重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
カスタム データ収集 (プレビュー) を使用すると、組織は、特殊な脅威ハンティングとセキュリティ監視のニーズをサポートするために、既定の構成を超えてテレメトリ収集を拡張できます。 この機能を使用すると、セキュリティ チームは、フォルダー パス、プロセス名、ネットワーク接続などのイベント プロパティに合わせたフィルターを使用して、特定のコレクション ルールを定義できます。
カスタム データ収集を使用する理由
Microsoft Defender for Endpointは既定で広範なテレメトリを収集しますが、一部のセキュリティ シナリオでは追加の特殊なデータが必要です。 すべてのイベントを収集するコストとノイズを伴わずに、脅威ハンティング、アプリケーション監視、コンプライアンス証拠、インシデント対応の対象となる可視性が必要な場合は、カスタム データ収集を使用します。
カスタム データ収集を使用する場合
| シナリオ | 次の場合に使用する | 例 | セキュリティ値 |
|---|---|---|---|
| 脅威の捜索 | 環境全体で特定の攻撃パターンを検索する必要があります | 管理ワークステーションからすべての PowerShell スクリプト実行を収集して、悪意のあるスクリプトを検出する | 特権システムでファイルレスマルウェア、悪意のあるスクリプト、または未承認の自動化を検出する |
| アプリケーションの監視 | カスタム アプリケーションのセキュリティ関連イベントを追跡する必要がある | 独自の財務アプリケーションのファイル アクセス パターンを監視する | 基幹業務アプリの未承認のアクセス、データ流出の試行、またはコンプライアンス違反を特定する |
| コンプライアンスの証拠 | 規制で必要な詳細な監査ログをキャプチャする必要がある | 機密データを含むフォルダー内のすべてのファイル変更を収集する | 詳細なフォレンジック監査証跡を使用して規制要件 (PCI-DSS、HIPAA、GDPR) を満たす |
| インシデント対応 | アクティブな調査中にフォレンジック データを収集する必要がある | 侵害される可能性のあるサーバーからすべてのネットワーク接続を一時的に収集する | 調査の詳細な証拠をキャプチャし、横移動を特定し、修復作業をサポートする |
| 横移動検出 | 横移動の特定のインジケーターを監視する必要がある | ドメイン コントローラー間でリモート接続と認証イベントを追跡する | 盗まれた資格情報またはリモート アクセス ツールを使用してシステム間を移動する攻撃者を検出する |
カスタム データ収集の利点
| メリット | 説明 |
|---|---|
| 対象の可視性 | 必要なイベントのみを収集し、ノイズを削減し、Microsoft Sentinelのデータ インジェスト コストを制御します |
| 柔軟なハンティング | Microsoft Sentinelの特殊なテレメトリに対するカスタム クエリを構築して、脅威の深い検出と調査を行う |
| 証拠の収集 | 調査、コンプライアンス監査、インシデント対応のための詳細なフォレンジック データをキャプチャする |
| スケーラブルな監視 | 動的タグを使用して特定のデバイス グループへのコレクションをターゲットにし、環境の変化に応じてコレクションを最新の状態に保ちます |
| コスト管理 | 特定のフィルターとデバイス ターゲットを使用して不要なデータを収集しないようにする |
重要
カスタム データ収集には、動的タグを使用したデバイス のターゲット設定が必要です。 カスタム コレクション ルールを作成する前に、資産ルール管理で動的タグを構成する必要があります。 「 デバイス タグとターゲット デバイスの作成と管理」を参照してください。
カスタム データ収集のしくみ
カスタム データ収集では、ルールベースのフィルター処理を使用して、エンドポイント デバイスから特定のイベントをキャプチャし、分析と脅威ハンティングのためにMicrosoft Sentinel ワークスペースにルーティングします。
![メインの [カスタム データ収集] ページのスクリーンショット。](media/custom-data-collection/custom-data-collection-main-view.png#lightbox)
コレクション プロセス
- ルールの定義: 特定のイベント フィルターを使用してMicrosoft Defender ポータルでコレクション ルールを作成する
- ターゲット デバイス: 動的タグを使用して、データを収集するデバイスを指定する
- デプロイ ルール: ルールはターゲット エンドポイントに送信されます (通常は 20 分以内から 1 時間以内)
