Microsoft Azure Sentinel インシデントフィールドのマッピング

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:11分

    • マッピングされたデータを使用してインシデントを作成できるように、個々の Microsoft Azure Sentinel インシデントフィールドを SIR セキュリティインシデントのフィールドにマッピングします。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. マッピングページの [Azure Sentinel フィールドマッピング (Azure Sentinel Field Mapping)] セクションで、いずれかの [サンプルの取り込み方法] を選択します。
      表 : 1. サンプルの取り込み方法
      フィールド 説明
      すべてのデフォルトのインシデントおよびエンティティフィールド (All default Incident and entity fields) すべてのインシデントとエンティティフィールドの静的リストを表示するには、この取り込み方法を使用します。この方法には、値のないデフォルトのフィールド名のみが含まれます。

      この情報を使用して SIR フィールドとマッピングできます。
      最新の Azure Sentinel インシデントを取得 (Retrieve Recent Azure Sentinel incidents) 最新のインシデントとエンティティデータをインポートするには、この取り込み方法を使用します。

      Azure Sentinel インシデントにエンティティデータが含まれている場合、エンティティデータが取得され、[Azure Sentinel ソースフィールド (Azure Sentinel Source Fields)] セクションでマッピングできます。Azure Sentinel のインシデントにエンティティデータが含まれていない場合があり、そのようなシナリオではエンティティフィールドをマッピングできません。

      Azure Sentinel インシデントに複数のアラートが含まれている場合、インシデントの一部である最も古いアラートがマッピングセクションに表示されます。取り込み中も、最も古いセキュリティアラートフィールド値が使用されます。

      デフォルトでは 5 つのサンプルインシデント、最大で 20 のサンプルインシデントを取り込むことができます。

      サンプルインシデントフィールド値は、プロファイルがサンプルインシデントを取り込むときに入力されます。これらのインシデントを [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] にマッピングできます。インシデントのフィールドと値が個別のタブとして表示されます。
      サンプルデータをインポート (Import Sample Data) Azure Sentinel からサンプルインシデントをインポートするには、[サンプルデータをインポート (Import Sample Data)] をクリックします。

      このボタンは、インシデント取り込み方法として [最新の Azure Sentinel インシデントを取得 (Retrieve Recent Azure Sentinel incidents)] を選択すると表示されます。

      Microsoft Azure Sentinel サーバーからサンプルインシデントを取得するには時間がかかる場合があります。

      取得されたインシデントを [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] にマッピングできます。インシデントのフィールドと値が個別のタブとして表示されます。
      Azure Sentinel インシデントのフィールドマッピング
    2. セキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のアクションを実行します。
      1. [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションで、[別のフィールドをマッピング (Map another field)] ボタンをクリックします。[別のフィールドをマッピング (Map another field)] ボタンをクリックします。
        SIR フィールドのリストが表示され、表示する新しいフィールドのフィールドを選択できます。
      2. [セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。
        注:
        同じセキュリティインシデントに複数の観測事象を表示できます。たとえば、[観測事象] フィールドは異なる値で複数回マッピングできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、このフィールドは複数の値をサポートしていないというエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できるリストがあり、リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
      3. [Azure Sentinel ソースフィールド (Azure Sentinel Source Fields)] セクションから、フィールドをドラッグアンドドロップして新しいフィールドにマッピングします。
      4. フィールドに対応するチェックボックスをオンにすると、Azure Sentinel で行われた新しい変更または更新された変更によって、それぞれの SIR インシデントデータが新しいインシデントデータで自動的に更新されます。
        注:
        ベースシステムでは、SIR にリンクされた新しいアラートに関連する Microsoft Azure Sentinel 更新を受信するために、システムプロパティ sn_sec_sentinel.incident_updates はデフォルトで True に設定されています。
        • デフォルトでは、[影響を受けるユーザー]、[構成アイテム]、および [観測可能] フィールドはオンになっています。つまり、新しい観測可能項目、関連する構成アイテム、または影響を受けるユーザーがインシデントに追加されるたびに、その情報が自動的に抽出され、そのポーリング間隔中にセキュリティインシデントレスポンス (SIR) のそれぞれの関連リストに入力されます。
        • その他のフィールドについては、Azure Sentinel 内の Azure Sentinel インシデントレコードに加えられた新規変更または更新された変更のフィールドに対応するチェックボックスを選択する必要があります。これにより、それぞれの SIR インシデントデータが新しいインシデントデータで自動的に更新されます。
        重要:
        既存のデータを上書きすると、アナリストのデータが不安定になり、セキュリティインシデントのフィールド値によっても設定されている他の自動化も影響を受ける可能性があるため、この機能を選択する前にデューデリジェンスを行う必要があります。そのため、上書き機能を選択する前にデューデリジェンスを行うことが非常に重要です。
    3. フィールドを削除するには、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションの入力式フィールドの横にある [削除] ボタン [アイテムを削除] ボタンを使用します。
    4. [Azure Sentinel ソースフィールド (Azure Sentinel Source Fields)] セクションのフィールド値を [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションのフィールドにマップするには、次のいずれかのアクションを使用します。
      1. フィールド名 ([ID] など) をドラッグし、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] 列のフィールド名の横にドロップします。

