Azure Sentinel でエンティティを使用してデータを分類および分析する

エンティティとは

Azure Sentinel によってアラートが送信または生成された場合、それには、Sentinel が認識して エンティティ のカテゴリに分類できるデータ項目が含まれています。 Azure Sentinel は、特定のデータ項目がどのような種類のエンティティを表しているかを理解すると、それについて行う必要がある適切な分析項目を認識します。その後、その項目に関する分析情報をデータ ソースの全範囲にわたって比較し、Sentinel エクスペリエンス全体 (分析、調査、修復、ハンティングなど) を通して簡単に追跡し、参照できます。 エンティティの一般的な例として、ユーザー、ホスト、ファイル、プロセス、IP アドレス、URL などがあります。

エンティティ識別子

Azure Sentinel は、さまざまなエンティティ型をサポートしています。 各型には固有の属性があります。これには、特定のエンティティを識別するために使用できるものなどが含まれます。 これらの属性は、エンティティのフィールドとして表され、識別子 と呼ばれます。 サポートされているエンティティとその識別子の完全な一覧は以下のとおりです。

強いおよび弱い識別子

前述のように、各エンティティ型には、それを識別できるフィールドまたはフィールドのセットがあります。 これらのフィールドまたはフィールドのセットは、あいまいさを伴わずにエンティティを一意に識別できる場合は、強い識別子 と呼ばれます。ある状況下ではエンティティを識別できても、すべてのケースでエンティティを一意に識別できるとは限らない場合は、弱い識別子 と呼ばれます。 ただし、多くの場合、いくつかの弱い識別子を組み合わせることで、強い識別子を生成できます。

たとえば、ユーザー アカウントは、複数の方法で アカウント エンティティとして識別できます。1 つは、Azure AD アカウントの数値識別子 (GUID フィールド) やその ユーザー プリンシパル名 (UPN) の値などの、 1 つの 強い識別子 を使用する方法です。もう 1 つは、名前NTDomain フィールドなどの 弱い識別子 を組み合わせて使用する方法です。 データ ソースが異なる場合、同じユーザーが異なる方法で識別されることがあり得ます。 Azure Sentinel は、 識別子に基づいて同じエンティティであると認識できる 2 つのエンティティを検出するたびに、2 つのエンティティを 1 つのエンティティにマージして、適切かつ一貫した方法で処理できるようにします。

ただし、いずれかのリソース プロバイダーが、エンティティが十分に識別されないというアラートを作成した場合 (たとえば、ドメイン名のコンテキストを持たないユーザー名などの、単一の 弱い識別子 のみを使用した場合など)、そのユーザー エンティティを同じユーザー アカウントの他のインスタンスとマージすることはできません。 それらの他のインスタンスは別個のエンティティとして識別され、これらの 2 つのエンティティは統合されずに別々のままとなります。

この発生リスクを最小限に抑えるために、使用しているすべてのアラート プロバイダーについて、生成されるアラート内でエンティティが正しく識別されることを確実にする必要があります。 さらに、ユーザー アカウント エンティティを Azure Active Directory と同期することで、統合ディレクトリを作成してユーザー アカウント エンティティをマージできるようになります。

サポートされているエンティティ

現在、次の種類のエンティティが Azure Sentinel で識別されます。

  • ユーザー アカウント
  • Host
  • IP アドレス
  • マルウェア
  • ファイル
  • Process
  • クラウド アプリケーション
  • ドメイン名
  • Azure リソース
  • ファイル ハッシュ
  • レジストリ キー
  • レジストリ値
  • セキュリティ グループ
  • URL
  • IoT デバイス
  • Mailbox
  • メール クラスター
  • メール メッセージ
  • 送信メール

これらのエンティティの識別子とその他の関連情報は、エンティティのリファレンスに関するページで確認できます。

エンティティ マッピング

Azure Sentinel は、アラート内のデータの一部をどのようにしてエンティティの識別子として認識するのでしょうか。

Azure Sentinel でデータが処理されるしくみを見てみましょう。 データは、サービス間、エージェントベース、または Syslog サービスとログ フォワーダーを使用して、コネクタを介してさまざまなソースから取り込まれます。 データは、Log Analytics ワークスペースのテーブルに格納されます。 これらのテーブルは、定義して有効にした分析ルールによって、定期的にスケジュールされた間隔でクエリが実行されます。 これらの分析ルールによって実行される多くのアクションの中の 1 つは、テーブル内のデータ フィールドを Azure Sentinel で認識されるエンティティにマッピングすることです。 分析ルールで定義したマッピングに従って、Azure Sentinel はクエリから返された結果からフィールドを取得し、各エンティティ型に対して指定した識別子によってそれらを認識し、これらの識別子によって識別されるエンティティ型を適用します。

