Microsoft Sentinel の Out-of-the-box コンテンツの一元化の変更

Microsoft Sentinel コンテンツ ハブを使用すると、すぐに使用できる (OOTB) コンテンツおよびソリューションの検出とオンデマンド インストールを 1 つの手順で実行できます。 以前は、この OOTB コンテンツの一部は、Microsoft Sentinel のさまざまなギャラリー セクションにのみ存在していました。 今回は、次のギャラリー コンテンツ テンプレートの "すべて" が、コンテンツ ハブでスタンドアロン項目またはパッケージ ソリューションの一部として入手できるようになります。

  • データ コネクタ
  • 分析ルール テンプレート
  • ハンティング クエリ
  • プレイブック テンプレート
  • ブック テンプレート

コンテンツ ハブの変更

すべての OOTB コンテンツを一元化するために、ギャラリーのみのコンテンツ テンプレートを廃止しました。 従来のギャラリー コンテンツ テンプレートは一貫して更新されなくなりますが、コンテンツ ハブでは OOTB コンテンツが最新の状態に保たれます。 コンテンツ ハブでは、ソリューションの更新済みワークフローとスタンドアロン コンテンツの自動更新も提供されます。

この移行を容易にするために、使用中の廃止対象テンプレートを、対応するコンテンツ ハブ ソリューションから復帰させるための集中ツールを公開しました。

集中ツールを使用して "使用中" の廃止されたテンプレートを復帰させる

コンテンツ ハブの一元化の変更が完了したので、集中ツールの復帰プロセスを完了する方法の概要をこちらに示します。

  1. 警告バナーのリンクを選択して使用中の廃止されたギャラリーのみのコンテンツ テンプレートを復帰させます。

    このスクリーンショットは、ブック ギャラリーにある警告バナーの例を示しています。 Screenshot showing orange warning banner with link to initiate central tool.

  2. リンクを選択し、ページをよく読みます。

  3. [続行] を選択し、ツールによって生成されるコンテンツの一覧を確認します。

    Screenshot shows central tool page including details on how to use it.

  4. [Complete Centralization] (一元化の完了) を選択して、インストールを開始します。 この選択は固定され、変更することはできません。

    Screenshot shows the list of content the tool generates.

データ コネクタ ページの変更

すべてのデータ コネクタはソリューションの一部になりました。 以前は、ダッシュボードの視覚化 (現在はブックと呼ばれています) を促し、サンプル KQL クエリを提供するために、データ コネクタ ページの [次の手順] タブにこれらの項目の一部を含めていました。 データ コネクタ ページの [次の手順] 部分を廃止し、新しい "ソリューション" コンテンツの動作を採用しました。これにより、すべてのソリューション コンポーネントはデータ コネクタと共に管理されます。

新しい動作を体験するには、コンテンツ ハブで始めることが重要です。 以前の動作と新しいエクスペリエンスを比較するために、Azure Activity データ コネクタを試してください。 コンテンツ ハブからソリューションをインストールし、[管理] を選ぶと、ソリューション全体を調べることができます。 Azure Activity データ コネクタの視覚化が必要な場合は、ブックのテンプレートを表示します。 KQL クエリを確認する場合は、データ テーブルから始めます。 高度なクエリについては、分析ルールとハンティング クエリを確認してください。

新しいソリューション コンテンツの動作の詳細については、OOTB コンテンツの検出とデプロイに関する記事を参照してください。

探しているサードパーティ製データ コネクタに特化したサンプル クエリがある場合は、現在も [すべてのコネクタ] インデックスで公開しています。 たとえば、こちらに Jamf Protect コネクタのサンプル クエリがあります。

Microsoft Sentinel の GitHub の変更

Microsoft Sentinel には、Microsoft とコミュニティによって審査されるコミュニティ投稿用の公式 GitHub リポジトリがあります。 これは、コンテンツ ハブ内のほとんどのコンテンツ項目のソースです。

このコンテンツを一貫して検出できるように、OOTB コンテンツの一元化の変更は、既に Microsoft Sentinel の GitHub リポジトリにまで拡張されています。

  • コンテンツ ハブ ソリューションからパッケージ化されたすべての OOTB コンテンツは、GitHub リポジトリの Solutions フォルダーに格納されるようになりました。
  • スタンドアロンの OOTB コンテンツ項目はすべて、それぞれの場所に残ります。

コンテンツ ハブと Microsoft Sentinel の GitHub リポジトリに対するこれらの変更により、Microsoft Sentinel コンテンツの一元化に向けた取り組みが完了します。

この変更はいつ行われるのですか?

