Important
カスタム検出は、Microsoft Sentinel SIEM Microsoft Defender XDR全体で新しいルールを作成するための最良の方法になりました。 カスタム検出を使用すると、インジェスト コストを削減し、無制限のリアルタイム検出を取得し、自動エンティティ マッピングを使用してDefender XDRデータ、関数、修復アクションとシームレスに統合できます。 詳細については、 このブログを参照してください。
カスタマイズ可能な異常とは
攻撃者や防御者は、サイバーセキュリティの軍拡競争で常に優位性を得るために戦っており、攻撃者は常に検出を回避する方法を見つけている。 しかし、必然的に、攻撃はシステム内で異常な動作をもたらします。 Microsoft Sentinel のカスタマイズ可能な機械学習ベースの異常は、すぐに動作するように設定できる分析ルール テンプレートを使用して、この動作を識別できます。 異常は必ずしも悪意のある動作や疑わしい動作を示すわけではありませんが、検出、調査、脅威ハンティングを改善するために使用できます。
検出を改善するための追加のシグナル: セキュリティ アナリストは、異常を使用して新しい脅威を検出し、既存の検出をより効果的にすることができます。 1 つの異常は悪意のある行動の強いシグナルではありませんが、キル チェーン上の異なるポイントで複数の異常を組み合わせることで、明確なメッセージが送信されます。 セキュリティ アナリストは、異常な動作の識別を調整することで、既存の検出アラートをより正確にすることができます。
調査中の証拠: セキュリティ アナリストは、調査中に異常を使用して、侵害の確認、調査のための新しいパスの検索、潜在的な影響の評価を行うこともできます。 これらの効率により、セキュリティ アナリストが調査に費やす時間が短縮されます。
プロアクティブな脅威ハンティングの開始: 脅威ハンターは、クエリが疑わしい動作を発見したかどうかを判断するために、コンテキストとして異常を使用できます。 動作が疑わしい場合、異常はまた新たな調査への可能な道筋を指し示します。 異常によって提供されるこれらの手掛かりは、脅威を検出する時間と損害を引き起こす可能性の両方を減らします。
異常は強力なツールですが、非常にノイズが多いことで知られています。 通常、特定の環境や複雑な後処理には、多くの面倒なチューニングが必要です。 カスタマイズ可能な異常テンプレートは、Microsoft Sentinel のデータ サイエンス チームによって調整され、すぐに使用できる値を提供します。 さらに調整する必要がある場合、プロセスは単純であり、機械学習に関する知識は必要ありません。 多くの異常のしきい値とパラメーターは、既に使い慣れた分析ルールのユーザー インターフェイスを使用して構成および微調整できます。 元のしきい値とパラメーターのパフォーマンスは、インターフェイス内の新しいしきい値と比較し、テストまたはフライティングフェーズ中に必要に応じてさらに調整できます。 異常がパフォーマンス目標を満たしたら、新しいしきい値またはパラメーターを持つ異常を、ボタンをクリックして運用環境に昇格させることができます。 Microsoft Sentinel のカスタマイズ可能な異常を使用すると、ハードワークなしで異常検出の利点を得ることができます。
UEBA の異常
Microsoft Sentinel の異常検出の一部は、さまざまな環境にわたる各エンティティのベースライン履歴動作に基づいて異常を検出する ユーザーとエンティティの動作分析 (UEBA) エンジンから取得されます。 各エンティティのベースライン動作は、その独自の過去のアクティビティ、ピアの過去のアクティビティ、組織全体の過去のアクティビティに従って設定されます。 異常は、さまざまな属性 (アクションの種類、地理的位置、デバイス、リソース、ISP など) の相関関係が引き金となって発生することがあります。
次のステップ
このドキュメントでは、Microsoft Sentinel でカスタマイズ可能な異常を利用する方法について説明しました。
- 異常ルールを表示、作成、管理、および微調整する方法について説明します。
- ユーザーとエンティティの動作分析 (UEBA) について説明します。
- 現在サポートされている異常の一覧を参照してください。
- その他の種類の分析ルールについて説明します。