分析ルールで脅威インジケーターを使用する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

脅威インジケーターを使用して分析ルールを強化し、統合した脅威インテリジェンスに基づいてアラートを自動的に生成します。

前提条件

  • 脅威インジケーター。 これらのインジケーターは、脅威インテリジェンス フィード、脅威インテリジェンス プラットフォーム、フラット ファイルからの一括インポート、手動入力のいずれかです。
  • データ ソース。 データ コネクタからのイベントは、Microsoft Sentinel ワークスペースにフローしている必要があります。
  • TI map...形式の分析ルール。 取り込んだイベントで脅威インジケーターをマップできるように、この形式を使用する必要があります。

セキュリティ アラートを生成するルールを構成する

次の例では、Microsoft Sentinelにインポートした脅威インジケーターを使用してセキュリティ アラートを生成するルールを有効にして構成する方法を示します。 この例では、TI という名前のルール テンプレートを使用 して、IP エンティティを AzureActivity にマップします。 このルールは、すべての IP アドレスタイプの脅威インジケーターと、すべてのAzure アクティビティ イベントと一致します。 一致するものが見つかると、セキュリティ運用チームによる調査のために、対応するインシデントと共にアラートが生成されます。

この特定の分析規則では、Azure アクティビティ データ コネクタ (Azure サブスクリプション レベルのイベントをインポートする) が必要です。 また、脅威インテリジェンス データ コネクタの一方または両方が必要です (脅威インジケーターをインポートするため)。 このルールは、インポートされたインジケーターまたは手動で作成されたインジケーターからもトリガーされます。

  1. Azure portalで、[Microsoft Sentinel] に移動します。

  2. 脅威インテリジェンス データ コネクタを使用して脅威インジケーターをインポートしたワークスペースを選択し、Azure アクティビティ データ コネクタを使用してアクティビティ データをAzureします。

  3. [Microsoft Sentinel] メニューの [構成] セクションで、[分析] を選択します。

  4. [ ルール テンプレート ] タブを選択して、使用可能な分析ルール テンプレートの一覧を表示します。

  5. TI というタイトルのルールを見つけて 、IP エンティティを AzureActivity にマップし、必要なすべてのデータ ソースを接続していることを確認します。

    TI マップ IP エンティティに必要なデータ ソースを AzureActivity 分析ルールに示すスクリーンショット。

  6. TI マップ IP エンティティを AzureActivity ルールに選択します。 次に、[ ルールの作成 ] を選択して、ルール構成ウィザードを開きます。 ウィザードで設定を構成し、[次へ: ルール ロジックの>を設定する] を選択します。

    分析ルールの作成構成ウィザードを示すスクリーンショット。

  7. ウィザードのルール ロジック部分には、次の項目が事前に入力されています。

    • ルールで使用されるクエリ。
    • エンティティ マッピング。アカウント、IP アドレス、URL などのエンティティを認識する方法をMicrosoft Sentinelに伝えます。 インシデントと調査では、このルールによって生成されたセキュリティ アラート内のデータを操作する方法を理解できます。
    • このルールを実行するスケジュール。
    • セキュリティ アラートが生成される前に必要なクエリ結果の数。

    テンプレートの既定の設定は次のとおりです。

    • 1 時間に 1 回実行します。
    • ThreatIntelligenceIndicator テーブルの IP アドレス脅威インジケーターを、AzureActivity テーブルのイベントの過去 1 時間に見つかった IP アドレスと照合します。
    • 一致が見つかったことを示すクエリ結果が 0 より大きい場合は、セキュリティ アラートを生成します。
    • ルールが有効になっていることを確認します。

    既定の設定のままにするか、要件を満たすように変更できます。 インシデント生成設定は、[ インシデント 設定] タブで定義できます。詳細については、「脅威を 検出するためのカスタム分析ルールを作成する」を参照してください。 完了したら、[ 自動応答 ] タブを選択します。

  8. この分析ルールからセキュリティ アラートが生成されたときにトリガーする自動化を構成します。 Microsoft Sentinelのオートメーションでは、Azure Logic Apps を使用するオートメーション ルールとプレイブックの組み合わせを使用します。 詳細については、「チュートリアル: Microsoft Sentinelのオートメーション ルールでプレイブックを使用する」を参照してください。 完了したら、[ 次へ: 確認] > 選択して続行します。

  9. 規則の検証に合格したことを示すメッセージが表示されたら、[ 作成] を選択します。

ルールを確認する

有効なルールは、Microsoft Sentinelの [分析] セクションの [アクティブなルール] タブで見つけます。 アクティブなルールを編集、有効化、無効化、複製、または削除します。 新しいルールは、アクティブ化の直後に実行され、定義されたスケジュールで実行されます。

既定の設定に従って、ルールがスケジュールに従って実行されるたびに、検出されたすべての結果によってセキュリティ アラートが生成されます。 Microsoft Sentinelの [ログ] セクションのMicrosoft Sentinelでセキュリティ アラートを表示するには、Microsoft Sentinel グループのSecurityAlertの表を参照してください。

Microsoft Sentinelでは、分析ルールから生成されたアラートによってセキュリティ インシデントも生成されます。 [Microsoft Sentinel] メニューの [脅威の管理] で、[インシデント] を選択します。 インシデントとは、セキュリティ運用チームがトリアージして調査し、適切な対応アクションを判断することです。 詳細については、「チュートリアル: Microsoft Sentinelを使用してインシデントを調査する」を参照してください。

注:

分析ルールは 14 日を超えて参照を制限するため、Microsoft Sentinelは、分析ルールを通じて照合目的で使用できるように、インジケーターを 7 日から 10 日ごとに更新します。

関連コンテンツ

この記事では、脅威インテリジェンス インジケーターを使用して脅威を検出する方法について説明しました。 Microsoft Sentinelの脅威インテリジェンスの詳細については、次の記事を参照してください。

  • Last updated on