同様のルール: インシデントは、両方が同じ分析ルールによって作成された場合、別のインシデントと似ていると見 なされます

  • 同様のアラートの詳細: インシデントは、同じタイトル、製品名、カスタム の詳細を共有する場合、別のインシデントと似ていると見なされます。

インシデントが類似インシデントの一覧に表示される理由は、[ 類似性の理由 ] 列に表示されます。 情報アイコンにマウス ポインターを合わせると、一般的な項目 (エンティティ、ルール名、または詳細) が表示されます。

同様のインシデントの詳細のポップアップ表示のスクリーンショット。

類似性の時間枠

インシデントの類似性は、インシデントの最後のアクティビティの 14 日前のデータ (インシデントの最新のアラートの終了時刻) に基づいて計算されます。

インシデントの類似性は、インシデントの詳細ページに入るたびに再計算されるため、新しいインシデントが作成または更新された場合、結果はセッションによって異なる場合があります。

インシデントに関するコメント

セキュリティ運用アナリストとして、インシデントを調査するときは、管理への正確なレポートを確保し、同僚間のシームレスな協力とコラボレーションを可能にするために、実行する手順を徹底的に文書化する必要があります。 Microsoft Sentinelは、これを実現するのに役立つ豊富なコメント環境を提供します。

コメントで実行できるもう 1 つの重要な点は、インシデントを自動的に強化することです。 外部ソースから関連情報をフェッチするインシデントでプレイブックを実行する場合 (たとえば、VirusTotal でマルウェアのファイルをチェックする)、プレイブックに外部ソースの応答と、定義したその他の情報をインシデントのコメントに配置できます。

コメントは簡単に使用できます。 インシデントの詳細ページの [ コメント ] タブからアクセスします。

コメントの表示と入力のスクリーンショット。

インシデントコメントに関してよく寄せられる質問

インシデント コメントを使用する場合は、考慮すべき考慮事項がいくつかあります。 次の質問の一覧は、これらの考慮事項を示しています。

どのような種類の入力がサポートされていますか?

  • テキスト:Microsoft Sentinelのコメントでは、プレーン テキスト、基本的な HTML、Markdown のテキスト入力がサポートされます。 また、コピーしたテキスト、HTML、Markdown をコメント ウィンドウに貼り付けることもできます。

  • 画像: コメントには画像へのリンクを挿入でき、画像はインラインで表示されますが、Dropbox、OneDrive、Google Drive などのパブリックにアクセス可能な場所で既にホストされている必要があります。 画像をコメントに直接アップロードすることはできません。

コメントにサイズ制限はありますか?

  • コメントごと: 1 つのコメントに最大 30,000 文字を含めることができます。

  • インシデントごと: 1 つのインシデントに最大 100 個のコメントを含めることができます。

    注:

    Log Analytics の SecurityIncident テーブル内の 1 つのインシデント レコードのサイズ制限は 64 KB です。 この制限を超えると、コメント (最も早い位置から始まる) が切り捨てられ、 高度な検索結果 に表示されるコメントに影響する可能性があります。

    インシデント データベース内の実際のインシデント レコードは影響を受けません。

コメントを編集または削除できるユーザー

  • 編集: コメントを編集する権限を持つのは、コメントの作成者だけです。

  • 削除:コメントを削除するアクセス許可を持つのは、Microsoft Sentinel共同作成者ロールを持つユーザーのみです。 コメントを削除するには、コメントの作成者もこのロールを持っている必要があります。

インシデントを閉じる

特定のインシデントを解決したら (調査が結論に達した場合など)、インシデントの状態を Closed に設定する必要があります。 そうすると、インシデントを閉じる理由を指定して、インシデントを分類するように求められます。 この手順は必須です。 [ 分類の選択] を 選択し、ドロップダウン リストから次のいずれかを選択します。

  • 真陽性 - 疑わしいアクティビティ
  • 良性陽性 - 疑わしいが予想される
  • 誤検知 - 誤ったアラート ロジック
  • 誤検知 - 正しくないデータ
  • 未定義

[分類の選択] リストで使用できる分類が強調表示されているスクリーンショット。

誤検知と良性陽性の詳細については、「Microsoft Sentinelでの誤検知の処理」を参照してください。

適切な分類を選択した後、[ コメント ] フィールドに説明テキストを追加します。 これは、このインシデントを参照する必要がある場合に役立ちます。 完了したら、[ 適用] を選択し、インシデントが閉じられます。

インシデントを閉じるスクリーンショット。

インシデントを検索する

特定のインシデントをすばやく見つけるには、インシデント グリッドの上にある検索ボックスに検索文字列を入力し、 Enter キーを押して、それに応じて表示されるインシデントの一覧を変更します。 インシデントが結果に含まれていない場合は、 高度な検索 オプションを使用して検索を絞り込む必要があります。

検索パラメーターを変更するには、[ 検索 ] ボタンを選択し、検索を実行するパラメーターを選択します。

例:

インシデント検索ボックスとボタンのスクリーンショット。基本的な検索オプションまたは高度な検索オプションを選択します。

既定では、インシデント検索はインシデント IDタイトルタグ所有者製品名 の値でのみ実行されます。 検索ウィンドウで、一覧を下にスクロールして検索する他のパラメーターを 1 つ以上選択し、[ 適用 ] を選択して検索パラメーターを更新します。 [ 既定値に設定] を 選択すると、選択したパラメーターが既定のオプションにリセットされます。

注:

[所有者] フィールドの検索では、名前と電子メール アドレスの両方がサポートされます。

高度な検索オプションを使用すると、次のように検索動作が変更されます。

検索動作 説明
検索ボタンの色 検索ボタンの色は、現在検索で使用されているパラメーターの種類に応じて変わります。
  • 既定のパラメーターのみが選択されている限り、ボタンは灰色になります。
  • 高度な検索パラメーターなど、さまざまなパラメーターが選択されるとすぐに、ボタンは青に変わります。
自動更新 高度な検索パラメーターを使用すると、結果を自動的に更新することを選択できなくなります。
エンティティ パラメーター 高度な検索では、すべてのエンティティ パラメーターがサポートされています。 任意のエンティティ パラメーターで検索する場合、検索はすべてのエンティティ パラメーターで実行されます。
検索文字列 単語の文字列を検索すると、検索クエリのすべての単語が含まれます。 検索文字列では大文字と小文字が区別されます。
クロス ワークスペースのサポート クロスワークスペース ビューでは、高度な検索はサポートされていません。
表示される検索結果の数 高度な検索パラメーターを使用している場合、一度に表示される結果は 50 件のみです。

ヒント

探しているインシデントが見つからない場合は、検索パラメーターを削除して検索を展開します。 検索結果の項目数が多すぎる場合は、フィルターを追加して結果を絞り込みます。

関連コンテンツ

この記事では、Microsoft Sentinelを使用してインシデントの調査を開始する方法について説明しました。 詳細については、以下を参照してください:

  • Last updated on