アラートフィールドマッピング

sn_si.admin ロールを持つユーザーとして、左側の [サンプルアラート] セクションからフィールドを使用し、右パネルの [SIR インシデントフィールドマッピング] 列の [セキュリティインシデント] フィールドにマップします。左側からアラートフィールドをドラッグし、右側の [SIR インシデントマッピング] セクションにドロップして、マッピング構成を編集します。右側のマッピングで、[受信アラート] フィールドを [送信セキュリティインシデント] フィールドに関連付けることができます。

1. サンプルデータをフェッチした後の次のステップでは、アラートフィールドをセキュリティインシデントにマップします。フォームの左側からフォームの右側のセキュリティインシデントのフィールドにフィールド値をマッピングするには、フォームの左側で青色のフィールド名をクリックしたままにします。
2. フィールド名 (カテゴリなど) をドラッグして、[セキュリティインシデント] 列のフィールド名の横にある [入力式] 列のフィールドにドロップします。

   フィールド値が [入力式] 列に表示されます。次の画像では、category がセキュリティインシデントの [カテゴリ] フィールドにマップされます。

   
   
   

   ただし、左側から右側のフィールドまでの任意の値を一致させることができます。プレビューステップで、セキュリティインシデントの値が正しくマッピングされていることを確認します。

   マッピングプロセスでアラートフィールドが見落とされたり重複したりしないように、フィールドは色分けされています。マップされていない残りのフィールドはすべて青で表示されるのに対し、すでにマップされたフィールドはグレー表示されるため、アラートフィールドの色分けは、マップされたアラート値の追跡に役立ちます。色分けすることで、セキュリティインシデントに追加されたフィールド値、およびマップされていない残りの重要なアラート情報を視覚的に把握できます。

   左側のライトブルーのフィールドは、アラートフィールドがまだ未選択で、セキュリティインシデントにマップされていないことを示します。受信アラートフィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。この色分けは、マッピングを追跡するのに役立ちます。

   注:

   1. [入力式] フィールドに値を手動で入力するには、${fieldname}$ という形式で入力します。アラートフィールドがセキュリティインシデントフィールドにマッピングされます。
   2. 取り込まれたアラートをセキュリティインシデントマッピングセクションの MITRE-ATT&CK フレームワークフィールドにマップすることはできません。それでもフィールドをマップする場合、情報はセキュリティインシデントフォームの MITRE-ATT&CK フレームワークセクションの MITRE-ATT&CK カードの一部として利用できません。MITRE-ATT&CK テクニックを関連付けるには、脅威インテリジェンス モジュールの MITRE-ATT&CK フレームワークの一部として利用可能な自動抽出機能を使用します。
3. フォームの右側のセキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のステップを実行します。
   1. グリッドの下部にある [SIR インシデントフィールドマッピング] セクションのフォームの右側で、プラス (+) アイコンをクリックします。新しいフィールドが表示されます。
   2. [セキュリティインシデント] 列で表示されている選択リストを展開し、フィールドを選択します。

      新しいフィールドの展開された選択リストでは、一部のフィールドが網掛けされています。次の図では、セキュリティインシデントにマッピングされているため、カテゴリのバックグランドがグレーになっています。フォームの左側のアラートフィールドの色分け同様、右側のセキュリティインシデントフィールドのこの色分けも、すでにマップされた SIR インシデントフィールドを追跡するのに役立ちます。

      
      
      
      注:

      同じセキュリティインシデントに複数の観測事象を表示できるため、[観測事象] フィールドを異なる値で複数回マップできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、インシデントをプレビューするときに、フィールドに値がないことを示すエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できる選択リストがあり、選択リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
   3. または、新しい行の [検索] フィールドに値を入力します。
   4. フォームの左側の [入力式] フィールドに入力する [アラート ID] を左クリックして選択します。ドラッグアンドドロップ機能を使用して、新しいフィールドの横にマッピングします。
4. フィールドの値をマッピングに追加するか、削除して、マッピングを続行します。
5. 先行するフィールドマッピングのステップを完了したら、インシデント生成条件ビルダーで同じフィールド値を使用して、セキュリティインシデントを作成するために受信アラートが満たす必要がある追加の条件を定義することができます。インシデント生成条件を設定するには、次のステップを実行します。

フォーマットフィールド変換

特定の場合、Microsoft Graph Security API のアラートフィールド値は SIR セキュリティインシデントのフィールドに直接変換されないことがあります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。たとえば、スクリプトエディターで、マルウェアアラートとウィルス感染のカテゴリ値がソースカテゴリでは異なるフィールド値であっても、フォーマットフィールド変換機能を使用して、両方の値が SIR セキュリティインシデントで [カテゴリ] フィールドの一般的な悪意のあるコードアクティビティに変換される場合があります。

