Microsoft Sentinel での高度なマルチステージ攻撃の検出

重要

一部の Fusion 検出 (以下でそのように示されているものを参照) は、現在プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

Microsoft Sentinel では、スケーラブルな機械学習アルゴリズムに基づく関連付けエンジンである Fusion を使用して、キル チェーンのさまざまな段階で観察される異常な動作と疑わしいアクティビティの組み合わせを特定することによって、マルチステージ攻撃 (持続的標的型攻撃または APT とも呼ばれる) を自動的に検出します。 これらの検出を基に、Microsoft Sentinel では、Microsoft Sentinel 以外では検出が困難であろうインシデントが生成されます。 このインシデントは、2 つ以上のアラートまたはアクティビティで構成されています。 設計上、このようなインシデントでは、ボリュームが低、忠実度が高、重大度が高になります。

この検出テクノロジはご利用の環境によってカスタマイズされるため、誤検知率を減らすだけでなく、情報が制限されているか、不足している攻撃も検出できます。

Fusion では、高度なマルチステージ攻撃を検出するためにさまざまな製品からの複数の信号を関連付けるため、成功した Fusion 検出は、Microsoft Sentinel の [インシデント] ページにアラートとしてではなく Fusion インシデントとして表示され、[ログ] では SecurityAlert テーブルではなく SecurityIncident テーブルに格納されます。

Fusion を構成する

Fusion は、高度なマルチステージ攻撃の検出と呼ばれる分析ルールとして、Microsoft Sentinel で既定で有効になります。 ルールの状態を表示および変更したり、Fusion ML モデルに含めるソース シグナルを構成したり、Fusion 検出から環境に適用できない特定の検出パターンを除外したりすることができます。 Fusion ルールの構成方法についての記事を参照してください。

注意

現在、Microsoft Sentinel では 30 日間の履歴データを使用して Fusion エンジンの機械学習アルゴリズムをトレーニングしています。 このデータは、機械学習パイプラインを通過するときに、Microsoft のキーを使用して常に暗号化されます。 ただし、Microsoft Sentinel ワークスペースで CMK を有効にした場合、トレーニング データはカスタマー マネージド キー (CMK) を使用して暗号化されません。 Fusion をオプトアウトするには、[Microsoft Sentinel]>[構成]>[分析] > [アクティブな規則] の順に移動し、[高度なマルチステージ攻撃の検出] 規則を右クリックし、[無効にする] を選択します。

Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームにオンボードされている Microsoft Sentinel ワークスペースでは、その機能が Microsoft Defender XDR 相関関係エンジンに取って代わられているため、Fusion は無効になっています。

新しい脅威用の Fusion

重要

• 現在、新しい脅威用の Fusion ベースの検出はプレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

セキュリティ イベントの量は増え続けており、攻撃の範囲や巧妙さがますます高まっています。 既知の攻撃シナリオは定義できますが、環境における新たな脅威と未知の脅威についてはどうでしょうか。

Microsoft Sentinel の ML を利用した Fusion エンジンを使用すると、拡張 ML 分析を適用してより広範な異常のシグナルを関連付けることにより、アラートによる負担を低く保ちながら、環境内で新たな未知の脅威を見つけるために役立ちます。

Fusion エンジンの ML アルゴリズムでは、既存の攻撃から継続的に学習し、セキュリティ アナリストの考えに基づいて分析が適用されます。 その結果、以前は検出されなかった脅威が、環境全体のキル チェーンで数百万の異常な動作から検出できるため、攻撃者の一歩先を行く状態を維持できます。

新しい脅威用の Fusion は、次のソースからのデータの収集と分析をサポートします。

• すぐに使える異常検出
• Microsoft 製品からのアラート:
  • Microsoft Entra ID Protection
  • Microsoft Defender for Cloud
  • Microsoft Defender for IoT
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
• スケジュールされた分析ルールからのアラート (組み込みとセキュリティ アナリストが作成したアラートの両方)。 Fusion によって使用されるためには、分析ルールにキル チェーン (戦術) とエンティティ マッピング情報が含まれている必要があります。

