Important
カスタム検出は、現在、Microsoft Sentinel SIEM と Microsoft Defender XDR の両方に適する新しいルールを作成するための最も効果的な方法です。 カスタム検出を使用すると、インジェスト コストを削減し、無制限のリアルタイム検出を取得し、自動エンティティ マッピングを使用して Defender XDR データ、関数、修復アクションとシームレスに統合できます。 詳細については、このブログを参照してください。
Important
検出のチューニングは現在 プレビュー段階です。 ベータ版、プレビュー版、またはその他の一般提供にまだリリースされていない Azure 機能に適用される追加の法的条件については、 Microsoft Azure プレビューの追加使用条件 を参照してください。
SIEM の脅威検出ルールの微調整は、脅威検出の対象範囲を最大化することと誤検知率を最小限に抑えることのバランスを取る、困難で繊細で継続的なプロセスになる可能性があります。 Microsoft Sentinel では、機械学習を使用してデータ ソースからの数十億のシグナルを分析し、時間の経過と共にインシデントへの対応を分析し、パターンを排除し、チューニングのオーバーヘッドを大幅に削減し、実際の脅威の検出と対応に集中できる実用的な推奨事項と分析情報を提供することで、このプロセスを簡素化および合理化します。
チューニングの推奨事項と分析情報が分析ルールに組み込まれるようになりました。 この記事では、これらの分析情報が示す内容と、推奨事項を実装する方法について説明します。
ルールの分析情報とチューニングに関する推奨事項を表示する
Microsoft Sentinel に任意の分析ルールのチューニングに関する推奨事項があるかどうかを確認するには、Microsoft Sentinel ナビゲーション メニューから [分析 ] を選択します。
推奨事項があるルールには、次に示すように電球アイコンが表示されます。
ルールを編集して、他の分析情報と共に推奨事項を表示します。 これらは、分析ルール ウィザードの [ルール ロジックの設定 ] タブの [結果シミュレーション ] 表示の下にまとめて表示されます。
分析情報の種類
チューニング分析情報の表示は、スクロールまたはスワイプできる複数のペインで構成され、それぞれに異なる内容が表示されます。 分析情報が表示される期間 (14 日間) は、フレームの上部に表示されます。
最初の分析情報ウィンドウには、統計情報がいくつか表示されます。インシデントごとのアラートの平均数、開いているインシデントの数、閉じたインシデントの数が分類別にグループ化されています (true/false positive)。 この分析情報は、このルールの負荷を把握し、チューニングが必要かどうかを把握するのに役立ちます 。たとえば、グループ化の設定を調整する必要がある場合などです。
この分析情報は、Log Analytics クエリの結果です。 インシデントごとの平均アラートを選択すると、分析情報を生成した Log Analytics のクエリが表示されます。 [ インシデントを開く ] を選択すると、[ インシデント ] ブレードが表示されます。
2 番目の分析情報ウィンドウでは、除外する エンティティ の一覧が推奨されます。 これらのエンティティは、閉じたインシデントと密接に関連付けられており、擬陽性として分類されます。 リストされている各エンティティの横にあるプラス記号を選択して、このルールの今後の実行でクエリから除外します。
この推奨事項は、Microsoft の高度なデータ サイエンスモデルと機械学習モデルによって生成されます。 チューニング 分析情報 の表示にこのウィンドウが含まれるのは、表示する推奨事項に依存します。
3 番目の分析情報ウィンドウには、このルールによって生成されたすべてのアラートで最も頻繁に表示される 4 つのマップされたエンティティが表示されます。 結果を生成するには、このインサイトのルールにエンティティマッピングを構成する必要があります。 この分析情報は、他のエンティティから注目を奪っている「スポットライトを浴びている」エンティティに気づくのに役立つかもしれません。 これらのエンティティを別のルールで個別に処理することも、誤検知やノイズであると判断してルールから除外することもできます。
この分析情報は、Log Analytics クエリの結果です。 いずれかのエンティティを選択すると、分析情報を生成した Log Analytics のクエリが表示されます。
次のステップ
詳細については、以下を参照してください。