スクリプトエディターを使用するには、{} アイコンをクリックします。スクリプトエディターが表示されます。

インシデント生成条件

マッピングセクションが完了すると、フィルター条件を設定して、セキュリティインシデントを作成するアラートとフィルタリングで除外されるアラート (低優先度のアラートなど) を指定できます。インシデント生成条件ビルダーで同じフィールド値を使用して、セキュリティインシデントを作成する際に受信アラートを満たす必要がある追加の条件を定義することができます。インシデント生成条件を設定するには、次のステップを実行します。

1. フォームの [インシデント生成条件] セクションまでスクロールし、[条件に基づいてフィルター] オプションを選択します。フィルター条件ビルダーが表示されます。これらのフィルターを使用して、フィールドで説明されている特定の条件に一致するセキュリティインシデントを作成します。

   フィルター条件ビルダーの最初のフィールドの選択肢リストオプションは、取り込まれたアラートの [アラートサンプルの取り込み] セクションに表示されるフィールドと一致します。これらのフィールドは動的であり、取り込むアラートに応じて変化します。入力する基準は大文字と小文字を区別し、アラートの値と正確に一致する必要があります。フィルターフィールドに入力する値が不明な場合、Microsoft Azure テナントに戻り、アラートをレビューしてキーワードを確認することができます。

2. 条件ビルダーの選択リストとフィールドを使用して、最初の行のフィルターを設定します。
3. 条件を追加するには、フィールドの右側にある [AND] または [OR] をクリックします。
   • [AND] を選択した場合は、すべての条件に一致する必要があります。
   • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
4. 2 行目で、2 番目のフィルター条件を設定します。

   次の画像は、セキュリティインシデントが作成される前に一致する必要がある 2 つの条件を含む例です。

   
   
   

   入力した両方のフィルタリング条件に一致した場合にのみセキュリティインシデントが作成されるように、トリガー条件を設定しました。

   このタイプのフィルタリングは、セキュリティアラートを分離し、作成するセキュリティインシデントの数を制限するのに役立ちます。追加のフィルター条件を設定すると、クエリまたはトリガーされたアラート構成を変更することなく、必要なアラートのみが取り込まれます。

類似のアラートを処理して重複インシデントを防止するアラートアグリゲーション基準

類似の重複する可能性があるインシデントを作成するのではなく、既存の SIR セキュリティインシデントに受信アラートを集計する追加のアラートアグリゲーション基準を定義します。この追加の集計機能では、各プロファイルのフィールド一致値基準を使用して、関連するすべてのアラートデータを単一のセキュリティインシデントに配置することで、アクティブな重複するセキュリティインシデントの数を減らすことができます。基準を設定するには、以下のステップを実行します。

1. フォームで [アラートアグリゲーション基準] セクションにスクロールして、[集計条件] オプションをオンにします。[値が一致するインシデントフィールド] 列が表示されます。これらのフィールド名は、 SIR セキュリティインシデントで構成されたカスタムフィールドを含むセキュリティインシデントのフィールドです。
2. [利用可能] リストから、Now Platform の既存のセキュリティインシデントで照合するフィールド値を選択し、[選択済み] リストに移動させます。この受信アラートを既存のセキュリティインシデントに追加するには、選択するすべてのフィールド値が一致する必要があります。これには、複数のアラートフィールド値がマッピングされている可能性がある [観測事象] や [構成アイテム] などのフィールドが含まれます。すべての値が一致している必要があります。値のサブセットのみが一致した場合、アラートアグリゲーション条件は満たされず、新しいセキュリティインシデントが作成されます。複数値フィールドのマッピングについては、以下のスクリーンショットを参照してください。
   
   
   

   新しいアラートが、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しいアラートは、同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う sn_si.analyst ロールを持つユーザーは、セキュリティインシデントの関連リストで、追加されたすべての集計アラートを表示できます。セキュリティインシデントの集計されたアラートはすべて、[集計された Microsoft Graph アラート] 関連リストに表示されます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、アラートが既存のセキュリティインシデントに追加される理由を理解するのに役立ちます。このタブが表示されない場合は、 [関連リンク] の下のレコードの左側にスクロールし、[すべての関連リストを表示] リンクをクリックします。

3. (オプション) セキュリティインシデントで最近追加された新しいアラートの作業メモを記録するには、このチェックボックスをオンにしてこのオプションを有効にします。作業メモには、新しいアラートが追加され、アラートの詳細へのリンク、およびマッピングセクションの作業メモフィールドに追加された可能性のあるその他の詳細が記録されます。

   アラートから SIR セキュリティインシデントのフィールドに値を正常にマッピングしました。また、フィルター条件に基づいてセキュリティインシデントの作成を制限する追加条件も設定しました。既存の SIR セキュリティインシデントにアラートまたはイベントも追加しました。

4. [続行] をクリックして、プロファイル設定を続行します。次のステップでは、SIR セキュリティインシデントにマッピングしたフィールドをプレビューします。