一元化の変更がリリースされました。 Microsoft Sentinel の GitHub の変更は既に行われています。 スタンドアロン コンテンツは既存の GitHub フォルダーで入手でき、ソリューション コンテンツは Solutions フォルダーに移動されました。

[次の手順] タブの変更は既に完了しています。

変更のスコープ

この変更の対象範囲は、種類が "ギャラリー コンテンツ" であるテンプレートのみです。 これらと同じすべてのテンプレートとさらに多くの OOTB コンテンツを、コンテンツ ハブでソリューションまたはスタンドアロン コンテンツとして入手できます。

Microsoft Sentinel の GitHub リポジトリについては、コンテンツ ハブでソリューションにパッケージ化された OOTB コンテンツは、GitHub リポジトリ の Solutions フォルダー下にのみ一覧表示されるようになりました。 その他の既存の GitHub コンテンツについては、次のフォルダーが対象範囲であり、スタンドアロン コンテンツ項目のみが含まれます。 この一覧に含まれていない残りの GitHub フォルダー内のコンテンツには、変更はありません。

変更のない事項

この変更は、(テンプレートから作成されたものも、そうでないものも) アクティブまたはカスタム項目には影響しません。 具体的には、この変更は次の項目には影響しません。

  • 状態接続済みのデータ コネクタ。
  • 分析ギャラリーの [アクティブなルール] タブにあるアラート ルールまたは検出 (有効または無効)。
  • ブック ギャラリーの [マイ ワークブック] タブにある保存されたブック。
  • ハンティング ギャラリー内の複製されたコンテンツまたはコンテンツ ソースカスタムのコンテンツ。
  • 自動化ギャラリーの [アクティブなプレイブック] タブにあるアクティブなプレイブック (有効または無効)。

この変更は、コンテンツ ハブからインストールされた OOTB コンテンツ テンプレート (コンテンツ ソースコンテンツ ハブであることで識別可能) にも影響しません。

変更点

すべてのテンプレート ギャラリーで、製品内警告バナーが表示されるようになりました。 このバナーには、Microsoft Sentinel ポータル内で実行されるツールへのリンクが含まれます。 ツールをアクティブ化すると、使用中の廃止対象テンプレート用のコンテンツ テンプレートをコンテンツ ハブから復帰させるためのガイド付きエクスペリエンスが開始します。

このツールはワークスペースごとに 1 回のみ実行する必要があるため、必ず組織で計画してください。 ツールが正常に実行されると、警告バナーがそのワークスペースのテンプレート ギャラリーから消えます。

これらの各ギャラリーのコンテンツ テンプレートに対する特定の影響を次の表に示します。 OOTB コンテンツの一元化が有効になったため、これらの変更を想定してください。

コンテンツ タイプ 影響
データ コネクタ コンテンツ ソースギャラリーのコンテンツ、および状態接続されていないとして識別できるテンプレートは、データ コネクタ ギャラリーに表示されなくなります。
Analytics ソース名ギャラリーのコンテンツとして識別できるテンプレートは、分析ギャラリーに表示されなくなります。
ハンティング コンテンツ ソースギャラリーのコンテンツのテンプレートは、ハンティング ギャラリーに表示されなくなります。
プレイブック ソース名ギャラリーのコンテンツとして識別できるテンプレートは、自動プレイブック ギャラリーに表示されなくなります。
ブック コンテンツ ソースギャラリーのコンテンツのテンプレートは、ブック ギャラリーに表示されなくなります。

一元化の変更およびツール実行の前と後の分析ルールの例を次に示します。

  • アクティブな分析ルールは、まったく変更されません。 廃止予定の分析ルール テンプレートに基づいています。

    Screenshot that shows an active analytics rule before centralization changes.

    このスクリーンショットは、廃止予定の分析ルール テンプレートを示しています。

    Screenshot that shows the analytics rule template that will be retired.

  • 分析ルール テンプレートを復元するためにツールを実行すると、復元元のソリューションにソースが変更されます。

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

必要な対処

  • コンテンツ ハブから新しい OOTB コンテンツをインストールし、必要に応じてソリューションを更新して、最新バージョンのテンプレートを入手します。
  • 使用中の既存のギャラリー コンテンツ テンプレートについては、コンテンツ ハブからソリューションまたはスタンドアロン コンテンツ項目をインストールすることによって、今後の更新を入手します。 機能ギャラリーのギャラリー コンテンツは古くなっている可能性があります。
  • Microsoft Sentinel の GitHub リポジトリから OOTB コンテンツを直接取得するアプリケーションまたはプロセスがある場合は、既存のコンテンツ フォルダーに加えて Solutions フォルダーからも OOTB コンテンツを取得するように場所を更新します。
  • 警告バナーおよび変更が有効になったため、ツールを実行するユーザーとそのタイミングを組織で計画してください。 使用中の廃止対象テンプレートのすべてをコンテンツ ハブから復元するには、ワークスペースでツールを 1 回実行する必要があります。
  • 次の FAQ を参照して、ご使用の環境にあてはまる可能性がある詳細情報を確認してください。

コンテンツの一元化に関する FAQ

この変更は、SOC アラートの生成やインシデントの生成と管理に影響しますか?

