最も一般的な種類の分析ルールでは、 スケジュールされた ルールは、一定の間隔で実行され、定義された "ルックバック" 期間の生データを調べるために構成された Kusto クエリ に基づいています。 これらのクエリは、ターゲット データに対して複雑な統計操作を実行し、イベントのグループ内のベースラインと外れ値を明らかにすることができます。 クエリによってキャプチャされた結果の数がルールで構成されたしきい値を超えた場合、ルールによってアラートが生成されます。
Microsoft では、コンテンツ ハブで提供されている多くのソリューションを通じて、膨大な数の分析ルール テンプレートを利用できるようにしています。また、それらを使用してルールを作成することを強くお勧めします。 スケジュールされたルール テンプレートのクエリは、Microsoft またはテンプレートを提供するソリューションのベンダーから、セキュリティとデータ サイエンスの専門家によって記述されます。
この記事では、テンプレートを使用してスケジュールされた分析ルールを作成する方法について説明します。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
既存の分析ルールを表示する
Microsoft Sentinelでインストールされている分析ルールを表示するには、[分析] ページに移動します。 [ ルール テンプレート ] タブには、インストールされているすべてのルール テンプレートが表示されます。 その他のルール テンプレートを見つけるには、Microsoft Sentinelの [コンテンツ] ハブに移動して、関連する製品ソリューションまたはスタンドアロン コンテンツをインストールします。
テンプレートからルールを作成する
この手順では、テンプレートから分析ルールを作成する方法について説明します。
Microsoft Defenderナビゲーション メニューで、[Microsoft Sentinel]、[構成] の順に展開します。 [ 分析] を選択します。
[分析] 画面 で 、[ ルール テンプレート ] タブを選択します。
テンプレート名を選択し、詳細ウィンドウの [ ルールの作成 ] ボタンを選択して、そのテンプレートに基づいて新しいアクティブなルールを作成します。
各テンプレートには、必要なデータ ソースの一覧があります。 テンプレートを開くと、データ ソースの可用性が自動的にチェックされます。 データ ソースが有効になっていない場合は、[ルールの 作成 ] ボタンが無効になっているか、その旨のメッセージが表示される場合があります。
ルール作成ウィザードが開きます。 すべての詳細が自動入力されます。
ウィザードのタブを順番に切り替え、ロジックやその他のルール設定を可能な限りカスタマイズして、特定のニーズに合わせて調整します。 詳細については、以下を参照してください:
ルール作成ウィザードが終了すると、Microsoft Sentinelによってルールが作成されます。 [ アクティブな ルール] タブに新しいルールが表示されます。
このプロセスを繰り返して、さらにルールを作成します。 ルール作成ウィザードでルールをカスタマイズする方法の詳細については、「 カスタム分析ルールをゼロから作成する」を参照してください。
ヒント
環境の完全なセキュリティ カバレッジを確保するために、 接続されたデータ ソースに関連付けられているすべてのルールを有効に してください。 分析ルールを有効にする最も効率的な方法は、関連するルールを一覧表示するデータ コネクタ ページから直接行います。 詳細については、「 データ ソースの接続」を参照してください。
API と PowerShell を使用してルールをMicrosoft Sentinelすることもできますが、追加の作業が必要です。
API または PowerShell を使用する場合は、ルールを有効にする前に、まずルールを JSON にエクスポートする必要があります。 API または PowerShell は、各インスタンスで同じ設定でMicrosoft Sentinelの複数のインスタンスでルールを有効にする場合に役立ちます。
次の手順
このドキュメントでは、Microsoft Sentinelのテンプレートからスケジュールされた分析ルールを作成する方法について説明しました。
- 分析ルールの詳細については、こちらをご覧ください。
- 分析ルールをゼロから作成する方法について説明します。