Microsoft Sentinel のほぼリアルタイム (NRT) の分析ルールを使用した迅速な脅威検出

  • [アーティクル]

セキュリティ上の脅威に直面した場合、時間とスピードが最も重要になります。 脅威を迅速に分析して対応できるように、脅威の実現に注意する必要があります。 Microsoft Sentinel のほぼリアルタイム (NRT) 分析ルールを使用すると、オンプレミス SIEM に匹敵するスピードで脅威を検出し、特定のシナリオで応答時間を短縮できます。

Microsoft Sentinel のほぼリアルタイム分析ルールでは、面倒な設定なし、かつ最新の方法で脅威を検出できます。 この型のルールは、わずか1分サイクル間隔でクエリを実行することにより、応答性が高くなるように設計されています。

NRT ルールのしくみ

NRT ルールは、可能な限り最新の情報をするために、1 分ごとに 1 回実行され、直前の 1 分間に取り込まれたイベントをキャプチャするようにハード コーディングされています。

取り込みのタイム ラグを考慮して組み込みの 5 分の遅延で実行される通常のスケジュールされたルールとは異なり、NRT ルールは、わずか 2 分の遅延で実行され、ソース (TimeGenerated フィールド) での生成時間ではなくイベントの取り込み時間を照会することで、取り込み遅延の問題を解決しています。 これにより、検出の頻度が増すと共に精度が向上します。 (この問題をもっと完全に理解するには、「クエリのスケジュール設定とアラートのしきい値」と「スケジュールされた分析ルールでのインジェスト遅延の処理」を参照してください)

NRT ルールには、スケジュールされた分析ルールと同じ機能の多くがあります。 アラート エンリッチメント機能の完全なセットを使用できます。エンティティをマップし、カスタムの詳細を表示し、アラートの詳細の動的コンテンツを構成できます。 アラートをインシデントにグループ化する方法を選択できるほか、結果を生成した後にクエリの実行を一時的に抑制できます。また、ルールから生成されたアラートやインシデントに応答して実行する自動化ルールとプレイブックを定義できます。

当面、これらのテンプレートの用途は下記のように限られていますが、テクノロジは急速に進化し、成長しています。

考慮事項

現在、NRT ルールの使用には次の制限事項が適用されます。

  • 現時点では、顧客あたり 50 個を超えるルールは定義できません。

  • 設計上、NRT ルールは、インジェストの遅延が 12 時間未満のログ ソースでのみ適切に機能します。

    (NRT ルールの種類は リアルタイム データ インジェストを概算することになっているため、12 時間をはるかに下回っていても、大量のインジェスト遅延を伴うログ ソースで NRT ルールを使用する利点はありません。)

  • この種のルールの構文は徐々に進化しています。 現時点では、次の制限が引き続き有効です。

    • このルールの種類はほぼリアルタイムであるため、組み込みの遅延が最小 (2 分) に短縮されています。

    • NRT ルールでは、(TimeGenerated フィールドで表される) イベント生成時間ではなく、取り込み時間が使用されます。そのため、データ ソースの遅延と取り込みの待ち時間を安全に無視できます (上記を参照)。

    • クエリは、単一のワークスペース内でのみ実行できます。 ワークスペースをまたぐ機能はありません。

    • イベントのグループ化を限定的に構成できるようになりました。 NRT ルールでは、最大 30 個の単一イベント アラートを生成できます。 30 を超えるイベントが発生するクエリを含むルールでは、最初の 29 個に対してアラートが生成され、その後、該当するすべてのイベントをまとめた 30 個目のアラートが生成されます。

    • NRT ルールで定義されたクエリで複数のテーブルを参照できるようになりました。

次のステップ

このドキュメントでは、Microsoft Sentinel のほぼリアルタイム (NRT) 分析ルールのしくみを説明しました。