Microsoft Sentinelの脅威検出によって環境内で完全なカバレッジが提供されるようにするには、実行管理ツールを利用します。 これらのツールは、スケジュールされた分析ルールの実行に関する分析情報で構成され、Microsoft Sentinelの正常性と監査のデータに基づいて、テストやトラブルシューティングの目的で、特定の時間枠でルールの以前の実行を手動で再実行する機能で構成されます。
重要
Microsoft Sentinelの分析ルールの分析情報と手動再実行は現在プレビュー段階です。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。
まとめ
スケジュールされた分析ルールには、組み込みのスケジュールされたルール分析情報と、スケジュールされたルールをオンデマンドで再実行する機能という 2 つの実行管理ツールがあります。
[ 分析 ] ページの [ 分析情報 ] パネルは、詳細ウィンドウの [ 情報 ] タブと共に別のタブとして表示されます。 [分析情報 ] パネルには、ルールのアクティビティと結果に関する情報が表示されます。 たとえば、失敗した実行、上位の正常性の問題、時間の経過に伴うアラートのカウント、ルールによって作成されたインシデントの終了分類などです。 これらの分析情報は、セキュリティ アナリストが分析ルールで潜在的な問題や構成の誤りを特定し、ルールのエラーを検出して修正し、パフォーマンスと精度を向上させるためにルール構成を最適化するのに役立ちます。
また、[ 分析 ] ページでは、分析ルールをオンデマンドで再実行することもできます。 この機能により、規則の有効性を検証する柔軟性と制御が提供されます。 ルールの絞り込み、テスト、検証などのシナリオで役立ちます。 手動再実行を柔軟に開始することで、効率的なセキュリティ操作をサポートし、効果的なインシデント対応を可能にし、システムの全体的な検出と対応機能を強化できます。
ルール再実行のユース ケースと利点
分析ルールの特定の実行を再生することでメリットを得られるシナリオをいくつか次に示します。
ルールの絞り込みとチューニング: 分析ルールでは、進化する脅威状況と変化する組織のニーズに基づいて、定期的な調整と微調整が必要になる場合があります。 ルールを手動で再実行することで、アナリストはルールの変更の影響を評価し、運用環境にデプロイする前にその有効性を検証できます。
テストと検証: 新しい分析ルールを導入したり、既存の分析ルールに大きな変更を加えたり、新しいインシデント プレイブックを開発したりする場合は、パフォーマンスと精度を徹底的にテストすることが不可欠です。 手動再実行を使用すると、エンドツーエンドの自動インシデント フローなど、さまざまなシナリオをシミュレートし、一貫性のあるデータ入力セットに対してルールを検証できます。 このプロセスにより、誤検知が過剰に発生することなく、ルールによって予期されるアラートが生成されます。
インシデント調査: セキュリティ インシデントまたは疑わしいアクティビティが発生した場合、アナリストは、既に生成されたアラートに追加の詳細を表示したい場合があります。 これを行うには、ルールを更新し、特定の実行間隔 (最大 7 日間) に再実行して追加情報を収集し、関連するイベントを特定します。 手動再実行を使用すると、アナリストは詳細な調査を実行でき、包括的なカバレッジを確保するのに役立ちます。
コンプライアンスと監査: 一部の規制要件や内部ポリシーでは、継続的な監視とコンプライアンスを実証するために、定期的またはオンデマンドで分析ルールを再実行することが必要になる場合があります。 手動再実行では、ルールが一貫して適用され、適切なアラートが生成されるようにすることで、そのような義務を満たすことができます。
前提条件
実行管理ツールを使用するには、Microsoft Sentinelの正常性と監査機能、特に分析ルールの正常性の監視が有効になっている必要があります。 正常性と監査を有効にする方法について説明します。
分析ルールの分析情報を表示する
これらのツールを利用するには、まず、特定のルールに関する分析情報を調べることから始めます。
Microsoft Sentinel ナビゲーション メニューで、[分析] を選択します。
分析情報を表示するルール (スケジュール済 みまたは NRT) を見つけて選択します。
詳細ウィンドウで [ 分析情報 ] タブを選択します。
