重要
カスタム検出は、SIEM Microsoft Defender XDR全体で新しいルールMicrosoft Sentinel作成するための最良の方法になりました。 カスタム検出を使用すると、インジェスト コストを削減し、無制限のリアルタイム検出を取得し、自動エンティティ マッピングを使用してDefender XDRデータ、関数、修復アクションとシームレスに統合できます。 詳細については、 このブログを参照してください。
重要
この機能は プレビュー段階です。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。
概要
Microsoft Sentinelには、有効なルールに変換する分析ルール テンプレートが含まれています。このテンプレートのコピーは、テンプレートからルールを作成するときに発生します。 ただし、その時点では、アクティブなルールはテンプレートに接続されなくなりました。 Microsoft エンジニアまたは他のユーザーがルール テンプレートに変更を加えた場合、そのテンプレートから事前に作成されたルールは、新しいテンプレートと一致するように動的に更新 されません 。
ただし、テンプレートから作成された ルールでは、 どのテンプレートから作成されたのかを記憶しているため、次の 2 つの利点が得られます。
テンプレートから作成するときにルールを変更した場合、または後でいつでもルールを元のバージョンに戻すことができます。
テンプレートが更新されると通知が届きます。 ルールをテンプレートの新しいバージョンに更新することも、そのままにすることもできます。
この記事では、これらのタスクを管理する方法と、留意すべき点について説明します。 この記事で説明する手順は、テンプレートから作成された スケジュールされた 分析ルールに適用されます。
ルールのテンプレートバージョン番号を確認する
テンプレートのバージョン管理を実装すると、ルール テンプレートのバージョンと、そのテンプレートから作成されたルールを確認および追跡できます。 テンプレートが更新されたルールには、ルール名の横に "更新" バッジが表示されます。
[分析] ページ で 、[ アクティブなルール ] タブを選択します。
[スケジュール済み] の種類の任意のルールを選択します。
ルールに [更新] バッジが表示されている場合、その詳細ウィンドウの [編集] ボタンの横に [確認と更新] ボタンが表示されます (次の手順の画像 1 を参照)。
ルールがテンプレートから作成されたのに [更新] バッジがない場合、その詳細ウィンドウの [編集] ボタンの横に [テンプレートと比較] ボタンが表示されます (次の手順の画像 2 と 3 を参照)。
[編集] ボタンしかない場合、ルールはテンプレートではなくゼロから作成されました。
詳細ウィンドウの下部まで下にスクロールすると、ルールが作成されたテンプレートのバージョンと、使用可能なテンプレートの最新バージョンの 2 つのバージョン番号が表示されます。
数値は、"1.0.0" 形式 (メジャー バージョン、マイナー バージョン、ビルド) です。
メジャー バージョン番号の違いは、テンプレートに不可欠なものが変更されたことを示しています。これは、ルールが脅威を検出する方法や、完全に機能する能力に影響する可能性があることを示しています。 この変更をルールに含める必要があります。
マイナー バージョン番号の違いは、テンプレートの軽微な改善 (外観の変更など) を示します。これは "持って良い" かもしれませんが、ルールの機能、有効性、またはパフォーマンスを維持するために重要ではありません。 この変更を簡単に行うか、そのままにすることもできます。
注:
画像 2 と 3 は、テンプレートが更新されていないテンプレートから作成されたルールの 2 つの例を示しています。
- 図 2 は、現在のテンプレートのバージョン番号を持つルールを示しています。 これは、2021 年 10 月Microsoft Sentinelテンプレート バージョン管理の初期実装後にルールが作成されたことを示します。
- 図 3 は、現在のテンプレート バージョンを持たないルールを示しています。 これは、ルールが 2021 年 10 月より前に作成されたことを示しています。 使用可能な最新のテンプレート バージョンがある場合は、ルールの作成に使用されるテンプレートよりも新しいバージョンのテンプレートである可能性があります。
アクティブなルールとそのテンプレートを比較する
実行するアクションに応じて、次のいずれかのタブを選択して、そのアクションの手順を確認します。
ルールを選択し、更新を検討することを決定したら、詳細ウィンドウで [ 確認と更新 ] を選択します (前のページを参照)。 分析ルール ウィザードの [最新バージョンとの比較] タブが表示されます。
このタブには、既存のルールの YAML 表現とテンプレートの最新バージョンの比較が並べて表示されます。
![分析ルール ウィザードの [最新バージョンと比較] タブのスクリーンショット。](media/manage-analytics-rule-templates/compare-template-versions.png)
注:
このルールを更新すると、既存のルールが最新バージョンのテンプレートで上書きされます。
参照先の名前が変更された場合に備えて、既存のルールを参照する自動化ステップまたはロジックを検証する必要があります。 また、元のルールの作成で行ったカスタマイズ (クエリ、スケジュール、グループ化、またはその他の設定の変更) が上書きされる可能性があります。
新しいテンプレート バージョンでルールを更新する
テンプレートの新しいバージョンに加えられた変更が受け入れ可能であり、元のルールの他の何も影響を受けない場合は、[ 確認と更新 ] を選択して変更を検証して適用します。
ルールをさらにカスタマイズする場合、または上書きされる可能性がある変更を再適用する場合は、[ 次へ: カスタム変更] を選択します。 分析ルール ウィザードの残りのタブを順番に切り替えて変更を行い、[確認と更新] タブで変更を検証して適用します。
既存のルールに変更を加えるのではなく、既存のテンプレート バージョンを保持する場合は、右上隅の [X] を選択してウィザードを終了します。
![分析ルール ウィザードの [最新バージョンと比較] タブのスクリーンショット。](media/manage-analytics-rule-templates/compare-template-versions-2.png)
次の手順
このドキュメントでは、Microsoft Sentinel分析ルール テンプレートのバージョンを追跡する方法と、アクティブなルールを既存のテンプレート バージョンに戻すか、新しいテンプレート バージョンに更新する方法について説明しました。 Microsoft Sentinelの詳細については、次の記事を参照してください。
- 分析ルールの詳細については、こちらをご覧ください。
- 分析ルール ウィザードの詳細を参照してください。