エンティティを探す

  • 7 分

アラートがMicrosoft Sentinelに送信されると、ユーザー アカウント、ホスト、IP アドレスなどのエンティティとして識別および分類されるデータ要素が含まれます。 ときによって、エンティティに関する十分な情報がアラートに含まれていない場合に、この識別が困難になることがあります。

たとえば、ユーザー アカウントは、複数の方法で識別できます。Microsoft Entra アカウントの数値識別子 (GUID) またはそのユーザー プリンシパル名 (UPN) 値を使用するか、またはユーザー名とその NT ドメイン名の組み合わせを使用します。 データ ソースが異なる場合、同じユーザーが異なる方法で識別されることがあり得ます。 そのため、可能な限り、Microsoft Sentinelはこれらの識別子を 1 つのエンティティにマージして、適切に識別できるようにします。

しかし、いずれかのリソース プロバイダーによって作成されたアラートでエンティティを十分に識別できない場合があります (たとえば、ドメイン名のコンテキストがないユーザー名など)。 このような場合、ユーザー エンティティを同じユーザー アカウントの他のインスタンスとマージすることはできません。これは別個のエンティティとして識別されます。それら 2 つのエンティティは、統合されず分離されたままになります。

この発生リスクを最小限に抑えるために、使用しているすべてのアラート プロバイダーについて、生成されるアラート内でエンティティが正しく識別されることを確実にする必要があります。 さらに、ユーザー アカウント エンティティを Microsoft Entra ID と同期すると、統合ディレクトリが作成され、ユーザー アカウント エンティティをマージできます。

現在、Microsoft Sentinelでは次の種類のエンティティが識別されています。

  • ユーザー アカウント (Account)

  • ホスト

  • IP アドレス (IP)

  • マルウェア

  • ファイル

  • プロセス

  • クラウド アプリケーション (CloudApplication)

  • ドメイン名 (DNS)

  • Azure リソース

  • ファイル (FileHash)

  • レジストリ キー

  • レジストリ値

  • セキュリティ グループ

  • URL

  • IoT デバイス

  • メールボックス

  • メール クラスター

  • メール メッセージ

  • 送信メール

エンティティ ページ

検索、アラート、または調査で何らかのエンティティ (現在はユーザーとホストに制限されています) を検出した場合は、そのエンティティを選択してエンティティ ページに移動できます。これは、そのエンティティに関する役立つ情報が豊富に含まれているデータシートです。 このページで見つかる情報の種類には、エンティティに関する基本的な事実、このエンティティに関連する注目すべきイベントのタイムライン、エンティティの動作に関する分析情報が含まれます。

エンティティ ページは、次の 3 つの部分で構成されます。

  • 左側のパネルには、エンティティの識別情報が含まれており、Microsoft Entra ID、Azure Monitor、Microsoft Defender for Cloud、Microsoft Defender XDRなどのデータ ソースから収集されます。

  • 中央のパネルには、そのエンティティに関連した注目すべきイベント (アラート、ブックマーク、アクティビティなど) のグラフとテキストの両方のタイムラインが表示されます。 アクティビティは、Log Analyticsからの注目すべきイベントの集計です。 これらのアクティビティを検出するクエリは、Microsoftセキュリティ調査チームによって開発されます。

  • 右側のパネルには、エンティティに関する行動分析情報が表示されます。 これらの分析情報は、異常やセキュリティの脅威をすばやく特定するために役立ちます。 分析情報は、Microsoftセキュリティ調査チームによって開発され、異常検出モデルに基づいています。

タイムライン

Microsoft Sentinel のエンティティ動作タイムラインのスクリーンショット。

タイムラインは、Microsoft Sentinelでの行動分析に対するエンティティ ページの貢献の主要な部分です。 ここには、エンティティ関連のイベントに関する項目が表示されるため、特定の期間内のエンティティのアクティビティを理解するのに役立ちます。

事前に設定されたいくつかのオプション ( [過去 24 時間] など) の中から [時間範囲] を選択するか、またはそれをカスタム定義の期間に設定できます。 さらに、タイムライン内の情報を特定の種類のイベントまたはアラートに制限するフィルターを設定できます。

タイムラインには、次の種類の項目が含まれています。

アラート - そのエンティティが [マップされたエンティティ] として定義されているすべてのアラート。 組織で分析ルールを使用したカスタム アラートが作成されている場合は、ルールのエンティティ マッピングが正しく実行されていることを確認する必要があります。

ブックマーク - ページにその特定のエンティティが表示されているすべてのブックマーク。

アクティビティ - そのエンティティに関連した注目すべきイベントの集計。

エンティティインサイト

エンティティ分析情報は、アナリストがより効率的かつ効果的に調査できるように、Microsoftセキュリティ研究者によって定義されたクエリです。 この分析情報はエンティティ ページの一部として表示され、ホストとユーザーに関する重要なセキュリティ情報を表形式データとグラフの両方の形式で提供します。 ここに情報があると、Log Analyticsに回り道する必要はありません。 この分析情報には、サインイン、グループの追加、異常なイベントなどに関連したデータや、異常な行動を検出するための高度な ML アルゴリズムが含まれています。 この分析情報は、次のデータの種類に基づいてます。

  • Syslog

  • セキュリティイベント

  • [監査ログ]

  • サインイン ログ

  • オフィスのアクティビティ

  • 行動分析 (UEBA)