Microsoft Sentinel のユーザー/エンティティ行動分析 (UEBA) を使用して高度な脅威を特定する

  • [アーティクル]

注意

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

組織内の脅威とその潜在的な影響を特定することは (それが侵害されたエンティティ、または悪意のある内部関係者かどうかには関係なく) 常に、時間のかかる、労働集約的なプロセスでした。 アラートの選別、ドットの接続、積極的なハンティングがすべて一緒になって膨大な量の時間と労力が費やされますが、最小限の結果しか得られず、高度な脅威の可能性は簡単に検出を回避します。 特に、対象を絞った、ゼロディの高度な永続的脅威などの捕らえにくい脅威は、組織にとって最も危険なものになることがあるため、それらの検出がますます重要になっています。

Microsoft Sentinel の UEBA 機能は、アナリストのワークロードから面倒な作業を、またその取り組みから不確実性を排除し、忠実度が高い、すぐに使用可能なインテリジェンスを提供するため、アナリストは調査と修復に集中することができます。

ユーザーとエンティティの行動分析 (UEBA) の概要

Microsoft Sentinel では、接続されているすべてのデータ ソースからログとアラートを収集すると、それらを分析して、時間とピア グループの期間全体にわたる組織のエンティティ (ユーザー、ホスト、IP アドレス、アプリケーションなど) のベースライン行動プロファイルを構築します。 さまざまな手法や機械学習機能を使用して、Microsoft Sentinel で異常なアクティビティを特定でき、資産が侵害されているかどうかを判定するのに役立ちます。 それだけではなく、特定の資産の相対的な機密性を見つけたり、資産のピア グループを識別したり、特定の侵害された資産の潜在的な影響 (その "影響範囲") を評価したりすることもできます。 これらの情報を利用して、調査やインシデント処理に効果的に優先順位を付けることができます。

UEBA 分析アーキテクチャ

Entity behavior analytics architecture

セキュリティ主導の分析

Microsoft Sentinel は、UEBA ソリューションに関する Gartner のパラダイムによって、次の 3 つの参照フレームに基づく "アウトサイドイン" アプローチを提供します。

  • ユース ケース: さまざまなエンティティを被害者、加害者、またはピボット ポイントとしてキル チェーン内に配置する、戦術、テクニック、サブテクニックの MITRE ATT&CK フレームワークに対応したセキュリティ調査に基づいて、関連する攻撃ベクトルとシナリオに優先順位を付けることにより、Microsoft Sentinel は特に、各データ ソースが提供できる最も重要なログに焦点を置いています。

  • データ ソース: Microsoft Sentinel は、何よりもまず Azure データ ソースをサポートしていますが、脅威のシナリオに適したデータを提供するために、サードパーティのデータ ソースを慎重に選択します。

  • 分析: Microsoft Sentinel は、さまざまな機械学習 (ML) アルゴリズムを使用して、異常なアクティビティを特定し、コンテキストに基づくエンリッチメントの形式で証拠を明確かつ簡潔に示します。次に例を示します。

    Behavior analytics outside-in approach

Microsoft Sentinel は、セキュリティ アナリストがコンテキストにおいて、また、ユーザーのベースライン プロファイルと比較して、異常なアクティビティを明確に理解するのに役立つ成果物を提示します。 ユーザー (またはホスト、またはアドレス) によって実行されたアクションは、次のようにコンテキストから評価されます。ここで、"true" の結果は特定された異常を示します。

  • 地理的な場所、デバイス、環境にまたがって。
  • 時間と頻度の期間にまたがって (ユーザー独自の履歴と比較して)。
  • ピアの行動と比較して。
  • 組織の行動と比較して。 Entity context

Microsoft Sentinel がユーザー プロファイルのビルドに使うユーザー エンティティ情報は、Microsoft Entra ID (または、現在はプレビュー段階のオンプレミスの Active Directory) から取得します。 UEBA を有効にすると、Microsoft Entra ID が Microsoft Sentinel と同期され、Log Analytics の IdentityInfo テーブルから表示される内部データベースにその情報が格納されます。

現在はプレビュー段階ですが、Microsoft Defender for Identity を使って、オンプレミスの Active Directory ユーザー エンティティ情報を同期することもできます。

UEBA を有効にしてユーザー ID を同期する方法については、「Microsoft Azure Sentinel でのユーザーとエンティティの動作分析 (UEBA) の有効化」を参照してください。

ポイントの計算

各アクティビティは、"調査の優先順位のスコア" でスコア付けされます。これにより、ユーザーとそのピアの行動学習に基づいて、特定のユーザーが特定のアクティビティを実行する確率が決定されます。 最も異常であると識別されたアクティビティが最高のスコアを受け取ります (スケールは 0 ~ 10)。

