# 概要

> **SCU コスト見積もり**\
> このエージェントは通常、 **分析実行ごとに 0.2～1.0 SCU**。必要量は、分析ルールの数とテレメトリ検証の深さによって異なります。多数の分析ルールや拡張された ATT\&CK 相関を持つ大規模な Sentinel ワークスペースでは、より多くの SCU 使用量が必要になります。

### はじめに

**攻撃マッピング エージェント** が、あなたの **MITRE ATT\&CK カバレッジ指標** が Microsoft Sentinel で正確、一貫性があり、運用上意味のあるものになるようにします。すべての分析ルールを自動的に棚卸しし、その ATT\&CK の戦術・技術・サブ技術への割り当てを検証し、オートメーションまたはアナリストレビュー向けの正確な修正推奨を提供します。

検出ロジック、テレメトリサンプル、正規の MITRE ATT\&CK データを相互参照することで、このエージェントは誤った、欠落した、または不整合なマッピングを特定し、セキュリティチームが信頼できるレポートと効果的な検出カバレッジを維持できるよう支援します。

<figure><img src="/files/45bbdbded9dc041f614e86e12c2dcb260acca822" alt=""><figcaption></figcaption></figure>

<div><figure><img src="/files/45bbdbded9dc041f614e86e12c2dcb260acca822" alt=""><figcaption></figcaption></figure> <figure><img src="/files/e97a9873ab867b7fcf2d3cd504b4fe461fbaff24" alt=""><figcaption></figcaption></figure> <figure><img src="/files/fde921157564d0282fad9e79cf45b278c96758ed" alt=""><figcaption></figcaption></figure></div>

***

### 機能

* Microsoft Sentinel のすべての分析ルールを自動的に棚卸しします
* 割り当てられた ATT\&CK の戦術・技術・サブ技術を検証します
* 不足している、または形式不正の ATT\&CK メタデータを検出します
* ルールのロジックとテレメトリサンプルを ATT\&CK 技術と照合します
* 修正および正規化アクションを提案します
* ダッシュボード、プルリクエスト、またはチケット向けの自動化対応出力を生成します
* 時間の経過に伴うマッピングのずれとカバレッジのギャップを強調表示します

***

### ユース ケース

#### 1. **正確な MITRE カバレッジ指標の維持**

MITRE ATT\&CK カバレッジの信頼性は、そのマッピングの精度に依存します。このエージェントは分析ルールを継続的に監査し、すべての戦術と技術が有効で適切に形式化されていることを保証するため、セキュリティ態勢レポートに信頼できる指標を提供します。

#### 2. **分析ルールレビューの高速化**

数百ものルールにわたる手動のマッピング検証は手間がかかり、ミスが発生しやすくなります。このエージェントは、正規の ATT\&CK データとルールロジックに照らしてマッピングを自動評価し、整合性を向上させながらレビュー時間を大幅に短縮します。

#### 3. **ルール更新後のマッピングのずれを検出**

分析ルールが調整やインポートによって進化すると、ATT\&CK タグは本来の整合性からずれることがよくあります。このエージェントは更新後のルールを以前のベースラインと継続的に比較し、不正確なレポートを防ぐために不整合をフラグします。

#### 4. **オートメーションとレポート用にメタデータを正規化**

分析ルールには、一貫性のない、または重複した ATT\&CK タグが含まれている場合があります。このエージェントはそれらをクリーンアップし、重複排除し、正規の MITRE ID に変換して、自動化されたダッシュボードや PR パイプライン向けにメタデータを標準化します。

#### 5. **検出エンジニアリングと脅威ハンティングを支援**

検証済みの ATT\&CK マッピングがあれば、検出エンジニアや脅威ハンターはメタデータの問題をデバッグするのではなく、実際のカバレッジギャップに集中できます。このエージェントは各変更について明確な理由を提供し、チーム間の信頼と協力を高めます。

***

### なぜ Attack Mapping Agent なのか?

#### 解決する課題

* 不正確または不完全な MITRE マッピングは、信頼できないカバレッジ指標につながります
* 大規模環境での手動検証には数日かかります
* ルール更新により、気づかれないマッピングのずれが発生します
* 形式不正または一貫性のないメタデータは、オートメーションやダッシュボードを壊します
* 検出ロジックと ATT\&CK フレームワークの相関が不足すると、分析価値が低下します
* 大規模な更新は人的ミスが起こりやすくなります

#### 得られるメリット

* Sentinel ワークスペース全体にわたる、正確で検証済みの MITRE ATT\&CK マッピング
* 分析ルールのメタデータの自動棚卸しと正規化
* 一貫したレポートのための ATT\&CK ナレッジベースとの正規の整合
* 迅速なアナリストレビューまたはオートメーション向けの整理された推奨事項
* CI/CD 統合または Power BI ダッシュボードに対応した JSON ベースの出力
* ルール変更後のずれを防ぐ継続的な検証

***

### 仕組み

#### 入力内容

* Microsoft Sentinel の分析ルール メタデータ
* 検出ロジックと相関テレメトリサンプル
* 検証用の MITRE ATT\&CK ナレッジベース
* 文脈を補強するための任意の Defender および Advanced Hunting データ

#### 機能

* 分析ルールの ATT\&CK メタデータを収集し、正規化します
* 戦術・技術・サブ技術のタグを正規の MITRE 定義と比較します
* 検出ロジックを関連テレメトリと照合して、マッピングの正確性を検証します
* 不足、形式不正、または一貫性のないメタデータ項目を特定します
* 明確な根拠とともにマッピング修正案をまとめます
* オートメーションまたはアナリストのワークフローに適した構造化出力を生成します

#### 出力内容

* MITRE カバレッジ検証結果のエグゼクティブサマリー
* 各分析ルールごとの正規化および修正済み ATT\&CK マッピング
* 提案された変更を説明する文脈的な根拠
* 正規のルール識別子とクリーン化されたメタデータ
* カバレッジギャップとマッピングのずれに関する洞察
* PR、ダッシュボード、課題追跡向けに設計された JSON レポート構造


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/jp/agents/attack-mapping-agent/overview.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.