スケジュールされた分析ルールをゼロから作成する

コネクタや、デジタル資産全体でアクティビティ データを収集するその他の方法を設定しました。 次に、すべてのデータを調べてアクティビティのパターンを検出し、それらのパターンに適合せず、セキュリティ上の脅威を表す可能性のあるアクティビティを検出する必要があります。

Microsoft Sentinelとコンテンツ ハブで提供される多くのソリューションは、最も一般的に使用される種類の分析ルールのテンプレートを提供します。これらのテンプレートを使用して、特定のシナリオに合わせてカスタマイズすることを強くお勧めします。 ただし、まったく異なるものが必要な場合があるため、その場合は、分析ルール ウィザードを使用して、最初からルールを作成できます。

この記事では、分析ルール ウィザードの使用など、分析ルールをゼロから作成するプロセスについて説明 します。 Azure portalと Defender ポータルの両方でウィザードにアクセスするためのスクリーンショットと指示が含まれています。

前提条件

• Microsoft Sentinel共同作成者ロール、または Log Analytics ワークスペースとそのリソース グループに対する書き込みアクセス許可を含む他のロールまたは一連のアクセス許可が必要です。

• 少なくともデータ サイエンスと分析とKusto 照会言語に関する基本的な知識が必要です。

• 分析ルール ウィザードと、使用可能なすべての構成オプションについて理解しておく必要があります。 詳細については、「Microsoft Sentinelのスケジュールされた分析ルール」を参照してください。

クエリの設計と構築

他の操作を行う前に、Log Analytics ワークスペース内の 1 つ以上のテーブルのクエリにルールで使用するクエリを Kusto 照会言語 (KQL) で設計して作成する必要があります。

1. 異常または疑わしいアクティビティを検出するために検索するデータ ソースまたはデータ ソースのセットを決定します。 これらのソースからのデータが取り込まれる Log Analytics テーブルの名前を検索します。 テーブル名は、そのソースのデータ コネクタのページにあります。 クエリの基礎として、このテーブル名 (またはそれに基づく関数) を使用します。

2. テーブルに対してこのクエリを実行する分析の種類を決定します。 この決定により、クエリで使用するコマンドと関数が決まります。

3. クエリ結果から必要なデータ要素 (フィールド、列) を決定します。 この決定により、クエリの出力を構造化する方法が決まります。

   重要

   スケジュールされた分析ルールでルックバック期間の参照として使用されるため、クエリによって TimeGenerated 列が返されることを確認します。 つまり、ルールは、 TimeGenerated 値が指定されたルックバック ウィンドウ内にあるレコードのみを評価します。

4. [ログ] 画面でクエリをビルドしてテストします。 問題がなければ、ルールで使用するクエリを保存します。

詳細については、以下を参照してください:

• 分析ルール クエリのベスト プラクティス。
• Microsoft SentinelのKusto 照会言語
• Kusto 照会言語 クエリのベスト プラクティス

分析ルールを作成する

このセクションでは、Azureまたは Defender ポータルを使用してルールを作成する方法について説明します。

スケジュールされたクエリ ルールの作成を開始する

開始するには、Microsoft Sentinelの [分析] ページに移動して、スケジュールされた分析ルールを作成します。

1. Defender ポータルでMicrosoft Sentinelする場合は、[Microsoft Sentinel>Configuration>Analytics] を選択します。 Azure portalの [Microsoft Sentinel] で、[構成] で [分析] を選択します。

2. [ + 作成 ] を選択し、[ スケジュールされたクエリ ルール] を選択します。

   • Defender ポータル
   • Azure portal

   

