チュートリアル: Microsoft Sentinelの分析ルールを使用して脅威を検出する

重要

カスタム検出は、SIEM Microsoft Defender XDR全体で新しいルールMicrosoft Sentinel作成するための最良の方法になりました。 カスタム検出を使用すると、インジェスト コストを削減し、無制限のリアルタイム検出を取得し、自動エンティティ マッピングを使用してDefender XDRデータ、関数、修復アクションとシームレスに統合できます。 詳細については、 このブログを参照してください。

Microsoft Sentinelは、セキュリティ情報およびイベント管理 (SIEM) サービスとして、organizationに対するセキュリティ上の脅威を検出する役割を担います。 これは、すべてのシステムのログによって生成された大量のデータを分析することによって行われます。

このチュートリアルでは、テンプレートからMicrosoft Sentinel分析ルールを設定して、環境全体で Apache Log4j の脆弱性の悪用を検索する方法について説明します。 このルールは、ログ内で見つかったユーザー アカウントと IP アドレスを追跡可能なエンティティとしてフレーム化し、ルールによって生成されたアラート内の注目すべき情報を表示し、調査対象のインシデントとしてパッケージ アラートを表示します。

このチュートリアルを完了すると、次のことができるようになります。

  • テンプレートから分析ルールを作成する
  • ルールのクエリと設定をカスタマイズする
  • 3 種類のアラート エンリッチメントを構成する
  • ルールの自動脅威応答を選択する

前提条件

このチュートリアルを完了するには、次の内容があることを確認します。

  • Azure サブスクリプション。 無料アカウントをまだ持っていない場合は、作成します。

  • Microsoft Sentinel ソリューションがデプロイされ、データが取り込まれる Log Analytics ワークスペース。

  • Microsoft Sentinelがデプロイされている Log Analytics ワークスペースに割り当てられているMicrosoft Sentinel共同作成者ロールを持つAzure ユーザー。

  • このルールでは、次のデータ ソースが参照されます。 これらのコネクタをデプロイする数が多いほど、ルールの効果が高くなります。 少なくとも 1 つ必要です。

    データ ソース 参照されている Log Analytics テーブル
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    Azure Monitor (VM Insights) VMConnection
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (Firewall) CommonSecurityLog (PaloAlto)
    セキュリティ イベント SecurityEvents
    Microsoft Entra ID SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure モニター (WireData) WireData
    Azure Monitor (IIS) W3CIISLog
    Azure アクティビティ AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Azure Firewall AzureDiagnostics (Azure Firewall)

Azure portalにサインインしてMicrosoft Sentinel

  1. Azure portal にサインインし

  2. [検索] バーで、[Microsoft Sentinel] を検索して選択します。

  3. 使用可能なMicrosoft Sentinelワークスペースの一覧からワークスペースを検索して選択します。

コンテンツ ハブからソリューションをインストールする

  1. Microsoft Sentinelの左側のメニューの [コンテンツ管理] で、[コンテンツ ハブ] を選択します。

  2. ソリューション Log4j 脆弱性検出を検索して選択します。

  3. ページの上部にあるツール バーで、[ Install/Update] を選択します。

テンプレートからスケジュールされた分析ルールを作成する

  1. Microsoft Sentinelで、左側のメニューの [構成] で [分析] を選択します。

  2. [分析] ページで、[ルール テンプレート] タブを選択します。

  3. ルール テンプレートの一覧の上部にある検索フィールドに 、「log4j」と入力します。

  4. フィルター処理されたテンプレートの一覧から、[ Log4j 脆弱性の悪用] 別名 Log4Shell IP IOC を選択します。 詳細ウィンドウで、[ルールの 作成] を選択します。

    テンプレートを検索して検索し、分析ルールを作成する方法を示すスクリーンショット。

    分析ルール ウィザードが開きます。

  5. [ 全般 ] タブの [名前 ] フィールドに、「 Log4j vulnerability exploit aka Log4Shell IP IOC - Tutorial-1」と入力します。

  6. このページの残りのフィールドはそのままにします。 これらは既定値ですが、後の段階でアラート名にカスタマイズを追加します。

    ルールをすぐに実行しない場合は、[ 無効] を選択すると、ルールが [アクティブなルール ] タブに追加され、必要に応じてそこから有効にすることができます。

  7. [ 次へ: ルール ロジックの設定] を選択します 分析ルール ウィザードの [全般] タブのスクリーンショット。

ルール クエリ ロジックと設定の構成を確認する

エンティティやその他の詳細を使用してアラートをエンリッチする

  1. [ アラート エンリッチメント] で、[ エンティティ マッピング ] 設定をそのまま保持します。 マップされた 3 つのエンティティに注意してください。

    既存のエンティティ マッピング設定のスクリーンショット。

  2. [ カスタムの詳細 ] セクションで、各出現のタイムスタンプをアラートに追加して、ドリルダウンしなくてもアラートの詳細に表示できるようにします。

    1. [キー] フィールドにタイムスタンプを入力します。 これは、アラート内のプロパティ名になります。
    2. [] ドロップダウン リストからタイムスタンプを選択します。

