この記事では、Microsoft Defender XDR関連付けエンジンから特定の分析ルールを除外する方法について説明します。 この機能は、Microsoft Sentinelから移行する組織が予測可能なインシデント動作を維持し、既存の自動化ワークフローとの互換性を確保するのに役立ちます。
概要
Microsoft Defender XDRは、複数のアラートとインシデントを統合された攻撃ストーリーにグループ化します。 この機能は強力なセキュリティ分析情報を提供しますが、インシデントが静的であり、分析ルールの構成によってのみ決定されるMicrosoft Sentinelから移行する組織にとって予期しない動作につながる可能性があります。
特定の分析ルールを関連付けから除外することで、これらのルールによって生成されたアラートが関連付けエンジンをバイパスし、分析ルールのグループ化構成のみに基づいて、Microsoft Sentinelとまったく同じようにインシデントにグループ化できます。
Microsoft Defender XDRでの関連付けのしくみの詳細については、Microsoft Defender ポータルでのアラートの関連付けとインシデントのマージに関するページを参照してください。
前提条件
相関関係から分析ルールを除外するには、次のアクセス許可が必要です。
このAzureロールを持つ共同作成者ユーザー Microsoft Sentinel、アラートや検出を含む SIEM ワークスペース データMicrosoft Sentinel管理できます。
除外のしくみ
分析ルールを関連付けから除外する場合:
- そのルールによって生成されたアラートは、相関エンジンをバイパスします
- アラートは、分析ルールのグループ化構成のみに基づいてインシデントにグループ化されます
- 動作は、Microsoft Sentinelでのインシデントの作成方法と一致します
- ルールは、通常攻撃ストーリーを作成する相関ロジックとは無関係に動作します
この除外は、ルールの説明の先頭に #DONT_CORR# タグを追加することによって制御されます。
UI を使用して相関からルールを除外する
分析ルール ウィザードのトグルを使用して、分析ルールを関連付けから除外できます。
Microsoft Defender ポータルに移動し、サインインします。
分析ルール ウィザードに移動します。
ルール ウィザードの [ 全般 ] タブで、名前と説明を入力します。
[ ルール ロジックの設定 ] タブで、必要に応じてルール ロジックを構成します。
[ インシデント設定 ] タブで、[関連付けを有効にする] トグルが [無効] に設定されていることを確認します。
![[関連付けを有効にする] トグルが [無効] に設定されているインシデント設定 UI のスクリーンショット。](media/exclude-analytics-rules-correlation/analytics-rules-wizard-incident-settings.png)
相関関係からルールを除外するには、トグルを [オン] に 設定します。
![[関連付けを有効にする] トグルが [無効] に設定されているインシデント設定 UI のスクリーンショット。](media/exclude-analytics-rules-correlation/analytics-rules-wizard-incident-settings.png#lightbox)
UI トグルを使用してルールを除外すると、 #DONT_CORR# タグがルールの説明の先頭に自動的に追加されます。 分析ルール ビューに関連付け状態の列が含まれるようになりました。これにより、除外されるルールを簡単に確認したり、リストをフィルター処理して特定の状態のルールを表示したりできます。
![[相関状態] 列を含む分析ルール ビューのスクリーンショット。](media/exclude-analytics-rules-correlation/detections-rules.png#lightbox)
ルールを関連付けから手動で除外する
#DONT_CORR# タグを手動で追加または削除して、分析ルールの関連付け状態を制御できます。
タグを手動で追加する
編集モードで分析ルールを開きます。
ルールの [説明 ] フィールドで、テキストの先頭に
#DONT_CORR#を追加します。ルールを保存します。
API を使用して相関関係の除外を制御する
分析 API を使用して #DONT_CORR# タグを追加または削除することで、分析ルールの除外状態をプログラムで制御できます。
ルールの相関状態を変更するには:
Microsoft Defender XDR API を使用して、ルールの現在の構成を取得します。
ルールの説明フィールドの先頭にある
#DONT_CORR#タグを追加または削除します。API を使用してルールを更新します。
Microsoft Defender XDR API の使用方法の詳細については、「Microsoft Defender XDR API の概要」を参照してください。
重要な考慮事項
相関関係の除外を使用する場合は、次の点に注意してください。
関連付けの状態は常にタグと一致します。 UI トグルを使用してルールを除外し、説明から
#DONT_CORR#タグを手動で削除すると、ルールの関連付け状態が [関連付け] に戻ります。明示的に除外しない限り、すべての分析ルールで相関が既定で有効になっています。
ルールが関連付けから除外されている場合でも、分析ルールが動的タイトルで定義されている場合、Defender ポータルのインシデント タイトルがMicrosoft Sentinelのタイトルとは異なる場合があります。 Microsoft Sentinelタイトルは最初のアラートのタイトルであり、Defender ではすべてのアラートの一般的な MITRE 戦術にフォールバックします。
ルールの相関状態を変更しても、変更前に作成されたアラートには影響しません。 アラートは、作成時に関連付けの状態を受け取り、この状態は静的なままです。
相関エンジンは、完全な攻撃ストーリーを構築するように設計されており、SOC アナリストが攻撃を理解し、効率的に対応するのに大きく役立ちます。 特定のビジネス要件または運用要件に必要な場合にのみ、相関関係からルールを除外します。
タグの書式設定ルール
-
大文字と小文字を区別しない - 大文字と小文字の任意の組み合わせを使用できます (たとえば、
#dont_corr#や#DONT_CORR#)。 - 間隔は柔軟です - タグと説明の残りの部分の間に任意の数のスペースを追加することも、スペースをまったく追加することもできません。
- 先頭にする必要があります - タグは説明フィールドの先頭に表示する必要があります。
-
大文字と小文字を区別しない - 大文字と小文字の任意の組み合わせを使用できます (たとえば、
たとえば、次に示すすべての有効な説明を示します。
- #DONT_CORR# このルールは、不審なサインイン試行を検出します
- #dont_corr# このルールは、ファイルの変更を監視します
- #DONT_CORR#This ルールにはタグの後にスペースがありません
次の手順
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。