アラートが Microsoft Sentinel に送信または生成されると、Sentinelがエンティティとしてカテゴリに認識して分類できるデータ要素が含まれます。 Microsoft Sentinelは、特定のデータ要素が表すエンティティの種類を理解すると、その項目について質問する適切な質問を把握し、その項目に関する分析情報をあらゆるデータ ソースで比較し、分析、調査、修復、ハンティングなど、Sentinelエクスペリエンス全体を通じて簡単に追跡して参照できます。 エンティティの一般的な例としては、ユーザー アカウント、ホスト、メールボックス、IP アドレス、ファイル、クラウド アプリケーション、プロセス、URL などがあります。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
Microsoft Defender ポータルでは、エンティティは通常、次の 2 つの主要なカテゴリに分類されます。
| エンティティ カテゴリ | 評価 | 主な例 |
|---|---|---|
| 資産 | ||
| その他のエンティティ (証拠) |
エンティティ識別子
Microsoft Sentinelでは、さまざまなエンティティ型がサポートされています。 各型には、エンティティ スキーマ内のフィールドとして表され、識別子と呼ばれる独自の一意の属性 があります。 以下でサポートされているエンティティの完全な一覧と、エンティティ型リファレンスのエンティティ スキーマと識別子の完全なセットMicrosoft Sentinel参照してください。
厳密な識別子と弱い識別子
エンティティの種類ごとに、そのエンティティの特定のインスタンスを識別できるフィールドまたはフィールドのセットがあります。 これらのフィールドまたはフィールドのセットは、あいまいさなしでエンティティを一意に識別できる場合は 強力な識別子 と呼ばれ、状況によってはエンティティを識別できる場合は 弱い識別子 として呼び出すことができますが、すべての場合にエンティティを一意に識別することは保証されません。 ただし、多くの場合、弱い識別子の選択を組み合わせて強力な識別子を生成できます。
たとえば、ユーザー アカウントは、複数の方法でアカウント エンティティとして識別できます。Microsoft Entra アカウントの数値識別子 (GUID フィールド) などの単一の強力な識別子を使用するか、そのユーザー プリンシパル名 (UPN) 値を使用するか、または Name フィールドや NTDomain フィールドなどの弱い識別子の組み合わせを使用します。 異なるデータ ソースは、異なる方法で同じユーザーを識別できます。 Microsoft Sentinelは、識別子に基づいて同じエンティティとして認識できる 2 つのエンティティを検出するたびに、2 つのエンティティを 1 つのエンティティにマージして、適切かつ一貫して処理できるようにします。
ただし、リソース プロバイダーの 1 つが、エンティティが十分に識別されないアラートを作成する場合 (たとえば、ドメイン名コンテキストのないユーザー名のような弱 い識別子 を 1 つだけ使用するなど)、ユーザー エンティティを同じユーザー アカウントの他のインスタンスとマージすることはできません。 これらの他のインスタンスは別のエンティティとして識別され、これら 2 つのエンティティは統一される代わりに分離されたままになります。
このようなリスクを最小限に抑えるには、すべてのアラート プロバイダーが生成するアラート内のエンティティを適切に識別することを確認する必要があります。 さらに、ユーザー アカウント エンティティを Microsoft Entra ID と同期すると、統合ディレクトリが作成され、ユーザー アカウント エンティティをマージできるようになります。
サポートされているエンティティ
現在、Microsoft Sentinelでは次の種類のエンティティが識別されています。
- Account
- Host
- IP アドレス
- URL
- Azure リソース
- クラウド アプリケーション
- DNS 解決
- ファイル
- ファイル ハッシュ
- Malware
- プロセス
- レジストリ キー
- レジストリ値
- セキュリティ グループ
- メールボックス
- メール クラスター
- メール メッセージ
- 送信メール
これらのエンティティの識別子やその他の関連情報は 、エンティティ リファレンスで確認できます。
エンティティ マッピング
Microsoft Sentinelは、アラート内のデータの一部をエンティティを識別するとどのように認識しますか?
Microsoft Sentinelでデータ処理がどのように行われるかを見てみましょう。 データは、サービス間、エージェント ベース、API ベースのいずれであっても、 コネクタを介してさまざまなソースから取り込まれます。 データは Log Analytics ワークスペースのテーブルに格納されます。 これらのテーブルは、定義して有効にしたスケジュールされた、またはほぼリアルタイムの分析ルールによって定期的にクエリされます。また、脅威を探すときのハンティング クエリの一部としてオンデマンドでクエリされます。 これらの分析ルールとハンティング クエリの定義の一部は、テーブル内のデータ フィールドを、Microsoft Sentinelによって認識されるエンティティ型にマッピングすることです。 定義したマッピングに従って、Microsoft Sentinelはクエリによって返された結果からフィールドを取得し、エンティティ型ごとに指定した識別子でフィールドを認識し、それらの識別子によって識別されるエンティティ型に適用します。
これのポイントは何ですか?
Microsoft Sentinelは、さまざまな種類のデータ ソースからアラート内のエンティティを識別でき、特に、各データ ソースまたは別のスキーマに共通の強力な識別子を使用してエンティティを識別できる場合は、これらのアラートとデータ ソースの間で簡単に関連付けることができます。 これらの相関関係は、エンティティに関する豊富な情報と分析情報の格納を構築するのに役立ち、セキュリティ上の脅威を調査して対応するための強固な基盤とコンテキストを提供します。
データ フィールドをエンティティにマップする方法について説明します。
エンティティ ページ
エンティティ ページに関する情報は、Microsoft Sentinelのエンティティ ページで確認できるようになりました。
次の手順
このドキュメントでは、Microsoft Sentinelでエンティティを操作する方法について説明しました。 実装に関する実用的なガイダンスと、取得した分析情報を使用するには、次の記事を参照してください。
- Microsoft Sentinelでエンティティの動作分析を有効にします。
- セキュリティ上の脅威を探します。