Azure Firewall と Microsoft Sentinel の概要
Azure Sentinel 向けのデプロイが簡単な Azure Firewall ソリューションの形式で、検出と防止の両方を実現できるようになりました。
セキュリティは、予防的防御と事後的防御の間の常にバランスが保たれています。 これらはどちらも同様に重要であり、どちらも無視することはできません。 組織を効果的に保護することは、予防と検出の両方を常に最適化することを意味します。
防止と検出を組み合わせることで、高度な脅威を可能な限り防ぐと共に、侵害を想定するという姿勢を貫き、サイバー攻撃を検出してそれにすばやく対応することができるのです。
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
主要な機能
Azure Firewall と Microsoft Sentinel を統合すると、次の機能が有効になります。
- Azure Firewall アクティビティを監視および視覚化する
- 脅威を検出し、AI 支援の調査機能を適用する
- 他のソースへの応答と相関関係を自動化する
エクスペリエンス全体が Microsoft Sentinel マーケットプレースのソリューションとしてパッケージ化されているため、比較的簡単にデプロイできます。
Microsoft Sentinel 用の Azure Firewall ソリューションをデプロイして有効にする
コンテンツ ハブからソリューションをすばやくデプロイできます。 Microsoft Sentinel ワークスペースから、[Analytics] を選択し、[コンテンツ ハブのその他のコンテンツ] を選択します。 [Azure Firewall] を検索して選択してから、[インストール] を選択します。
インストールしたら、[管理] を選択し、ウィザードのすべての手順に従い、検証に合格して、ソリューションを作成します。 いくつかの選択だけで、コネクタ、検出、ブック、プレイブックなど、すべてのコンテンツが Microsoft Sentinel ワークスペースにデプロイされます。
Azure Firewall アクティビティを監視および視覚化する
Azure Firewall ブックを使用すると、Azure Firewall イベントを視覚化できます。 このブックを使用すると、次のことができます。
- アプリケーションとネットワークの規則の詳細
- URL、ポート、アドレスにまたがるファイアウォール アクティビティの統計情報を確認する
- ファイアウォールとリソース グループでフィルター処理する
- ログ内の問題を調査するときに、読みやすいデータ セットを使用してカテゴリごとに動的にフィルター処理します。
ブックには、ファイアウォール アクティビティを継続的に監視するための 1 つのダッシュボードが用意されています。 脅威の検出、調査、対応に関しては、Azure Firewall ソリューションにも組み込みの検出機能とハンティング機能が用意されています。
脅威を検出し、AI 支援の調査機能を使用する
ソリューションの検出規則は、Azure Firewall 信号を分析して、ネットワークを通過する悪意のあるアクティビティ パターンを表すトラフィックを検出するための強力な方法を Microsoft Sentinel に提供します。 これにより、脅威の迅速な対応と修復が可能になります。
ファイアウォール ソリューション内で敵対者が追求する攻撃ステージは、MITRE ATT&CK フレームワークに基づいてセグメント化されます。 MITRE フレームワークは、初期の偵察ステージからデータ流出までのサイバー攻撃のステージを追跡する一連の手順です。 このフレームワークは、防御者がランサムウェア、セキュリティ侵害、高度な攻撃を理解して対処するのに役立ちます。
このソリューションには、攻撃の一部として敵対者が攻撃の一部として使用する可能性がある一般的なシナリオの検出が含まれます。検出ステージ (システムと内部ネットワークに関する知識を得る) からコマンド アンド コントロール (C2) ステージ (侵害されたシステムと通信して制御する) から流出ステージ (組織からデータを盗もうとする敵対者) にまで及びます。
| 検出ルール | 内容 | それは何を示していますか? |
|---|---|---|
| ポート スキャン | Azure Firewall で複数の開いているポートをスキャンするソース IP を識別します。 | 攻撃者によるポートの悪意のあるスキャン。初期アクセスのために侵害される可能性がある組織内の開いているポートを明らかにしようとしています。 |
| ポート スイープ | Azure Firewall のさまざまな IP で同じ開いているポートをスキャンするソース IP を識別します。 | 攻撃者が組織内で開いている特定の脆弱なポートを持つ IP を明らかにしようとする、ポートの悪意のあるスキャン。 |
| ソース IP の異常な拒否レート | 構成された期間中に実行された機械学習に基づいて、特定のソース IP から宛先 IP への異常な拒否レートを識別します。 | 潜在的な流出、初期アクセス、または C2。攻撃者が組織内のマシンで同じ脆弱性を悪用しようとしますが、Azure Firewall 規則によってブロックされます。 |
| プロトコルへの異常なポート | アクティビティ期間中に行われた機械学習に基づいて、非標準ポート経由の既知のプロトコルの通信を識別します。 | 既知のポート (SSH、HTTP) 経由で通信しようとしている攻撃者による悪意のある通信 (C2) または流出は、ポート番号と一致する既知のプロトコル ヘッダーを使用しません’。 |