ルールに名前を付け、一般的な情報を定義する

Azure portalでは、ステージがタブとして表示されます。 Defender ポータルでは、タイムラインのマイルストーンとして表示されます。

1. ルールの次の情報を入力します。

   フィールド	説明
   名前	ルールの一意の名前。 このフィールドはプレーン テキストのみをサポートします。 名前に含まれる URL は、正しく表示するために パーセントエンコード形式 に従う必要があります。
   説明	ルールの自由テキストの説明。 Microsoft Sentinelが Defender ポータルにオンボードされている場合、このフィールドはプレーン テキストのみをサポートします。 説明に含まれる URL は、正しく表示するためにパーセントエンコード形式に従う必要があります。
   重大度	ルールが真正の場合、ルールをトリガーするアクティビティがターゲット環境に与える可能性がある影響と一致します。 情報: システムへの影響はありませんが、情報は脅威アクターによって計画された将来の手順を示している可能性があります。 低: 即時の影響は最小限です。 脅威アクターは、環境への影響を達成する前に複数の手順を実行する必要がある可能性があります。 中: 脅威アクターは、このアクティビティを使用して環境に何らかの影響を与える可能性がありますが、スコープが制限されるか、追加のアクティビティが必要になります。 高: 特定されたアクティビティは、脅威アクターに、環境に対するアクションを実行するための幅広いアクセスを提供するか、環境への影響によってトリガーされます。
   MITRE ATT&CK	ルールに適用する脅威アクティビティを選択します。 ドロップダウン リストに表示される MITRE ATT&CK 戦術と手法の中から選択します。 複数の選択を行うことができます。 MITRE ATT&CK 脅威ランドスケープのカバレッジを最大化する方法の詳細については、「 MITRE ATT&CK® フレームワークによるセキュリティ カバレッジを理解する」を参照してください。
   状態	有効: ルールは、作成時または スケジュールを設定する特定の日時 (現在プレビュー段階) にすぐに実行されます。 無効: ルールは作成されますが、実行されません。 必要に応じて、後で [アクティブなルール ] タブから有効にします。

2. [ 次へ: ルール ロジックの設定] を選択します。

   • Defender ポータル
   • Azure portal

   

ルール ロジックを定義する

次の手順では、作成した Kusto クエリの追加を含むルール ロジックを設定します。

1. ルール クエリとアラート強化の構成を入力します。

   Setting	説明
   ルール クエリ	設計、構築、テストしたクエリを [ ルール クエリ ] ウィンドウに貼り付けます。 このウィンドウで行った変更はすべて即座に検証されるため、間違いがある場合は、ウィンドウのすぐ下に表示されます。
   エンティティのマップ	[エンティティ マッピング] を展開し、クエリ結果のフィールドにMicrosoft Sentinelによって認識される最大 10 個のエンティティ型を定義します。 このマッピングは、識別されたエンティティをアラート スキーマの [エンティティ] フィールドに統合します。 エンティティのマッピングの詳細な手順については、「Microsoft Sentinelのエンティティにデータ フィールドをマップする」を参照してください。
   アラートのカスタムの詳細を表示する	[ カスタムの詳細] を展開し、アラートに表示するクエリ結果のフィールドをカスタムの詳細として定義します。 これらのフィールドは、結果として発生するすべてのインシデントにも表示されます。 カスタムの詳細の表示に関する完全な手順については、「Microsoft Sentinelのアラートの Surface カスタム イベントの詳細」を参照してください。
   アラートの詳細をカスタマイズする	[ アラートの詳細] を展開し、個々のアラートのさまざまなフィールドの内容に応じて、標準以外のアラート プロパティをカスタマイズします。 たとえば、アラートの名前または説明をカスタマイズして、アラートに含まれるユーザー名または IP アドレスを含めます。 アラートの詳細をカスタマイズする手順の詳細については、「Microsoft Sentinelでのアラートの詳細のカスタマイズ」を参照してください。

2. クエリをスケジュールしてスコープを設定します。[クエリ スケジュール] セクションで次のパラメーターを設定します。

   Setting	説明/オプション
   すべてのクエリを実行する	クエリの実行頻度を制御します。 使用できる範囲: 5 分 から 14 日。
   最後の参照データ	ルックバック期間 (クエリの対象となる期間) を決定します。 使用できる範囲: 5 分 から 14 日。 クエリ間隔以上である必要があります。
   実行を開始する	[自動的] : ルールは、作成直後とその後のクエリ間隔で初めて実行されます。 特定の時刻 (プレビュー): 最初に実行するルールの日付と時刻を設定し、その後クエリ間隔で実行します。 許可される範囲: ルールの作成 (または有効化) 時間の 10 分 から 30 日後 。

3. アラートを作成するためのしきい値を設定します。

   [アラートのしきい値] セクションを使用して、ルールの秘密度レベルを定義します。 たとえば、最小しきい値を 100 に設定します。

   Setting	説明
   クエリ結果の数が多い場合にアラートを生成する	Is greater than
   イベントの数	100

   しきい値を設定しない場合は、数値フィールドに「 0 」と入力します。

4. イベントグループ化設定を設定します。

   [ イベントのグループ化] で、 イベント のグループ化をアラートに処理する 2 つの方法のいずれかを選択 します。

   Setting	動作
   すべてのイベントを 1 つのアラートにグループ化する (既定値)	クエリが上記の指定したアラート しきい値 を超える結果を返す限り、ルールは実行されるたびに 1 つのアラートを生成します。 この 1 つのアラートは、クエリ結果で返されるすべてのイベントをまとめたものです。
   イベントごとにアラートをトリガーする	このルールは、クエリによって返されるイベントごとに一意のアラートを生成します。 このオプションは、イベントを個別に表示する場合、または特定のパラメーター (ユーザー、ホスト名など) でグループ化する場合に便利です。 これらのパラメーターはクエリで定義できます。