新しい脅威用の Fusion を機能させるために、上記のすべてのデータ ソースを接続している必要はありません。 ただし、接続されているデータ ソースが多くなるほど、範囲が広くなり、Fusion が検出する脅威はさらに増えます。

Fusion エンジンの関連付けによって、新たな脅威が検出されると、"Fusion によって検出される可能性のあるマルチステージ攻撃アクティビティ" という重大度の高いインシデントが Microsoft Sentinel ワークスペースの incidents テーブルに生成されます。

ランサムウェア用の Fusion

Microsoft Sentinel の Fusion エンジンでは、次のデータ ソースからさまざまな種類の複数のアラートを検出したときにインシデントを生成し、ランサムウェア アクティビティに関連している可能性があることを判断します。

• Microsoft Defender for Cloud
• Microsoft Defender for Endpoint
• Microsoft Defender for Identity コネクタ
• Microsoft Defender for Cloud Apps
• Microsoft Sentinel のスケジュール化された分析ルール。 Fusion では、戦術とマップ済みエンティティを含むスケジュールされた分析ルールのみが考慮されます。

そのような Fusion インシデントは、Multiple alerts possibly related to Ransomware activity detected (ランサムウェア アクティビティに関連する可能性のある複数のアラートの検出) という名前が付けられ、関連するアラートが特定の期間内に検出され、攻撃の実行と防衛回避ステージに関連している場合に生成されます。

たとえば、Microsoft Sentinel では、特定の期間内に同じホストで次のアラートがトリガーされると、ランサムウェア アクティビティの可能性に関するインシデントを生成します。

アラート:	source	重大度
Windows エラーおよび警告イベント	Microsoft Sentinel のスケジュール化された分析ルール	informational
'GandCrab' ランサムウェアが回避されました	Microsoft Defender for Cloud	中
'Emotet' マルウェアが検出されました	Microsoft Defender for Endpoint	informational
'Tofsee' のバックドアが検出されました	Microsoft Defender for Cloud	low
'Parite' マルウェアが検出されました	Microsoft Defender for Endpoint	informational

シナリオベースの Fusion の検出

次のセクションでは、Microsoft Sentinel によって Fusion 関連付けエンジンを使用して検出された、シナリオベースのマルチステージ攻撃の種類を脅威の分類別に示します。

これらの Fusion による攻撃の検出シナリオを有効にするには、これらに関連付けられたデータ ソースが Log Analytics ワークスペースに注入される必要があります。 各シナリオとそれに関連付けられているデータ ソースの詳細については、次の表のリンクを選択してください。