        [Azure Sentinel ソースフィールド (Azure Sentinel Source Fields)] セクションの任意の値を [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションのフィールドと照合できます。マッピングプロセスでインシデントフィールドを見落としたり重複したりしないように、フィールドは色分けされています。ライトブルーのフィールドは、インシデントフィールドがまだ未選択で、セキュリティインシデントにマップされていないことを示します。受信インシデントフィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。色分けすることで、セキュリティインシデントに追加されたフィールド値、およびマップされていない残りの重要なインシデント情報を視覚的に把握できます。

      2. テキストとフィールドの組み合わせを追加できます。
        たとえば、Incident name is ${name}$ です。${name}$ は [Azure Sentinel ソースフィールド (Azure Sentinel Source Fields)] セクションからマッピングされますが、Incident name is は手動で入力できます。
      3. ソースインシデントまたはエンティティフィールドを手動で直接入力して、ターゲットフィールドにマッピングできます。
        • ソースインシデントフィールドを手動でマッピングするには、${field name}$ 形式を使用します。たとえば、インシデントフィールドの [重大度] をマッピングする場合、形式は ${properties(severity)}$ です。
        • ソースエンティティフィールドを手動で追加するには、$⁠{entity name: entity field}$ 形式を使用します。たとえば、エンティティセキュリティアラートのエンティティフィールド [説明] をマッピングする場合、形式は $⁠{SecurityAlert: properties(description)}$です。
      この統合は、特定の観測事象サブタイプを分類します。Azure Sentinel フィールドを SIR 観測事象フィールドにマッピングすると、Now Platform によって観測事象が自動的に分類されます。受信 Azure Sentinel 観測事象を SIR の観測事象タイプに汎用的にマッピングする場合は、[観測事象] フィールドに Azure Sentinel のフィールドをドラッグアンドドロップします。ただし、SIR の受信 Azure Sentinel 観測事象の観測事象タイプを認識している場合は、SIR の [観測事象タイプ] フィールドに具体的にマッピングします。SIR の具体的な観測事象タイプの例には、[観測事象 (ドメイン名) (Observable(Domain name))]、[観測事象 (メールアドレス) (Observable(Email address))]、[観測事象 (IP アドレス (V4)) (Observable(IP address (V4)))]、および [観測事象 (ホスト名) (Observable(Host name))] が含まれます。

      受信 Azure Sentinel フィールドに MITRE-ATT&CK 情報が含まれている場合は、それを [MITRE-ATT&CK テクニック] フィールドにマッピングします。受信 Azure Sentinel フィールドに MITRE-ATT&CK テクニック ID またはテクニック名が含まれていることを確認します。

      Microsoft Azure Sentinel のインシデントフィールド値は SIR セキュリティインシデントのフィールドに直接変換されないことがあります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。

    5. セキュリティインシデントのフィールド値と一致するように、Azure Sentinel インシデントの新しいフィールドのフィールド変換をフォーマットするには、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] ヘッダーの [ここをクリック] リンクをクリックします。
    6. フィールド変換をサポートするフィールドを変更するには、フィールド形式ボタン スクリプトフォーマットフィールド変換アイコンをクリックします。
      フィールドの翻訳をサポートしているフィールドは、[カテゴリ][構成アイテム]、および [優先度]です。たとえば、[カテゴリ] の横にある フィールド形式ボタン アイコンをクリックします。[Azure Sentinel フィールド翻訳] スクリプトエディターが開きます。
    7. スクリプトへの変更を入力し、[更新] をクリックして変更を保存し、 [マッピング] ページに戻ります。
      たとえば、カテゴリの場合はスクリプトエディターで次のように定義します。
      "<Incoming Sentinel Incident Field Value>" : "<Category to assign to the Security Incident>".
      このマッピングにより、プロファイルが構成済みのカテゴリのみを使用するようになります。
    8. フィールド値を追加または削除して、マッピングを続行します。
      インシデント生成条件ビルダーで同じフィールド値を使用して、セキュリティインシデントを作成する際に受信インシデントを満たす必要がある追加の条件を定義することができます。
    9. [フィルタリングと集計] セクションに移動するには、[続行] をクリックします。

    次のタスク

    フィルター条件を定義して設定することで、セキュリティインシデントを作成するインシデントを指定できます。インシデント生成条件ビルダー ([フィルタリングと集計] セクションにあります) で同じフィールド値 ([マッピング] セクションで定義) を使用して、セキュリティインシデントを作成する際に受信インシデントを満たす必要がある追加の条件を定義することができます。