Log Horizon はあなたのMicrosoft Sentinelワークスペース(およびオプションでDefender XDR)に接続し、取り込んでいるすべてのログテーブルを確認して、そこから実際のセキュリティ価値を得ているか、それとも単にお金を無駄にしているかを判断します。テーブルを分類し、検出ルールに対してスコア付けし、具体的な推奨事項と削減見積もりを提供します。
Androidセキュリティアプリ
機能
| 機能 | 説明 |
|---|---|
| 分類エンジン | 190以上のコネクタ、21のカテゴリをカバーする345エントリの知識ベース、未知のテーブルに対する自動ヒューリスティックフォールバック付き |
| コスト価値スコアリング | テーブルごとのコストティア対検出ティア行列で総合評価(高価値→低価値) |
| 推奨事項 | 優先度付きアクション:データレイク候補、ゼロ検出テーブル、XDRストリーミング無駄、取り込み時フィルタリング、リテンション不足 |
| 検出マッピング | 分析ルール、検索クエリ、XDR検出を各テーブルにマッピングしてカバレッジギャップを特定 |
| 相関タグ | ルール説明の#DONT_CORR# / #INC_CORR# タグを検出し、Defender相関から除外されたルールにフラグを付けます |
| リテンション準拠 | 実際のリテンションを業界標準とセキュリティベストプラクティスに基づいて推奨される最小値と比較 |
| SOC最適化 | セキュリティインサイトAPIからMicrosoft独自のSOC改善推奨を取得 |
| キーワードギャップ分析 | ベンダー/製品キーワードに基づいて取り込むべきだが取り込んでいないテーブルにフラグを付けます |
| トランスフォーム検出 | データ収集ルール(DCR)を検出し、取り込み時トランスフォーム(フィルター、投影、エンリッチメント、集約)を分類 |
| スプリットテーブル検出 | _SPLT_CL スプリットテーブルを識別し、分類エンジン内の親テーブルにリンク |
| スプリットKQLジェネレータ | キュレーション済み知識ベース、ライブルール分析、コミュニティフィールド頻度統計からポータル対応スプリットKQLを生成—Sentinelスプリットルールエディタに直接貼り付けられる条件のみの形式 |
| 検出アナライザー | インシデント成果(自動クローズ率、誤検知率、インシデント量パーセンタイル)を使用して分析ルールの潜在的なノイズを評価 |
| XDRチェッカー | XDR焦点のアドバイザリレイヤーを追加:ストリーミングカバレッジチェックとXDR関連テレメトリの1年データレイクリテンションガイダンス |
| カスタム分類 | 独自のJSONを提供して、組み込み分類データベースを追加またはオーバーライド |
| インタラクティブTUI | メニュー、色分けされたテーブル、ドリルダウン、ASCIIアート付きのSpectre.Consoleダッシュボード |
| エクスポート | チームと共有するためのJSON、Markdown、または静的HTMLレポート |
インストールと使用
翻訳元: https://meterpreter.org/log-horizon-microsoft-sentinel-siem-log-analyzer-cost-optimization/
ソース: meterpreter.org
