照合分析を使用して脅威を検出する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft によって生成された脅威インテリジェンスを利用して、Microsoft Defender 脅威インテリジェンス分析ルールを使用した忠実度の高いアラートとインシデントを生成します。 Microsoft Sentinel のこの組み込みルールは、インジケーターを、Common Event Format (CEF) ログ、ドメインと IPv4 脅威インジケーターを含む Windows DNS イベント、syslog データなどと照合します。

重要

照合分析は現在、プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

前提条件

忠実度の高いアラートとインシデントを生成するには、サポートされている 1 つ以上のデータ コネクタをインストールする必要がありますが、Premium MDTI ライセンスは必須ではありません。 適切なソリューションをコンテンツ ハブからインストールして、これらのデータ ソースを接続します。

  • Common Event Format (CEF)
  • DNS (プレビュー)
  • syslog
  • Office アクティビティ ログ
  • Azure アクティビティ ログ

Microsoft Defender 脅威インテリジェンス分析ルールのデータ ソース接続を示すスクリーンショット。

たとえば、データ ソースによっては、次のソリューションとデータ コネクタを使用できます。

解決策 データ コネクタ
Sentinel 向け Common Event Format ソリューション Microsoft Sentinel 用 Common Event Format (CEF) コネクタ
Windows Server DNS Microsoft Sentinel 用 DNS コネクタ
Sentinel 向け Syslog ソリューション Microsoft Sentinel 用 Syslog コネクタ
Sentinel 向け Microsoft 365 ソリューション Microsoft Sentinel 用 Office 365 コネクタ
Sentinel 向け Azure アクティビティ ソリューション Microsoft Sentinel 用 Azure アクティビティ コネクタ

照合分析ルールを構成する

照合分析は、Microsoft Defender 脅威インテリジェンス分析ルールを有効にすると構成されます。

  1. [構成] セクションの [分析] メニューをクリックします。

  2. [規則のテンプレート] メニュー タブを選択します。

  3. 検索ウィンドウに「脅威インテリジェンス」と入力します。

  4. Microsoft Defender 脅威インテリジェンス分析ルール テンプレートを選択します。

  5. [ルールの作成] をクリックします。 ルールの詳細は読み取り専用で、ルールは既定の状態で有効になっています。

  6. [レビュー]>[作成] をクリックします。

[アクティブなルール] タブで有効になっている Microsoft Defender 脅威インテリジェンス分析ルールを示すスクリーンショット。

データ ソースとインジケーター

Microsoft Defender 脅威インテリジェンス (MDTI) 分析では、次の方法で、ログとドメイン、IP、URL インジケーターが照合されます。

  • Log Analytics CommonSecurityLog テーブルに取り込まれた CEF ログは、RequestURL フィールドに設定されている場合は URL とドメイン インジケーターを照合し、DestinationIP フィールドの IPv4 インジケーターを照合します。

  • イベント SubType == "LookupQuery" が、DnsEvents テーブルに取り込まれた Windows DNS ログは、Name フィールドに設定されたドメイン インジケーターと、IPAddresses フィールドの IPv4 インジケーターを照合します。

  • Facility == "cron"Syslog テーブルに取り込まれた Syslog イベントは、SyslogMessage フィールドから直接ドメインと IPv4 インジケーターを照合します。

  • OfficeActivity テーブルに取り込まれた Office アクティビティ ログは、ClientIP フィールドから直接 IPv4 インジケーターを照合します。

  • AzureActivity テーブルに取り込まれた Azure アクティビティ ログは、CallerIpAddress フィールドから直接 IPv4 インジケーターを照合します。

照合分析によって生成されたインシデントをトリアージする

Microsoft の分析で一致が検出されると、生成されたすべてのアラートはインシデントにグループ化されます。

Microsoft Defender 脅威インテリジェンス分析ルールによって生成されたインシデントをトリアージするには、次の手順を使用します。

  1. Microsoft Defender 脅威インテリジェンス分析ルールを有効にした Microsoft Sentinel ワークスペースで、[インシデント] を選択し、「Microsoft Defender 脅威インテリジェンス分析」を検索します。

    見つかったインシデントはグリッドに表示されます。

  2. [すべての詳細を表示] を選択して、特定のアラートなど、インシデントに関するエンティティとその他の詳細を表示します。

    次に例を示します。

    照合分析によって生成されたインシデントと詳細ウィンドウのスクリーンショット。

  3. アラートとインシデントに割り当てられている重大度を確認します。 インジケーターの照合方法に応じて、適切な重大度 (Informational から High まで) がアラートに割り当てられます。 たとえば、インジケーターがトラフィックを許可したファイアウォール ログと照合された場合は、重大度の高いアラートが生成されます。 同じインジケーターがトラフィックをブロックしたファイアウォール ログと照合された場合は、低いか中程度のアラートが生成されます。

    アラートはその後、インジケーターの観測可能単位でグループ化されます。 たとえば、24 時間の期間に生成され、contoso.com ドメインに一致するアラートはすべて、最も高いアラート重大度に基づいて割り当てられた重大度で、1 つのインシデントにグループ化されます。

  4. インジケーターの詳細を確認します。 一致が検出されると、インジケーターは Log Analytics の ThreatIntelligenceIndicators テーブルに発行され、[脅威インテリジェンス] ページに表示されます。 このルールから発行されたインジケーターの場合、ソースは Microsoft Defender 脅威インテリジェンス分析と定義されます。

たとえば、ThreatIntelligenceIndicators テーブルでは、次のようになります。

Log Analytics の ThreatIntelligenceIndicator テーブルのスクリーンショット。Microsoft 脅威インテリジェンス分析の SourceSystem を使用したインジケーターが示されています。

[脅威インテリジェンス] ページでは、次のようになります。

脅威インテリジェンスの概要のスクリーンショット。ソースを Microsoft 脅威インテリジェンス分析として示すインジケーターが選択されています。

Microsoft Defender 脅威インテリジェンスからさらにコンテキストを取得する

忠実度の高いアラートやインシデントに加えて、一部の MDTI インジケーターには、MDTI コミュニティ ポータルの参照記事へのリンクが含まれます。

MDTI の参照記事へのリンクを含むインシデントのスクリーンショット。

詳細については、MDTI ポータルと「Microsoft Defender 脅威インテリジェンスとは」を参照してください

関連するコンテンツ

この記事では、Microsoft によって生成された脅威インテリジェンスを接続してアラートとインシデントを生成する方法について説明しました。 Microsoft Sentinel の脅威インテリジェンスの詳細については、次の記事を参照してください。