Azure Sentinel でアラートに含まれるカスタム イベントの詳細を表示する

重要

  • カスタム詳細機能は プレビュー 段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

はじめに

スケジュールされたクエリ分析ルールを使用すると、Azure Sentinel に接続されたデータ ソースの イベント を分析し、それらのイベントの内容がセキュリティの観点から重要な場合に アラート を生成することができます。 これらのアラートは、Azure Sentinel のさまざまなエンジンを使用してさらに分析、グループ化、フィルター処理が行われ、SOC アナリストにとって注意が必要な インシデント へと抽出されます。 ただし、アナリストがインシデントを表示した場合、すぐに表示されるのはコンポーネント アラート自体のプロパティのみです。 実際の内容 (イベントに含まれる情報) を確認するには、さらに調べる必要があります。

分析ルール ウィザードカスタムの詳細 機能を使用すると、それらのイベントから構築されたイベント データをアラートに表示し、イベント データをアラート プロパティの一部にすることができます。 事実上、これにより、インシデントのイベントの内容をすぐに可視化できるため、はるかに高速で効率的なトリアージ、調査、結論の導出、対応が可能になります。

以下で詳しく説明する手順は、分析ルールの作成ウィザードの一部です。 ここでは、既存の分析ルールでカスタムの詳細を追加または変更するシナリオに対処するために、個別に扱います。

カスタム イベントの詳細を表示する方法

  1. Azure Sentinel のナビゲーション メニューから [分析] を選択します。

  2. スケジュールされたクエリ ルールを選択し、 [編集] をクリックします。 または、画面の上部にある [作成] > [スケジュール済みクエリ ルール] をクリックして新しいルールを作成します。

  3. [ルールのロジックを設定] タブをクリックします。

  4. [Alert enhancement (Preview)](アラート集約 (プレビュー)) セクションで、 [Custom details](カスタムの詳細) を展開します。

    カスタムの詳細の検索と選択

  5. 展開された [Custom details](カスタムの詳細) セクションで、表示する詳細に対応するキーと値のペアを追加します。

    1. [キー] フィールドに、アラートのフィールド名として表示される任意の名前を入力します。

    2. [値] フィールドで、アラートに表示するイベント パラメーターをドロップダウン リストから選択します。 この一覧には、ルール クエリの対象となるテーブルのフィールドに対応する値が設定されます。

      カスタムの詳細を追加する

  6. [新規追加] をクリックして詳細を表示し、最後の手順を繰り返してキーと値のペアを定義します。

    気が変わった場合や、間違えた場合は、その詳細の [値] ドロップダウン リストの横にあるゴミ箱アイコンをクリックすると、カスタムの詳細を削除できます。

  7. カスタム詳細の定義が完了したら、 [確認と作成] タブをクリックします。ルールの検証に成功したら、 [保存] をクリックします。

    注意

    サービスの制限

    • 1 つの分析ルールで 最大 20 個のカスタムの詳細 を定義できます。

    • すべてのカスタム詳細のサイズ制限は、まとめて 2 KB です。

次のステップ

このドキュメントでは、Azure Sentinel 分析ルールを使用してアラートにカスタムの詳細を表示する方法について説明します。 Azure Sentinel の詳細については、次の記事をご覧ください。