5. アラートが生成された後、ルールを一時的に抑制します。

   アラートが生成された場合に次の実行時を超えてルールを抑制するには、[アラートが生成された 後に実行を停止する] クエリ を オンにします。 これを有効にした場合は、 クエリの実行を停止 する時間 (最大 24 時間) に [クエリの実行を停止する] を に設定します。

6. クエリとロジック設定の結果をシミュレートします。

   [ 結果シミュレーション ] 領域で、[ 現在のデータを使用してテスト ] を選択して、現在のデータで実行されていた場合のルール結果の外観を確認します。 Microsoft Sentinelは、定義されたスケジュールを使用して、現在のデータでルールを 50 回実行してシミュレートし、結果 (ログ イベント) のグラフを表示します。 クエリを変更する場合は、もう一度 [ 現在のデータでテスト ] を選択してグラフを更新します。 グラフには、[ クエリ のスケジューリング ] セクションの設定によって定義された期間の結果の数が表示されます。

7. [ 次へ: インシデント設定] を選択します。

インシデントの作成設定を構成する

[インシデントの設定] タブで、アラートをアクション可能なインシデントにMicrosoft Sentinelするかどうかを選択し、アラートをインシデントでグループ化するかどうかを、どのようにグループ化するかを選択します。

1. インシデントの作成を有効にします。

   [インシデントの設定] セクションの [この分析ルールによってトリガーされたアラートからインシデントを作成する] は既定で [有効] に設定されています。つまり、Microsoft Sentinelでは、ルールによってトリガーされる各アラートから 1 つの個別のインシデントが作成されます。

   • このルールでインシデントを作成しない場合 (たとえば、このルールが後続の分析のために情報を収集するだけの場合)、このオプションを [無効] に設定します。

     重要

     Microsoft Defender ポータルにMicrosoft Sentinelオンボードした場合は、この設定を [有効] のままにします。

     • このシナリオでは、Microsoft Defender XDRはMicrosoft Sentinelではなくインシデントを作成します。
     • これらのインシデントは、Azureポータルと Defender ポータルの両方のインシデント キューに表示されます。
     • Azure portalでは、新しいインシデントがインシデント プロバイダー名として "Microsoft XDR" と表示されます。

   • アラートごとに 1 つではなく、アラートのグループから 1 つのインシデントを作成する場合は、次の手順を参照してください。

2. アラートのグループ化設定を設定します。

   [ アラートのグループ化 ] セクションで、最大 150 件の類似アラートまたは定期的なアラートのグループから 1 つのインシデントを生成する場合 (注を参照) 、この分析ルールによってトリガーされたグループ関連アラートをインシデントに[有効] に設定し、次のパラメーターを設定します。

   1. 選択した時間枠内に作成されたアラートにグループを制限する: 類似または定期的なアラートをグループ化する期間を設定します。 この時間枠外のアラートは、個別のインシデントまたはインシデントのセットを生成します。

   2. この分析ルールによってトリガーされたアラートを 1 つのインシデントにグループ化する: アラートをグループ化する方法を選択します。

      オプション	説明
      すべてのエンティティが一致する場合、アラートを 1 つのインシデントにグループ化する	マップされたエンティティごとに同じ値を共有する場合、アラートはグループ化されます (上の [ ルール ロジックの設定 ] タブで定義されています)。 これは推奨される設定です。
      このルールによってトリガーされたすべてのアラートを 1 つのインシデントにグループ化する	このルールによって生成されたすべてのアラートは、同じ値を共有しない場合でもグループ化されます。
      選択したエンティティと詳細が一致する場合、アラートを 1 つのインシデントにグループ化する	それぞれのドロップダウン リストから選択されたすべてのマップされたエンティティ、アラートの詳細、およびカスタムの詳細について同じ値を共有する場合、アラートはグループ化されます。

   3. 閉じた一致するインシデントを再度開く: インシデントが解決されて閉じられ、そのインシデントに属する必要がある別のアラートが後で生成された場合は、閉じたインシデントを再び開く場合はこの設定を [有効] に設定し、アラートで新しいインシデントを作成する場合は [無効] のままにします。

      このオプションは、Microsoft SentinelがMicrosoft Defender ポータルにオンボードされている場合は使用できません。

   重要

   Microsoft Defender ポータルにMicrosoft Sentinelオンボードした場合、アラートグループ化設定はインシデントが作成された時点でのみ有効になります。