これは何を意味するのでしょうか。

Azure Sentinel は、さまざまな種類のデータ ソースからのアラートのエンティティを識別できる場合、特に各データ ソースまたは第 3 のスキーマに共通する強い識別子を使用してそれを実行できる場合、これらのすべてのアラートとデータ ソースの間で簡単に関連付けを行うことができます。 これらの相関関係により、エンティティに関する多くの情報と分析情報を蓄積するのが容易になり、セキュリティ操作のための堅固な基盤が提供されます。

データ フィールドをエンティティにマップする方法をご覧ください。

どの識別子がエンティティを強く識別するかについてご覧ください。

エンティティ ページ

検索、アラート、または調査で何らかのエンティティ (現在はユーザーとホストに制限されています) を検出した場合は、そのエンティティを選択して エンティティ ページ に移動できます。これは、そのエンティティに関する役立つ情報が豊富に含まれているデータシートです。 このページで見つけることができる情報の種類には、そのエンティティについての基本的な事実、このエンティティに関連した注目すべきイベントのタイムライン、そのエンティティの行動に関する分析情報が含まれます。

エンティティ ページは、次の 3 つの部分で構成されます。

  • 左側のパネルには、Azure Active Directory、Azure Monitor、Azure Security Center、Microsoft Defender などのデータ ソースから収集された、そのエンティティの識別情報が含まれています。

  • 中央のパネルには、そのエンティティに関連した注目すべきイベント (アラート、ブックマーク、アクティビティなど) のグラフとテキストの両方のタイムラインが表示されます。 アクティビティは、Log Analytics からの注目すべきイベントの集計です。 これらのアクティビティを検出するクエリは、Microsoft のセキュリティ調査チームによって開発されています。

  • 右側のパネルには、エンティティに関する行動分析情報が表示されます。 これらの分析情報は、異常やセキュリティの脅威をすばやく特定するために役立ちます。 この分析情報は Microsoft のセキュリティ調査チームによって開発され、異常検出モデルに基づいています。

タイムライン

エンティティ ページのタイムライン

タイムラインは、エンティティ ページが Azure Sentinel の行動分析に寄与している内容の主要な部分です。 ここには、エンティティ関連のイベントに関する項目が表示されるため、特定の期間内のエンティティのアクティビティを理解するのに役立ちます。

事前に設定されたいくつかのオプション ( [過去 24 時間] など) の中から [時間範囲] を選択するか、またはそれをカスタム定義の期間に設定できます。 さらに、タイムライン内の情報を特定の種類のイベントまたはアラートに制限するフィルターを設定できます。

タイムラインには、次の種類の項目が含まれています。

  • アラート - そのエンティティが [マップされたエンティティ] として定義されているすべてのアラート。 組織で分析ルールを使用したカスタム アラートが作成されている場合は、ルールのエンティティ マッピングが正しく実行されていることを確認する必要がある点に注意してください。

  • ブックマーク - ページにその特定のエンティティが表示されているすべてのブックマーク。

  • アクティビティ - そのエンティティに関連した注目すべきイベントの集計。

エンティティ分析情報

エンティティ分析情報は、アナリストがより効率的かつ効果的に調査できるようにするために Microsoft のセキュリティ研究者によって定義されたクエリです。 この分析情報はエンティティ ページの一部として表示され、ホストとユーザーに関する重要なセキュリティ情報を表形式データとグラフの両方の形式で提供します。 ここに情報が表示されるため、Log Analytics に迂回する必要はありません。 この分析情報には、サインイン、グループの追加、異常なイベントなどに関連したデータや、異常な行動を検出するための高度な ML アルゴリズムが含まれています。

この分析情報は、次のデータ ソースに基づいています。

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Azure AD)
  • SigninLogs (Azure AD)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Azure Sentinel UEBA)
  • Heartbeat (Azure Monitor Agent)
  • CommonSecurityLog (Azure Sentinel)

エンティティ ページを使用する方法

エンティティ ページは、複数の使用シナリオの一部になるように設計されており、インシデント管理、調査グラフ、ブックマークから、または Azure Sentinel のメイン メニューの [エンティティの行動分析] の下のエンティティ検索ページから直接アクセスできます。

エンティティ ページのユース ケース

次のステップ

このドキュメントでは、Azure Sentinel でエンティティを操作する方法について説明しました。 実装や、取得した分析情報を使用する方法に関する実用的なガイダンスについては、次の記事を参照してください。