いいえ。 アクティブなアラート ルールまたは検出、アクティブなプレイブック、複製されたハンティング クエリ、保存されたブックには影響はありません。 OOTB コンテンツの一元化の変更は、現在のインシデント生成および管理プロセスには影響しません。

はい。 次の種類の分析ルール テンプレートは、この変更から除外されます。

  • 異常ルール テンプレート
  • Fusion ルール テンプレート
  • ML 行動分析 (機械学習) ルール テンプレート
  • Microsoft セキュリティ (インシデント作成) ルール テンプレート
  • 脅威インテリジェンス ルール テンプレート

この変更は、いずれかの API に影響しますか?

はい。 現在、コンテンツ テンプレート管理用に存在する Microsoft Sentinel REST API 呼び出しは、アラート ルール テンプレート用の Get および List 操作のみです。 これらの操作はギャラリー コンテンツ テンプレートを表示するだけであり、更新されません。 これらの操作の詳細については、最新のアラート ルール テンプレート REST API リファレンスを参照してください。

OOTB コンテンツ管理シナリオをより広範に有効にするために、コンテンツ ハブで新しい REST API 操作がまもなく提供される予定です。 この API 更新には、一元化の変更で対象範囲になっているのと同じ種類のコンテンツ (データ コネクタ、プレイブック テンプレート、ブック テンプレート、分析ルール テンプレート、ハンティング クエリ) に対する操作が含まれます。 ワークスペースにインストールされている分析ルール テンプレートを更新するためのメカニズムもロードマップに含まれています。

必要な対応: 新しい OOTB コンテンツ管理 API 操作が利用可能になった場合に、コンテンツ ハブでそれらの操作を使用するように、アプリケーションとプロセスを更新する計画を立てます。 当初、2023 年第 2 四半期に利用可能になると発表しましたが、まだ準備ができていません。

使用中の OOTB コンテンツ テンプレートは集中ツールでどのように識別されますか?

このツールでは、状態接続済みのデータ コネクタと、使用中のプレイブック テンプレートという 2 つの基準に基づいてソリューションの一覧を作成します。 ツールによって提案されるソリューションの一覧が作成されると、承認のためにその一覧が表示されます。 一覧を承認すると、ツールはそれらすべてのソリューションをインストールします。 OOTB コンテンツはソリューションに基づいて復元されるため、実際に使用しているよりも多くのテンプレートを取得する場合があります。

この集中ツールでは、使用中の OOTB コンテンツ テンプレートはベスト エフォートでコンテンツ ハブから復元されます。 省略された OOTB コンテンツは、コンテンツ ハブから直接インストールできます。

Microsoft Sentinel ワークスペースで API を使用してデータ ソースを接続している場合はどうなりますか?

現在、API のデータ接続がデータ コネクタのデータ型と一致する場合は、データ コネクタ ギャラリーに状態接続済みと表示されます。 一元化の変更が有効になった後、同じ動作を得るには、それぞれのソリューションから特定のデータ コネクタをインストールする必要があります。

必要な対応: データ インジェスト API を使用して接続する前に、デプロイしているデータ コネクタ用のプロセスまたはツールを、コンテンツ ハブのソリューションからインストールするように更新する計画を立ててください。 ソリューションをインストールするための REST API オペレーターは、OOTB コンテンツ管理 API と共に 2023 年の第 2 四半期に提供される予定です。

Microsoft Sentinel のリポジトリ機能を使用してコンテンツを操作している場合はどうなりますか?

リポジトリでは、特にカスタムまたはアクティブ コンテンツを Microsoft Sentinel にデプロイします。 OOTB コンテンツの一元化の変更は、リポジトリ機能経由でデプロイされたコンテンツに影響しません。

ワークスペース マネージャーのデプロイ グループに影響しますか?

リポジトリと同様に、ワークスペース マネージャーはカスタムまたはアクティブ コンテンツのみをデプロイするため、OOTB コンテンツの一元化の変更は、ワークスペース マネージャーを通じてデプロイされたコンテンツにも影響しません。

次のステップ

OOTB コンテンツとコンテンツ ハブに関する次のその他のリソースをご覧ください。