[分析情報] タブを選択すると、タイム フレーム セレクターが表示されます。 時間枠を選択するか、過去 24 時間の既定値のままにします。
![[分析] ページのタイム フレーム セレクターのスクリーンショット。](media/monitor-optimize-analytics-rule-execution/time-frame.png)
[分析情報] パネルには現在、4 種類の分析情報が表示されています。 各分析情報の後に [ すべて表示] リンクが続き、[ ログ] ページに移動し、分析情報を生成したクエリと完全な未加工の結果が表示されます。 分析情報を次に示します。
失敗した実行には、指定された 時間枠内のこのルールの失敗した実行の一覧が表示されます。 この分析情報の後には、[ ルールの実行 ] パネルへのリンクも表示されます。このパネルには、ルールが実行されたすべての時間の一覧が表示され、 ルールの特定の実行を再生できます。
上位の正常性の問題 には、特定の期間にこのルールに関して最も一般的な正常性の問題の一覧が表示されます。 また、この分析情報の後に [ 実行の表示] リンクが表示され、[ ログ] ページに移動します。このページには、このルールが実行されたすべての時間のクエリが表示されます。
アラート グラフ は、指定された時間枠でこのルールによって生成されたアラートの数のグラフを示します。
インシデント分類 は、指定された時間枠内にこのルールによって作成された閉じられたインシデントの分類の概要を示します。
分析ルールを再実行する
ルールを再実行するシナリオがいくつかあります。
通常の状態に戻った一時的な条件、または構成ミスが原因で、ルールの実行に失敗しました。 構成ミスを修正するか、条件を修復した後、失敗した実行と同じ時間枠 (つまり、同じデータ上) でルールを再実行して、カバレッジのギャップを軽減する必要があります。
ルールの実行に成功しましたが、生成されたアラートに十分な情報が提供されませんでした。 この場合は、クエリまたはエンリッチメント設定を変更して、詳細情報を提供するようにルールを編集できます。 次に、詳細情報を取得する実行と同じ時間枠 (つまり、同じデータ上) でルールを再実行します。
ルールの作成または編集を試み、ルールによって生成されるアラートに異なる設定がどのように影響するかを確認したい場合があります。 有効な比較のために、同じ時間枠でルールを再実行する必要があります。
ルールを再実行する方法を次に示します。
[分析] ページで、上部のツール バーから [ルールの実行 (プレビュー)] を選択します。 [ ルールの実行] パネルが開きます。
![[ルールの実行] パネルにアクセスする方法のスクリーンショット。](media/monitor-optimize-analytics-rule-execution/rerun-rules.png)
[分析情報] タブの [失敗した実行] 表示から [ルールの再実行] を選択して 、[ルールの実行] パネルに移動することもできます (上記を参照)。
[実行時間] 列に表示されているように、最初に実行された時間枠に従って、再生するルール の実行 を選択します。 複数のルール実行を選択できます。
[ 実行の再生] を選択します。 要求の進行状況を示す通知と、ルールが実行キューに登録されたことを示す通知が表示されます。
[ 更新] を選択して、ルールの実行の更新された状態を表示します。 その中に要求が表示され、状態が [進行中 ] (最終的には [成功] と表示されます)、システムによって トリガーされるのではなく、ユーザーによってトリガーされる 種類が表示 されます。
また、要求された再実行の実行時間は、元のシステムによってトリガーされた実行の実行と同じであり、再実行の実行時間 とは異 なっています。 これは、再実行が参照している時間枠を示します。
再生できるのはシステムによってトリガーされるルールの実行のみで、ユーザーによってトリガーされるルールの実行は再生できません。
[ログ] 画面で、ルール実行の行の最後にある [完全な詳細の表示] を選択して、その完全な未加工の詳細を表示します。
次の手順
- 正常性を監視し、分析ルールの整合性を監査します。
- Microsoft Sentinelでの監査と正常性の監視について説明します。
- Microsoft Sentinelで監査と正常性の監視を有効にします。
- SentinelHealth テーブル スキーマと SentinelAudit テーブル スキーマの詳細を参照してください。