エンティティ マッピングは、 スケジュールされた分析ルールの構成に不可欠な部分です。 これにより、ルールの出力 (アラートとインシデント) が、その後の調査プロセスと修正アクションの構成要素として機能する重要な情報で強化されます。
以下で詳しく説明する手順は、分析ルールの作成ウィザードの一部です。 ここでは、既存の分析ルールでエンティティ マッピングを追加または変更するシナリオに対処するために、個別に扱います。
重要
- 下位互換性とエンティティ マッピングの新旧バージョンの違いに関する重要な情報については、このドキュメントの最後にある「新しいバージョンに関する注意事項」を参照してください。
- Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。
エンティティをマップする方法
Microsoft Sentinel にアクセスするポータルの [分析 ] ページを入力します。
Microsoft Sentinel ナビゲーション メニューの [構成 ] セクションで、[ 分析] を選択します。
スケジュールされたクエリ ルールを選択し、詳細ウィンドウから [編集] を選択します。 または、画面の上部にある [ スケジュールされたクエリ ルール > 作成 ] をクリックして、新しいルールを作成します。
[ ルール ロジックの設定 ] タブを選択します。新しいルールの場合は、[ルール クエリ] ウィンドウに クエリ を入力します。
[ アラートの強化 ] セクションで、[ エンティティ マッピング] を展開します。
現在展開されている [エンティティ マッピング ] セクションで、[ 新しいエンティティの追加] を選択します。
[エンティティ] ドロップダウン リストから エンティティ の種類を選択します。
エンティティの 識別子 を選択します。 識別子はエンティティの属性であり、それを十分に識別できるものです。 [ 識別子 ] ドロップダウン リストから 1 つを選択し、[ 値 ] ドロップダウン リストから識別子に対応するデータ フィールドを選択します。 一部の例外を除き、 値 リストは、ルール クエリのサブジェクトとして定義されているテーブル内のデータ フィールドによって設定されます。
特定のエンティティ マッピング に対して最大 3 つの識別子 を定義できます。 一部の識別子は必須であり、それ以外は省略可能です。 少なくとも 1 つの必須の識別子を選択する必要があります。 そうしないと、警告メッセージによって必須の識別子が示されます。 最適な結果を得るには、可能な限り 強力な識別子を 使用する必要があります。また、複数の強力な識別子を使用すると、データ ソース間の相関関係が向上します。 使用可能な エンティティと識別子の完全な一覧を参照してください。
[ 新しいエンティティの追加] を選択して、さらにエンティティをマップします。 1 つの分析ルールで 最大 10 個のエンティティ マッピング を定義できます。 複数の同じ種類のものをマップすることもできます。 たとえば、2 つの IP エンティティ (1 つは 送信元 IP アドレス フィールドから、1 つは 宛先 IP アドレス フィールドから) をマップできます。 このようにして、両方を追跡することができます。
気が変わった場合やミスをしてしまった場合は、エンティティのドロップダウン リストの横にあるごみ箱アイコンをクリックして、エンティティ マッピングを削除できます。
マッピング エンティティが完了したら、[ 確認と作成 ] タブをクリックします。ルールの検証が成功したら、[ 保存] をクリックします。
注
1 つのアラートで最大 500 個のエンティティをまとめて識別できます。ルールで定義されているすべてのエンティティ マッピングで均等に分割されます。
- たとえば、ルールで 2 つのエンティティ マッピングが定義されている場合、各マッピングでは最大 250 個のエンティティを識別できます。5 つのマッピングが定義されている場合、それぞれが最大 100 個のエンティティを識別できます。
- 1 つのエンティティ型 (ソース IP と宛先 IP など) の複数のマッピングは、それぞれ個別にカウントされます。
- アラートにこの制限を超えるアイテムが含まれている場合、それらの余分なアイテムはエンティティとして認識および抽出されません。
アラートの エンティティ 領域全体のサイズ制限 ([ エンティティ ] フィールド) は 64 KB です。
- 64 KB を超えるエンティティ フィールドは切り捨てられます。 エンティティが識別されると、フィールド サイズが 64 KB に達するまでアラートに 1 つずつ追加され、まだ識別されていないエンティティはアラートから除外されます。
新しいバージョンに関する注意事項
新しいバージョンが一般提供 (GA) されたので、以前のバージョンを使用するための機能フラグの回避策は使用できなくなりました。
これまでに以前のバージョンを使用してこの分析ルールのエンティティ マッピングを定義している場合は、新しいバージョンに自動的に変換されます。
次のステップ
このドキュメントでは、Microsoft Azure Sentinel 分析ルールでデータ フィールドをエンティティにマップする方法について学習しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。
- アラートをエンリッチする他の方法を確認します。
- スケジュールされたクエリ分析ルールの完全な図を取得します。
- Microsoft Sentinel のエンティティの詳細を確認します。