Microsoft Sentinelでほぼリアルタイム (NRT) 検出分析ルールを使用する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

重要

カスタム検出は、SIEM Microsoft Defender XDR全体で新しいルールMicrosoft Sentinel作成するための最良の方法になりました。 カスタム検出を使用すると、インジェスト コストを削減し、無制限のリアルタイム検出を取得し、自動エンティティ マッピングを使用してDefender XDRデータ、関数、修復アクションとシームレスに統合できます。 詳細については、 このブログを参照してください。

Microsoft Sentinelのほぼリアルタイムの分析ルールは、すぐに使用できる分単位の脅威検出を提供します。 この種類のルールは、わずか 1 分間隔でクエリを実行することで、応答性が高いように設計されています。

当面、これらのテンプレートのアプリケーションは以下に示すように制限されていますが、テクノロジは急速に進化し、成長しています。

重要

2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します

Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。

ほぼリアルタイム (NRT) ルールを表示する

  1. Microsoft Defenderナビゲーション メニューで、[Microsoft Sentinel]、[構成] の順に展開します。 [ 分析] を選択します

  2. [分析] 画面の [アクティブなルール] タブが選択されている状態で、NRT テンプレートの一覧をフィルター処理します。

    1. [ フィルターの追加] を選択し、フィルターの一覧から [規則の種類 ] を選択します。

    2. 結果の一覧から [ NRT] を選択します。 次に、[適用] を選択 します

NRT ルールを作成する

NRT ルールは、通常の スケジュールされたクエリ分析ルールを作成するのと同じ方法で作成します。

  1. Microsoft Defenderナビゲーション メニューで、[Microsoft Sentinel]、[構成] の順に展開します。 [ 分析] を選択します

  2. グリッドの上部にあるアクション バーで、[ +作成 ] を選択し、[ NRT クエリ ルール] を選択します。 分析ルール ウィザードが開きます。

    新しい NRT ルールを作成する方法を示すスクリーンショット。

  1. 分析ルール ウィザードの指示に従います。

    NRT ルールの構成は、スケジュールされた分析ルールの構成とほとんどの点で同じです。

    • クエリ ロジックでは、複数のテーブルと ウォッチリスト を参照できます。

    • すべてのアラート エンリッチメント メソッド ( エンティティ マッピングカスタムの詳細アラートの詳細) を使用できます。

    • アラートをインシデントにグループ化する方法と、特定の結果が生成されたときにクエリを抑制する方法を選択できます。

    • アラートとインシデントの両方に対する応答を自動化できます。

    • 複数のワークスペースでルール クエリを実行できます。

    ただし、NRT ルールの性質と制限があるため、スケジュールされた分析ルールの次の機能はウィザードでは使用できません

    • クエリのスケジュール 設定は構成できません。クエリは 1 分間のルックバック期間で 1 分に 1 回実行するように自動的にスケジュールされるためです。
    • アラートは常に生成されるため、アラートのしきい値は無関係です。
    • イベント グループ化 の構成を制限された程度で使用できるようになりました。 NRT ルールで最大 30 個のイベントに対して各イベントのアラートを生成するように選択できます。 このオプションを選択し、ルールで 30 を超えるイベントが発生した場合、最初の 29 個のイベントに対して単一イベント アラートが生成され、30 番目のアラートは結果セット内のすべてのイベントを要約します。

    さらに、アラートのサイズ制限のため、クエリでは project ステートメントを使用して、テーブルから必要なフィールドのみを含める必要があります。 そうしないと、表示する情報が切り捨てられる可能性があります。

次の手順

このドキュメントでは、Microsoft Sentinelでほぼリアルタイム (NRT) 分析ルールを作成する方法について説明しました。

  • Last updated on