   このシナリオでは、Defender ポータルの相関エンジンがアラートの関連付けを担当するため、これらの設定は初期手順として受け入れられますが、これらの設定を考慮しないアラートの関連付けに関する決定も行う場合があります。

   そのため、アラートをインシデントにグループ化する方法は、多くの場合、これらの設定に基づいて予想される方法とは異なる場合があります。

   注:

   最大 150 個のアラートを 1 つのインシデントにグループ化できます。

   • インシデントは、すべてのアラートが生成された後にのみ作成されます。 すべてのアラートは、作成時にインシデントにすぐに追加されます。

   • 1 つのインシデントにグループ化するルールによって 150 を超えるアラートが生成された場合、元のインシデントの詳細と同じインシデントの詳細を持つ新しいインシデントが生成され、余分なアラートが新しいインシデントにグループ化されます。

3. [ 次へ: 自動応答] を選択します。

   • Defender ポータル
   • Azure portal

   

自動応答を確認または追加する

1. [ 自動応答 ] タブで、一覧に表示される自動化ルールを確認します。 既存のルールでまだカバーされていない応答を追加する場合は、次の 2 つの選択肢があります。

   • 追加された応答を多くのルールまたはすべてのルールに適用する場合は、既存のルールを編集します。
   • [ 新しい追加] を選択して、この分析ルールにのみ適用される 新しい自動化 ルールを作成します。

   自動化ルールを使用できる内容の詳細については、「自動化ルールを使用したMicrosoft Sentinelでの脅威対応の自動化」を参照してください。

   • 画面の下部にある [ アラートの自動化 (クラシック)] の下に、古いメソッドを使用してアラートが生成されたときに自動的に実行するように構成したプレイブックが表示されます。

     • 2023 年 6 月の時点では、プレイブックをこのリストに追加できません。 既にここに記載されているプレイブックは、このメソッドが非推奨になるまで実行され続け 、2026 年 3 月に有効になります。

     • ここにプレイブックが表示されている場合は、 トリガーを作成したアラート に基づいてオートメーション ルールを作成し、オートメーション ルールからプレイブックを呼び出します。 その手順を完了したら、ここに一覧表示されているプレイブックの行の末尾にある省略記号を選択し、[削除] を選択 します。 詳細な手順については、「Microsoft Sentinelアラートトリガープレイブックを自動化ルールに移行する」を参照してください。

   • Defender ポータル
   • Azure portal

   

2. [ 次へ: 確認して作成 ] を選択して、新しい分析ルールのすべての設定を確認します。

構成を検証し、ルールを作成する

1. "検証に合格しました" というメッセージが表示されたら、[ 作成] を選択します。

2. 代わりにエラーが表示される場合は、エラーが発生したウィザードのタブで赤い X を見つけて選択します。

3. エラーを修正し、[ 確認と作成 ] タブに戻り、検証をもう一度実行します。

ルールとその出力を表示する

ルール定義を表示する

新しく作成したカスタム ルール ("Scheduled" 型) は、メインの分析画面の [アクティブなルール] タブの下の表にあります。 この一覧から、各ルールを有効、無効、または削除できます。

ルールの結果を表示する

ルールを調整する

• ルール クエリを更新して、誤検知を除外できます。 詳細については、「Microsoft Sentinelでの誤検知の処理」を参照してください。

ARM テンプレートにルールをエクスポートする

コードとして管理およびデプロイするルールをパッケージ化する場合は、規則を Azure Resource Manager (ARM) テンプレートに簡単にエクスポートできます。 また、テンプレート ファイルからルールをインポートして、ユーザー インターフェイスでルールを表示および編集することもできます。

次の手順

分析ルールを使用してMicrosoft Sentinelからの脅威を検出する場合は、接続されたデータ ソースに関連付けられているすべてのルールを有効にして、環境の完全なセキュリティ カバレッジを確保してください。

ルールの有効化を自動化するには、API と PowerShell を使用してルールをMicrosoft Sentinelにプッシュしますが、追加の作業が必要です。 API または PowerShell を使用する場合は、ルールを有効にする前に、まずルールを JSON にエクスポートする必要があります。 API または PowerShell は、各インスタンスで同じ設定を持つMicrosoft Sentinelの複数のインスタンスでルールを有効にする場合に役立つ場合があります。

詳細については、以下を参照してください:

• Microsoft Sentinelでの分析ルールのトラブルシューティング
• Microsoft Sentinelでのインシデントの移動と調査
• Microsoft Sentinel内のエンティティ
• チュートリアル: Microsoft Sentinelでオートメーション ルールでプレイブックを使用する

また、カスタム コネクタを使用して Zoom を監視するときにカスタム分析ルールを使用する例についても説明します。