Microsoft Sentinel 用の Advanced Security Information Model (ASIM) ベースのドメイン ソリューション (プレビュー)

Microsoft の必須ソリューションは、Microsoft Sentinel 用に Microsoft が公開しているドメイン ソリューションです。 これらのソリューションには、ネットワークなどの特定のカテゴリの複数の製品で動作する、すぐに使用できるコンテンツが含まれています。 これらの必須ソリューションの一部では、正規化手法 Advanced Security Information Model (ASIM) を使用して、クエリ時またはインジェスト時にデータを正規化します。

重要

Microsoft の必須ソリューションと Network Session Essentials ソリューションは現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

ASIM ベースの Microsoft の必須ソリューションを使用する理由

ドメイン カテゴリ内の複数のソリューションが同様の検出パターンを共有している場合、ASIM などの正規化されたスキーマでデータをキャプチャすることは理にかなっています。 必須ソリューションは、この ASIM スキーマを利用して脅威を大規模に検出します。

コンテンツ ハブには、"セキュリティ - ネットワーク" などのドメイン カテゴリごとに複数の製品ソリューションがあります。 たとえば、Azure Firewall、Palo Alto Firewall、Corelight には、"セキュリティ - ネットワーク" ドメイン カテゴリの製品ソリューションがあります。

  • これらのソリューションでは、設計上、データ取り込みコンポーネントが異なります。 ただし、同じドメイン カテゴリ内の分析、ハンティング、ブック、その他のコンテンツには特定のパターンがあります。
  • ほとんどの主要なネットワーク製品には、通常とは異なる IP アドレスからの悪意のある脅威を含む、一般的なファイアウォール アラートの基本セットがあります。 分析ルール テンプレートは、一般に、製品ソリューションの "セキュリティ - ネットワーク" カテゴリごとに重複しています。 複数のネットワーク製品を実行している場合は、複数の分析ルールを個別に確認して構成する必要があり、これは非効率的です。 また、構成されたルールごとにアラートを受け取るため、アラート疲れが発生する可能性があります。
  • ハンティング クエリが重複している場合、すべて実行モードのハンティングでは、ハンティング エクスペリエンスのパフォーマンスが低下する可能性があります。 これらの重複したハンティング クエリは、脅威ハンターが同様のクエリを選択して実行する効率も低下させます。

次の理由から、Microsoft の必須ソリューションを検討する場合があります。

  • 正規化されたスキーマを使用すると、インシデントの詳細を照会しやすくなります。 類似のログ属性に対して異なるベンダー構文を覚える必要がありません。
  • 複数のソリューションのコンテンツを管理する必要がない場合は、ユース ケースのデプロイとインシデント処理がより簡単になります。
  • 統合ブック ビューを使用すると、環境の可視性が向上し、高パフォーマンスの ASIM パーサーによりクエリ時間の解析が可能になります。

サポートされている ASIM スキーマ

必須ソリューションは現在、Sentinel でサポートされている次の異なる ASIM スキーマにまたがっています。

  • 監査イベント
  • 認証イベント
  • DNS アクティビティ
  • ファイル アクティビティ
  • ネットワーク セッション
  • プロセス イベント
  • Web セッション

詳細については、「Advanced Security Information Model (ASIM) スキーマ」を参照してください。

インジェスト時間の正規化

インジェスト時間の正規化の結果は、次の正規化されたテーブルに取り込むことができます。

詳細については、「取り込み時の正規化」を参照してください。

ASIM ベースのドメインの必須ソリューションで利用できるコンテンツ

次の表では、各必須ソリューションで使用できるコンテンツの種類について説明します。 特定のユース ケースによっては、Microsoft Sentinel 製品ソリューションで使用できるコンテンツも使用した方がよい場合があります。

Content type description
分析ルール ASIM ベースの必須ソリューションで使用できる分析ルールは汎用的であり、そのドメインに依存する Microsoft Sentinel 製品ソリューションに適しています。 Microsoft Sentinel 製品ソリューションには、分析ルールの一部としてソース固有のユース ケースが含まれている場合があります。 実際の環境に応じて Microsoft Sentinel 製品ソリューション ルールを有効にします。
ハンティング クエリ ASIM ベースの必須ソリューションで使用できるハンティング クエリは汎用的であり、そのドメインに依存する Microsoft Sentinel 製品ソリューションからの脅威を検出するのに適しています。 Microsoft Sentinel 製品ソリューションには、すぐに使用できるソース固有のハンティング クエリがある場合があります。 実際の環境に必要に応じて、Microsoft Sentinel 製品ソリューションからのハンティング クエリを使用します。
プレイブック ASIM ベースの必須ソリューションは、1 秒あたりのイベント数が多いデータを処理することが期待されています。 その量のデータを使用しているコンテンツがある場合は、ブックやクエリ結果の読み込みが遅くなる可能性のあるパフォーマンスへの影響が発生する可能性があります。 この問題を解決するために、概要作成プレイブックによってソース ログが要約され、情報が定義済みのテーブルに保存されます。 概要作成プレイブックを有効にして、必須ソリューションがこのテーブルに対してクエリを実行できるようにします。

Microsoft Sentinel のプレイブックは、個別のリソースを作成する Azure Logic Apps で構築されたワークフローに基づいているため、その他の料金が適用される場合があります。 詳細については、Azure Logic Apps の価格ページを参照してください。 概要データの保存にもその他の料金が適用される場合があります。
Watchlist ASIM ベースの必須ソリューションでは、分析ルールの検出とハンティング クエリに複数の条件セットを含むウォッチリストを使用します。 ウォッチリストを使用すると、次のタスクを実行できます。

- データ フィルターを使用して集中監視を行います。
- リスト アイテムごとにハンティングと検出を切り替えます。
- [しきい値の種類][静的] に設定したままにすると、異常ベースのアラートを過去数日間 (最大 14 日間) のデータから学習しつつ、しきい値ベースのアラートを活用できます。
- このウォッチリストを個々のリスト アイテムに使用して、[アラート名][説明][戦術][重大度] を変更します。
- [重大度][無効] に設定して、検出を無効にします。
Workbooks ASIM ベースの必須ソリューションで使用できるブックにより、依存ドメインで発生するさまざまなイベントとアクティビティの統合ビューが提供されます。 このブックは非常に大量のデータから結果をフェッチするため、パフォーマンスの低下が発生する可能性があります。 パフォーマンスの問題が発生した場合は、概要作成プレイブックを使用します。

他の Microsoft Sentinel ドメイン ソリューションと同様に、これらの必須ソリューションには独自のコネクタがありません。 Microsoft Sentinel 製品ソリューションのソース固有のコネクタに依存して、ログを取り込みます。 ドメイン ソリューションがサポートする製品を理解するには、ASIM ドメインの必須ソリューションの一覧の各製品ソリューションの前提条件の一覧を参照してください。 1 つ以上の製品ソリューションをインストールします。 基になる製品の依存関係のニーズを満たし、このドメイン ソリューション コンテンツをより適切に使用できるように、データ コネクタを構成します。