注意

これらのシナリオの一部はプレビュー段階です。 そのように明記されています。

脅威の分類	シナリオ
Compute リソース プールの不正使用	(プレビュー) 疑わしい Microsoft Entra サインインの後の複数の VM 作成アクティビティ
資格情報のアクセス	(プレビュー) 不審なサインインに続き、ユーザーによりパスワードが複数回リセットされる (プレビュー) Azure AD へのサインインに複数回失敗した IP アドレスによる Palo Alto VPN への サインインの成功と同時に行われる、不審なサインイン
サインイン情報の不正取得	疑わしいサインインの後の悪意のある資格情報盗難ツールの実行 疑わしいサインインの後の資格情報盗難アクティビティの疑い
暗号通貨マイニング	疑わしいサインインの後の暗号化マイニング アクティビティ
データの破壊	疑わしい Microsoft Entra サインインの後の大量のファイル削除 (プレビュー) Microsoft Entra サインインの成功の後の大量のファイル削除 Azure AD へのサインインと、それに続くファイルの大規模なダウンロード (プレビュー) Azure AD へのサインインに複数回失敗した IP アドレスによる Palo Alto VPN への サインインの成功と同時に行われる、不審なサインイン (プレビュー) 疑わしい Microsoft Entra サインインの後の疑わしい電子メール削除アクティビティ
データ窃盗	(プレビュー) 管理者アカウントの新しい活動が見られなくなった後のメール転送活動 Microsoft Entra への不審なサインインの後の大量のファイル ダウンロード (プレビュー) Microsoft Entra サインインの成功の後の大量のファイル ダウンロード Azure AD へのサインインと、それに続くファイルの大規模なダウンロード (プレビュー) これまで見られなかった IP アドレスによる SharePoint ファイルの操作と同時に発生する、ファイルの大規模なダウンロード Microsoft Entra への不審なサインインの後の大量のファイル共有 (プレビュー) Microsoft Entra への不審なサインインの後の複数の Power BI レポート共有アクティビティ Microsoft Entra への不審なサインインの後の Office 365 メールボックスからの情報の流出 (プレビュー) マルウェアの検出と、それに続く、これまで見られなかった IP アドレスによる SharePoint ファイルの操作 (プレビュー) 疑わしい Microsoft Entra サインインの後の疑わしい受信トレイ操作ルールの設定 (プレビュー) Microsoft Entra アカウントへの不審なサインインの後の不審な Power BI レポート共有
サービス拒否	(プレビュー) Microsoft Entra への不審なサインインの後の複数の VM 削除アクティビティ
侵入拡大	Microsoft Entra への不審なサインインの後の Office 365 偽装 (プレビュー) 疑わしい Microsoft Entra サインインの後の疑わしい受信トレイ操作ルールの設定
悪意のある管理アクティビティ	Microsoft Entra への不審なサインインの後のクラウド アプリでの不審な管理行為 (プレビュー) 管理者アカウントの新しい活動が見られなくなった後のメール転送活動
悪意のある実行 悪意のある実行	(プレビュー) PowerShell で疑わしいネットワーク接続が行われた後に続き、 Palo Alto Networks ファイアウォールによって異常なトラフィックのフラグが設定された (プレビュー) 疑わしいリモート WMI 実行に続く、 Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィック 疑わしいサインインの後の疑わしい PowerShell コマンド ライン
マルウェア C2 またはダウンロード	(プレビュー) サービスへのユーザー サインインが複数回失敗するイベントに続いて、Fortinet によりビーコン送信パターンを検出 (プレビュー) Microsoft Entra への不審なサインインの後の Fortinet によるビーコン送信パターンの検出 (プレビュー) TOR 匿名化サービスに対するネットワーク要求の後に続く、 Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィック (プレビュー) 承認されていないアクセス試行の履歴がある IP への送信接続の後に続く、 Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィック
永続化	(プレビュー) 不審なサインインと、それに続く、通常見られないアプリケーションへの同意
ランサムウェア	Microsoft Entra への不審なサインインの後のランサムウェア実行
リモートの悪用	(プレビュー) 疑わしい攻撃フレームワーク使用後の、 Palo Alto Networks ファイアウォールによってフラグが設定された異常なトラフィック
リソースの乗っ取り	(プレビュー) Azure AD への不審なサインインと、それに続く、これまで見られなかった呼び出し元による 不審なリソース/リソース グループ デプロイ

次のステップ

Fusion の高度なマルチステージ攻撃の検出に関する次の詳細をご覧ください。

• Fusion のシナリオベースの攻撃検出の詳細についてご覧ください。
• Fusion ルールの構成方法に関する記事をご覧ください。

高度なマルチステージ攻撃の検出に関する詳細を学習したので、自分のデータや潜在的な脅威を視覚化する方法を学習することができる以下のクイックスタートにも関心を持たれるかもしれません。Microsoft Sentinel の使用を開始する。

作成されたインシデントを調査する準備ができたら、次のチュートリアルをご覧ください。Microsoft Sentinel を使用してインシデントを調査する。