Microsoft の重要なソリューションは、Microsoft Sentinel用に Microsoft によって発行されたドメイン ソリューションです。 これらのソリューションには、ネットワークなどの特定のカテゴリに対して複数の製品間で動作できるすぐに使用できるコンテンツがあります。 これらの重要なソリューションの一部では、正規化手法 Advanced Security Information Model (ASIM) を使用して、クエリ時またはインジェスト時にデータを正規化します。
重要
Microsoft の重要なソリューションとネットワーク セッション Essentials ソリューションは現在プレビュー段階です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。
ASIM ベースの Microsoft の重要なソリューションを使用する理由
ドメイン カテゴリ内の複数のソリューションが同様の検出パターンを共有する場合は、ASIM のような正規化されたスキーマの下でデータをキャプチャするのが理にかなっています。 重要なソリューションでは、この ASIM スキーマを使用して大規模な脅威を検出します。
コンテンツ ハブには、"セキュリティ - ネットワーク" などのさまざまなドメイン カテゴリに対して複数の製品ソリューションがあります。 たとえば、Azure Firewall、Palo Alto Firewall、Corelight には、"セキュリティ - ネットワーク" ドメイン カテゴリの製品ソリューションがあります。
- これらのソリューションには、設計によって異なるデータ取り込みコンポーネントがあります。 ただし、同じドメイン カテゴリ内の分析、ハンティング、ブック、その他のコンテンツには特定のパターンがあります。
- 主要なネットワーク製品のほとんどは、通常とは異なる IP アドレスからの悪意のある脅威を含む、一般的なファイアウォール アラートの基本的なセットを持っています。 分析ルール テンプレートは、一般に、製品ソリューションの "セキュリティ - ネットワーク" カテゴリごとに複製されます。 複数のネットワーク製品を実行している場合は、複数の分析ルールを個別にチェックして構成する必要があります。これは非効率的です。 また、構成された各ルールのアラートも取得され、アラートの疲労が発生する可能性があります。
- 重複するハンティング クエリがある場合は、実行モードのハンティングでパフォーマンスの低いハンティング エクスペリエンスが得られる可能性があります。 これらの重複ハンティング クエリでは、脅威ハンターが同様のクエリを選択して実行するための非効率性も導入されます。
次の理由から、Microsoft の重要なソリューションを検討する場合があります。
- 正規化されたスキーマを使用すると、インシデントの詳細を照会しやすくなります。 類似のログ属性に対して異なるベンダー構文を覚える必要はありません。
- 複数のソリューションのコンテンツを管理する必要がない場合は、ユース ケースのデプロイとインシデント処理が簡単です。
- 統合ブック ビューを使用すると、環境の可視性が向上し、パフォーマンスの高い ASIM パーサーを使用したクエリ時間の解析が可能になります。
サポートされている ASIM スキーマ
要点ソリューションは現在、Sentinelでサポートされている次の異なる ASIM スキーマにまたがっています。
- 監査イベント
- 認証イベント
- DNS アクティビティ
- ファイル アクティビティ
- ネットワーク セッション
- プロセス イベント
- Web セッション
詳細については、「 高度なセキュリティ情報モデル (ASIM) スキーマ」を参照してください。
インジェスト時間の正規化
インジェスト時間正規化の結果は、次の正規化されたテーブルに取り込むことができます。
- DNS スキーマの ASimDnsActivityLogs。
- ネットワーク セッション スキーマの ASimNetworkSessionLogs
詳細については、「 時間正規化の取り込み」を参照してください。
ASIM ベースのドメインに不可欠なソリューションで利用できるコンテンツ
次の表では、各重要なソリューションで使用できるコンテンツの種類について説明します。 特定のユース ケースによっては、Microsoft Sentinel製品ソリューションで使用できるコンテンツを使用することもできます。
| コンテンツ タイプ | 説明 |
|---|---|
| 分析ルール | ASIM ベースの重要なソリューションで使用できる分析ルールは一般的であり、そのドメインの依存Microsoft Sentinel製品ソリューションに適しています。 Microsoft Sentinel製品ソリューションには、分析ルールの一部としてソース固有のユース ケースが含まれている場合があります。 環境Microsoft Sentinel必要に応じて製品ソリューション ルールを有効にします。 |
| ハンティング クエリ | ASIM ベースの必須ソリューションで使用できるハンティング クエリは一般的であり、そのドメインの依存するMicrosoft Sentinel製品ソリューションからの脅威を検出するのに適しています。 Microsoft Sentinel製品ソリューションでは、ソース固有のハンティング クエリをすぐに使用できる場合があります。 環境に必要に応じて、Microsoft Sentinel製品ソリューションからのハンティング クエリを使用します。 |
| 脚本 | ASIM ベースの重要なソリューションは、1 秒あたりのイベント数が多いデータを処理することが期待されます。 そのデータ量を使用しているコンテンツがある場合、パフォーマンスに影響を与え、ブックやクエリ結果の読み込みが遅くなる可能性があります。 この問題を解決するために、要約プレイブックはソース ログを要約し、情報を定義済みのテーブルに格納します。 要約プレイブックを有効にして、重要なソリューションがこのテーブルに対してクエリを実行できるようにします。 Microsoft Sentinelのプレイブックは、別のリソースを作成Azure Logic Apps に組み込まれているワークフローに基づいているため、その他の料金が適用される場合があります。 詳細については、「Azure Logic Apps の価格」ページを参照してください。 集計データの保存には、その他の料金が適用される場合もあります。 |
| ウォッチリスト | ASIM ベースの重要なソリューションでは、分析ルールの検出とハンティング クエリに複数の条件セットを含むウォッチリストを使用します。 ウォッチリストを使用すると、次のタスクを実行できます。 - データフィルターを使用して焦点を絞った監視を行います。 - リスト アイテムごとにハンティングと検出を切り替えます。 - しきい値の種類 を [静的] に設定したままにして、しきい値ベースのアラートを利用しますが、異常ベースのアラートは過去数日間 (最大 14 日間) のデータから学習します。 - 個々のリスト アイテムに対してこのウォッチリストを使用して、 アラート名、 説明、 戦術、 重大度 を変更します。 - [重大度] を [無効] に設定して、検出を無効にします。 |
| ブック | ASIM ベースの重要なソリューションで使用できるブックは、依存ドメインで発生するさまざまなイベントとアクティビティの統合ビューを提供します。 このブックは非常に大量のデータから結果をフェッチするため、パフォーマンスの低下が発生する可能性があります。 パフォーマンスの問題が発生した場合は、概要作成プレイブックを使用します。 |
他のMicrosoft Sentinel ドメイン ソリューションのようなこれらの重要なソリューションには、独自のコネクタがありません。 ログを取り込むには、Microsoft Sentinel製品ソリューションのソース固有のコネクタに依存します。 ドメイン ソリューションがサポートする製品については、ASIM ドメインの Essentials ソリューションの各一覧の製品ソリューションの前提条件の一覧を参照してください。 1 つ以上の製品ソリューションをインストールします。 基になる製品の依存関係のニーズを満たし、このドメイン ソリューション コンテンツをより適切に使用できるように、データ コネクタを構成します。
関連記事
- ネットワーク セッション Essentials や DNS Essentials Solution for Microsoft Sentinelなどの ASIM ベースのドメインに不可欠なソリューションを見つける
- 高度なセキュリティ情報モデル (ASIM) の使用