Microsoft Sentinel の脅威インテリジェンスにエンティティを追加する
調査では、インシデントの範囲と性質を理解するための重要な部分として、エンティティとそのコンテキストを調べます。 インシデントにおける悪意のあるドメイン名、URL、ファイル、または IP アドレスを検出した場合は、脅威インテリジェンスの侵害インジケーター (IOC) としてラベル付けして追跡する必要があります。
たとえば、ネットワーク全体でポート スキャンを実行している、コマンドおよびコントロール ノードとして機能している、またはネットワーク内の多数のノードから送受信している IP アドレスを検出します。
Microsoft Sentinel を使うと、インシデント調査グラフ内でこのような種類のエンティティにフラグを付けて、脅威インテリジェンスに追加できます。 追加したインジケーターをログと脅威インテリジェンスの両方で確認し、Microsoft Sentinel ワークスペース全体で使用できます。
脅威インテリジェンスにエンティティを追加する
新しいインシデントの詳細ページでは、調査グラフに加えて、脅威インテリジェンスにエンティティを追加する別の方法が提供されます。 その両方の方法は、以下のとおりです。
Microsoft Sentinel のナビゲーション メニューから [インシデント] を選択します。
調査するインシデントを選択します。 インシデントの詳細パネルで、[すべての詳細を表示] を選択してインシデントの詳細ページを開きます。
脅威インジケーターとして追加するエンティティを [エンティティ] ウィジェットから見つけます。 (リストをフィルター処理したり、検索文字列を入力することで、検索しやすくなります)。
エンティティの右側にある 3 つの点を選択し、ポップアップ メニューから [TI に追加] を選択します。
脅威インジケーターとして追加できるのは、次の種類のエンティティのみです。
- ドメイン名
- IP アドレス (IPv4 と IPv6)
- URL
- ファイル (ハッシュ)
2 つのインターフェイスのうちどれを選択しても、最終的にはここにたどり着きます。
[新しいインジケーター] サイド パネルが開きます。 次のフィールドが自動的に設定されます。
Type
- 追加するエンティティが表すインジケーターの種類。
指定できる値のドロップダウン: ipv4-addr、ipv6-addr、URL、file、domain-name - 必須。エンティティ型に基づいて自動的に設定されます。
- 追加するエンティティが表すインジケーターの種類。
Value
- このフィールドの名前は、選んだインジケーターの種類に応じて動的に変化します。
- インジケーター自体の値。
- 必須。エンティティの値に基づいて自動的に設定されます。
タグ
- インジケーターに追加できるフリーテキストのタグ。
- 省略可能。インシデント ID によって自動的に設定されます。 その他のものを追加することもできます。
名前
- インジケーターの名前 - インジケーター リストに表示される内容です。
- 省略可能。インシデント名によって自動的に設定されます。
作成者
- インジケーターの作成者。
- 省略可能。Microsoft Sentinel にログインしているユーザーによって自動的に設定されます。
残りのフィールドは適宜入力します。
脅威の種類
- このインジケーターが表す脅威の種類。
- 省略可能。フリー テキスト。
説明
- インジケーターの説明。
- 省略可能。フリー テキスト。
取り消し
- インジケーターの取り消し状態。 インジケーターを取り消すにはチェックボックスをオンにします。アクティブにするにはチェックボックスをオフにします。
- 省略可能。ブール値。
[信頼度]
- データの正確性における信頼度を反映したスコア (割合)。
- 省略可能。整数、1 から 100
Kill chain
- このインジケーターが対応する Lockheed Martin Cyber Kill Chain のフェーズ。
- 省略可能。フリー テキスト
有効期間の開始
- このインジケーターが有効と見なされる開始時刻。
- 必須。日時
有効期限
- このインジケーターが有効と見なされなくなる時刻。
- 省略可能。日時
すべてのフィールドに目的の情報を入力したら、[適用] を選びます。 右上隅にインジケーターが作成されたことを示す確認メッセージが表示されます。
このエンティティは、脅威インジケーターとしてワークスペースに追加されます。 これは、[脅威インテリジェンス] ページのインジケーター リストと、[ログ] の ThreatIntelligenceIndicators テーブルで確認できます。
関連するコンテンツ
この記事では、脅威インジケーター リストにエンティティを追加する方法について説明しました。 詳細については、次を参照してください。