| 同じ TI 変換先の影響を受ける複数のソース | Azure Firewall の脅威インテリジェンス (TI) によってブロックされている同じ宛先に到達しようとしている複数のマシンを識別します。 | 組織からデータを流出させようとする同じ攻撃グループによる組織への攻撃。 |
ハンティング クエリ
ハンティング クエリは、インシデントが発生した後、または新しい攻撃または不明な攻撃を予防的に検出するために、セキュリティ研究者が組織のネットワーク内の脅威を検索するためのツールです。 これを行うために、セキュリティ研究者は、セキュリティ侵害のインジケーター (IOC) をいくつか確認します。 Azure Firewall ソリューションの組み込みの Azure Sentinel ハンティング クエリにより、セキュリティ研究者は、ファイアウォール ログから影響の大きいアクティビティを見つけるために必要なツールが提供されます。 いくつかの例を次に示します。
| ハンティング クエリ | 内容 | それは何を示していますか? |
|---|---|---|
| ソース IP が宛先ポートに初めて接続する場合 | 新しいホストまたは IP が特定のポートを使用して宛先と通信しようとしたときに、攻撃 (IOA) の一般的な兆候を特定するのに役立ちます。 | 指定した期間中の通常のトラフィックの学習に基づきます。 |
| ソース IP が宛先に初めて接続する場合 | 以前に宛先にアクセスしたことがないマシンから悪意のある通信が初めて行われるときに IOA を識別するのに役立ちます。 | 指定した期間中の通常のトラフィックの学習に基づきます。 |
| 送信元 IP が複数の宛先に異常に接続する | 複数の宛先に異常に接続するソース IP を識別します。 | 攻撃者が組織内の異なるマシン間を飛び越えようとし、横移動パスまたは異なるマシン上の同じ脆弱性を悪用して、アクセスする脆弱なマシンを見つけようとする最初のアクセス試行を示します。 |
| 組織の一般的でないポート | 組織ネットワークで使用される異常なポートを識別します。 | 攻撃者は監視対象のポートをバイパスし、一般的でないポートを介してデータを送信できます。 これにより、攻撃者は日常的な検出システムからの検出を回避できます。 |
| 宛先 IP への一般的でないポート接続 | 宛先 IP に接続するためにマシンによって使用される異常なポートを識別します。 | 攻撃者は監視対象のポートをバイパスし、一般的でないポートを介してデータを送信できます。 これは、通信にマシン上で一度も使用されていないポートを使用して、組織内のマシンからの流出攻撃を示すこともできます。 |
他のソースへの応答と相関関係を自動化する
最後に、Azure Firewall には、脅威への対応を自動化できる Azure Sentinel プレイブックも含まれています。 たとえば、ファイアウォールは、ネットワーク上の特定のデバイスが非標準の TCP ポート経由で HTTP プロトコルを介してインターネットと通信しようとするイベントをログに記録するとします。 このアクションにより、Azure Sentinel で検出がトリガーされます。 プレイブックは、Microsoft Teams を介してセキュリティ オペレーション チームへの通知を自動化し、セキュリティ アナリストは、1 つの選択でデバイスのソース IP アドレスをブロックできます。 これにより、調査が完了するまでインターネットにアクセスできなくなります。 プレイブックを使用すると、このプロセスをより効率化かつ合理化できます。
実際の例
実際のシナリオで、完全に統合されたソリューションがどのようなものになるかを見てみましょう。
Azure Firewall による攻撃と初期防止
会社の営業担当者が誤ってフィッシングメールを開き、マルウェアを含む PDF ファイルを開きました。 マルウェアはすぐに悪意のある Web サイトに接続しようとしますが、Azure Firewall によってブロックされます。 ファイアウォールは、使用する Microsoft 脅威インテリジェンス フィードを使用してドメインを検出しました。
応答
接続試行によって Azure Sentinel で検出がトリガーされ、プレイブックの自動化プロセスが開始され、Teams チャネルを介してセキュリティ オペレーション チームに通知されます。 そこで、アナリストはコンピューターがインターネットと通信するのをブロックできます。 その後、セキュリティ オペレーション チームは IT 部門に通知し、IT 部門が営業担当者のコンピューターからマルウェアを削除します。 ただし、予防的なアプローチを採用し、より深く調査したセキュリティ研究者は、Azure Firewall のハンティング クエリを適用し、送信元 IP が複数の宛先に異常に接続するクエリを実行します。 これにより、感染したコンピューター上のマルウェアが、より広範なネットワーク上の他のいくつかのデバイスと通信しようとして、それらのいくつかにアクセスしようとしたことが明らかになります。 ネットワーク内の横方向の移動を防ぐための適切なネットワークのセグメント化がなかったため、これらのアクセス試行の 1 つは成功しました。また、新しいデバイスには既知の脆弱性があり、マルウェアはそれを悪用して感染しました。
結果
セキュリティ研究者は、新しいデバイスからマルウェアを削除し、攻撃の軽減を完了し、プロセス内のネットワークの弱点を検出しました。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示