- イベントの収集: エンドポイントは、既定のテレメトリと共にルールの条件に一致するイベントを収集します
- データの分析: Microsoft Sentinel ワークスペースのカスタム イベント データに対してクエリを実行する
注:
カスタム データ収集ルールは、既定の Defender for Endpoint 構成と共に機能します。 カスタム コレクションは、標準テレメトリを置き換えたり変更したりしません。それに追加されます。
サポートされているイベント テーブル
カスタム データ収集では、次のイベント テーブルがサポートされています。 各テーブルは、さまざまな種類のセキュリティ関連アクティビティをキャプチャします。
| テーブル名 | イベントの種類 | 使用対象 |
|---|---|---|
| DeviceCustomProcessEvents | プロセスの作成、終了、およびその他のプロセス アクティビティ | 実行可能ファイルの起動の監視、プロセス ツリーの追跡、悪意のあるプロセスの検出 |
| DeviceCustomImageLoadEvents | DLL とイメージの読み込みイベント | 悪意のあるライブラリの挿入を特定し、疑わしいモジュールの読み込みを追跡する |
| DeviceCustomFileEvents | ファイルの作成、変更、削除、アクセス | 機密データアクセスの監視、ランサムウェア インジケーターの追跡、コンプライアンス監査 |
| DeviceCustomNetworkEvents | IP、ポート、プロトコルを使用したネットワーク接続イベント | 横移動の検出、C2 通信の監視、未承認の接続の追跡 |
| DeviceCustomScriptEvents | スクリプトの実行 (PowerShell、JavaScript など) | ファイルレスマルウェアの検出、管理スクリプトの監視、スクリプトベースの攻撃の特定 |
スキーマの詳細については、「 高度なハンティング スキーマ テーブル」を参照してください。
前提条件と要件
完全な前提条件とセットアップ要件については、「 カスタム データ収集ルールを作成する」を参照してください。
よく寄せられる質問
| 質問 | 答え |
|---|---|
| カスタム データ収集は、既定の Defender for Endpoint 構成に影響しますか? | いいえ。カスタム データ収集ルールは、Defender for Endpoint の既定の構成と共に干渉なく機能します。 カスタム コレクションは、標準テレメトリを置き換えたり変更したりしません。それに追加されます。 |
| Microsoft Sentinel ワークスペースは必要ですか? | はい。カスタム データ収集ルールを作成して使用するには、接続されたMicrosoft Sentinel ワークスペースが必要です。 また、ルールの作成時にワークスペースを選択する必要もあります。 |
| 動的タグが必要な理由 | 動的タグを使用すると、環境の変化に応じてデバイスのターゲット設定が最新の状態を維持できます。 手動タグは自動的に更新されないため、古いコレクション ターゲットになる可能性があります。 動的タグは、資産ルール管理との統合にも必要です。 |
| デバイスでルールがアクティブかどうかを確認するにはどうすればよいですか? | デバイスの関連するカスタム イベント テーブルに対してクエリを実行して、収集されたイベントを表示します。 例:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| デバイスが 75,000 イベント制限に達するとどうなりますか? | その特定のルールのテレメトリ収集は、24 時間のローリング ウィンドウがリセットされるまで停止します。 デバイス上の他のルールは、引き続きイベントを収集します。 ルールの条件を調整して、より具体的にし、イベントの量を減らします。 |
| カスタム データ収集に手動タグを使用できますか? | いいえ。動的タグのみがサポートされています。 動的タグは、デバイスのプロパティの変更に応じて自動的に更新され、コレクションのターゲット設定が正確に維持されます。 |
| ルールがデバイスに展開されるまでにどのくらいの時間がかかりますか? | 通常、ルールのデプロイには 20 分から 1 時間かかります。 ターゲット デバイスからのデータについてカスタム イベント テーブルに対してクエリを実行して、デプロイを確認します。 |
次の手順
- カスタム データ収集ルールを作成する: ルールを作成および管理するための手順
- デバイス タグとターゲット デバイスの作成と管理: デバイス ターゲットの動的タグを構成する