  3. [ アラートの詳細 ] セクションで、各出現のタイムスタンプがアラート タイトルに表示されるように、アラート名をカスタマイズしましょう。

    [ アラート名の形式 ] フィールドに、 {{timestamp}} に「Log4j vulnerability exploit aka Log4Shell IP IOC」と入力します。

    カスタムの詳細とアラートの詳細の構成のスクリーンショット。

残りの設定を確認する

  1. [ ルール ロジックの設定 ] タブの残りの設定を確認します。間隔を変更する場合など、何も変更する必要はありません。 継続的なカバレッジを維持するために、ルックバック期間が間隔と一致していることを確認してください。

    • クエリ スケジュール:

      • クエリを 1 時間ごとに実行します。
      • 過去 1 時間の参照データ。

    • アラートのしきい値:

      • クエリ結果の数が 0 を超えたときにアラートを生成します。

    • イベントのグループ化:

      • ルール クエリの結果をアラートにグループ化する方法を構成する: すべてのイベントを 1 つのアラートにグループ化します

    • 抑制:

      • アラートが生成された後にクエリの実行を停止する: オフ

    分析ルールの残りのルール ロジック設定のスクリーンショット。

  2. [ 次へ: インシデント設定] を選択します

インシデントの作成設定を確認する

  1. [インシデント設定] タブの 設定を確認 します。たとえば、インシデントの作成と管理に別のシステムがある場合を除き、何も変更する必要はありません。その場合は、インシデントの作成を無効にする必要があります。

    • インシデント設定:

      • この分析ルールによってトリガーされるアラートからインシデントを作成する: 有効

    • アラートのグループ化:

      • この分析ルールによってトリガーされる関連アラートをインシデントにグループ化する: 無効

    分析ルール ウィザードの [インシデント設定] タブのスクリーンショット。

  2. [ 次へ: 自動応答] を選択します。

自動応答を設定し、ルールを作成する

[自動応答] タブで、次 の手順を実行 します。

  1. [ + 新規追加] を選択して、この分析ルールの新しい自動化ルールを作成します。 これにより、 新しい自動化ルールの作成 ウィザードが開きます。

    分析ルール ウィザードの [自動応答] タブのスクリーンショット。

  2. [ Automation rule name]\(オートメーション ルール名 \) フィールドに、「 Log4J vulnerability exploit detection - Tutorial-1」と入力します。

  3. [トリガー] セクションと [条件] セクションはそのままにします。

  4. [ アクション] で、ドロップダウン リストから [タグの追加] を選択します。

    1. [ + タグの追加] を選択します
    2. テキスト ボックスに 「Log4J exploit 」と入力し、[ OK] を選択します

  5. [ルールの有効期限] セクションと [注文] セクションはそのままにします。

  6. [適用] を選択します。 [ 自動応答 ] タブの一覧に新しい自動化ルールがすぐに表示されます。

  7. [ 次へ: 確認 ] を選択して、新しい分析ルールのすべての設定を確認します。 "検証に合格しました" というメッセージが表示されたら、[ 作成] を選択します。 上記の [全般] タブでルールを [無効] に設定しない限り、ルールはすぐに実行されます。

    完全なレビューを表示するには、下の画像を選択します (表示のためにクエリ テキストの大部分がクリップされました)。

    分析ルール ウィザードの [確認と作成] タブのスクリーンショット。

ルールの成功を確認する

  1. 作成したアラート ルールの結果を表示するには、[ インシデント ] ページに移動します。

  2. 分析ルールによって生成されたインシデントの一覧をフィルター処理するには、 検索 バーに作成した分析ルールの名前 (または名前の一部) を入力します。

  3. タイトルが分析ルールの名前と一致するインシデントを開きます。 自動化ルールで定義したフラグがインシデントに適用されたことを確認します。

リソースをクリーンアップする

この分析ルールを引き続き使用しない場合は、次の手順で作成した分析ルールと自動化ルールを削除 (または少なくとも無効化) します。

  1. [分析] ページ 、[ アクティブなルール ] タブを選択します。

  2. 検索バーに作成した分析ルールの名前 (または名前の一部) を入力します。
    (表示されない場合は、フィルターが [すべて選択] に設定されていることを確認します)。

  3. 一覧のルールの横にある [チェック] ボックスにマークを付け、上部のバナーから [削除] を選択します。
    (削除しない場合は、代わりに [無効] を選択できます)。

  4. [ オートメーション ] ページで、[ Automation ルール ] タブを選択します。

  5. 検索バーに作成したオートメーション ルールの名前 (または名前の一部) を入力します。
    (表示されない場合は、フィルターが [すべて選択] に設定されていることを確認します)。

  6. 一覧のオートメーション ルールの横にある [チェック] ボックスにマークを付け、上部のバナーから [削除] を選択します。
    (削除しない場合は、代わりに [無効] を選択できます)。

次の手順

分析ルールを使用して一般的な脆弱性の悪用を検索する方法を学習したので、Microsoft Sentinelで分析でできることの詳細を確認してください。

  • Last updated on