フィルターと集計基準の定義

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • フィルター条件を定義して設定することで、セキュリティインシデントを作成する受信 Microsoft Azure Sentinel インシデントを指定できます。インシデントを作成する代わりに、受信インシデントをオープンセキュリティインシデントに追加できるように、追加のインシデントフィールド基準を定義することもできます。

    セキュリティインシデントのフィルタリング条件の設定

    フィルタリング条件が一致した場合にのみセキュリティインシデントが作成されるように、フィルタリング条件を設定します。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    このタイプのフィルタリングは、セキュリティインシデントを分離し、作成するセキュリティインシデントの数を制限するのに役立ちます。追加のフィルター基準を設定すると、クエリまたはトリガーされたインシデント構成を変更することなく、必要なインシデントのみが取り込まれます。

    手順

    1. セキュリティインシデントを作成するために受信される Microsoft Azure Sentinel インシデントが満たすべき条件を定義するには、[条件に基づいてフィルター] を選択します。

      フィルター条件の最初のフィールドのオプションは、取り込まれたインシデントの [Azure Sentinel サンプルインシデントの取り込み (Azure Sentinel Sample Incident Ingestion)] セクションに表示されるフィールドと一致します。これらのフィールドは動的で、取り込むインシデントに応じて変更されます。入力する基準は大文字と小文字を区別します。定義した基準がインシデントの値と一致していることを確認します。

      複数の値を持つ次のフィールドに対して、フィルター条件包含を使用します。
      • properties(labels)
      • properties(additionalData(alertProductNames))
      • properties(relatedAnalyticRuleIds)
      • properties(additionalData(tactics))

      フィルター条件は文字列のみ取得できるため、これらのフィールドに包含フィルター条件を使用して、データが正確にフィルタリングされるようにする必要があります。

      図 : 1. セキュリティインシデント生成条件
      フィルター条件ビルダー。
    2. 条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。
    3. 条件を追加するには、[AND] または [OR] をクリックします。
      • [AND] を選択した場合は、すべての条件に一致する必要があります。
      • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
    4. 2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。

    アグリゲーション条件の定義

    類似の重複する可能性があるインシデントを作成するのではなく、既存の SIR セキュリティインシデントに受信インシデントを集計する追加のインシデント集計基準を定義します。この追加の集計では、各プロファイルのフィールド一致値基準を使用して、関連するすべてのインシデントデータを単一のセキュリティインシデントに配置することで、アクティブな重複するセキュリティインシデントの数を減らすことができます。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    新しいインシデントが、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しいインシデントは、同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う sn_si.analyst ロールを持つユーザーは、セキュリティインシデントの関連リストで、追加されたすべての集計インシデントを表示できます。

    セキュリティインシデントの集計されたインシデントはすべて、[Azure Sentinel の集計済みインシデント] 関連リストに表示されます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、インシデントが既存のセキュリティインシデントに追加される理由を理解するのに役立ちます。

    手順

    1. 新しいインシデントを作成する代わりに、受信 Microsoft Azure Sentinel インシデントをオープンセキュリティインシデントに追加できるように、追加のインシデントフィールド基準を定義するには、次の図に示すように [集計条件] オプションを選択します。
      図 : 2. 集計条件
      追加のインシデントフィルタリング基準を定義する集計。
    2. [値が一致するインシデントフィールド (Incident fields with matching values)] フィールドに、Now Platform インスタンスの既存のセキュリティインシデントで照合するフィールド値を入力します。
      集計基準が満たされ、この受信インシデントを既存のセキュリティインシデントに追加できるように、複数選択入力フィールドで選択したすべてのフィールド値が一致する必要があります。この選択は、複数のフィールド値を持つ可能性がある [観測事象] や [構成アイテム] などのフィールドがマッピングされる AND 条件を意味します。値のサブセットのみが一致した場合、Azure Sentinel インシデント集計条件は満たされず、新しいセキュリティインシデントが作成されます。
    3. 複数のフィールド一致条件を追加するには、[新しい基準を追加] をクリックします
      定義した複数選択フィールド条件のいずれかが満たされると、集計が行われます。この選択は OR 条件を意味します。
    4. 新しいインシデントがセキュリティインシデントに追加されたときにその作業メモを更新するには、[新規インシデントの作業メモを記録] を選択します。

      作業メモには、新しいインシデントが追加されたことが記録され、インシデントの詳細へのリンクが含まれています。作業メモの記録では、マッピングセクションの作業メモフィールドに追加した詳細も更新されます。

    5. スケジュールを設定するには、[続行] をクリックします。

    次のタスク

    インシデントデータ、およびプロファイルの基準に一致する取り込み済みインシデントを取得するスケジュールを設定します。