この動作の例については、Microsoft Defender for Cloud Apps で行動分析がどのように使用されているかを参照してください。

Microsoft Sentinel のエンティティに関する詳細と、サポートされているエンティティと識別子の完全な一覧をご覧ください。

エンティティ ページ

エンティティ ページに関する情報は、現在、「Microsoft Sentinel でエンティティ ページを使用してエンティティを調査する」で確認できます。

行動分析データへのクエリ実行

KQL を使用すると、行動分析テーブルにクエリを実行できます。

たとえば、Azure リソースへのサインインに失敗したユーザーのすべてのケースを見つけたい場合 (それがそのユーザーの特定の国/リージョンからの最初の接続の試みであり、そのユーザーのピアに対してもその国/リージョンからの接続はまれである場合) は、次のクエリを使用できます。

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

ユーザー ピア メタデータ - テーブルとノートブック

ユーザー ピア メタデータは、脅威の検出、インシデントの調査、潜在的な脅威のハンティングにおける重要なコンテキストを提供します。 セキュリティ アナリストは、あるユーザーのピアの通常のアクティビティを観察して、そのユーザーのアクティビティがピアのアクティビティと比較して異常であるかどうかを判定できます。

Microsoft Sentinel では、ユーザーの Microsoft Entra セキュリティ グループ メンバーシップ、メーリング リストなどに基づいて、そのユーザーの Peer を計算してランク付けし、1 から 20 にランク付けされた Peer を UserPeerAnalytics テーブルに格納します。 次のスクリーンショットは UserPeerAnalytics テーブルのスキーマを示し、ユーザー Kendall Collins の上位 8 つのランク付けされたピアを表示しています。 Microsoft Sentinel では、"用語の出現頻度/逆文書頻度" (TF-IDF) アルゴリズムを使用して、ランク付けを計算するための重みを正規化します。グループが小さいほど、重みが大きくなります。

Screen shot of user peers metadata table

Microsoft Sentinel GitHub リポジトリで提供されている Jupyter Notebook を使用して、ユーザー ピア メタデータを視覚化できます。 このノートブックを使用する方法の詳細な手順については、ガイド付き分析 - ユーザー セキュリティ メタデータのノートブックを参照してください。

アクセス許可分析 - テーブルとノートブック

アクセス許可分析は、攻撃者による組織資産の侵害の潜在的な影響を特定するために役立ちます。 この影響は、資産の "爆発半径" とも呼ばれます。セキュリティ アナリストは、この情報を使用して、調査とインシデント処理に優先順位を付けることができます。

Microsoft Sentinel では、ユーザーが直接、またはグループやサービス プリンシパル経由でアクセスできる Azure サブスクリプションを評価することで、特定のユーザーが Azure リソースに対して保持する直接および推移的なアクセス権を特定します。 この情報や、そのユーザーの Microsoft Entra セキュリティ グループ メンバーシップの完全な一覧は、その後 UserAccessAnalytics テーブルに格納されます。 次のスクリーンショットは、ユーザー Alex Johnson に関する UserAccessAnalytics テーブル内のサンプル行を示しています。 [ソース エンティティ] はユーザーまたはサービス プリンシパル アカウントであり、 [ターゲット エンティティ] はソース エンティティがアクセスできるリソースです。 [アクセス レベル][アクセスの種類] の値は、ターゲット エンティティのアクセス制御モデルによって異なります。 Alex が Azure サブスクリプション Contoso Hotels Tenant に対する共同作成者のアクセス権を持っていることがわかります。 このサブスクリプションのアクセス制御モデルは Azure RBAC です。

Screen shot of user access analytics table

Microsoft Sentinel GitHub リポジトリの Jupyter Notebook (前に説明したものと同じノートブック) を使用して、アクセス許可分析データを視覚化できます。 このノートブックを使用する方法の詳細な手順については、ガイド付き分析 - ユーザー セキュリティ メタデータのノートブックを参照してください。

ハンティング クエリと探索クエリ

Microsoft Sentinel には、BehaviorAnalytics テーブルに基づいた、ハンティング クエリ、探索クエリ、およびユーザー/エンティティ行動分析ブックのすぐに使えるセットが用意されています。 これらのツールは、異常な行動を示す、特定のユース ケースに焦点を絞ったエンリッチ処理されたデータを提供します。

詳細については次を参照してください:

従来の防御ツールが古いものになるにつれて、膨大な数のデジタル資産を所有している組織は、組織の環境が直面している可能性のあるリスクと体制の全体像を把握することが困難になります。 分析やルールなどの事後対応型の取り組みに依存しすぎると、悪意のあるアクターがそれらの取り組みを回避する方法を学んでしまいます。 ここが UEBA の出番です。リスクのスコアリング方法とアルゴリズムにより、実際に何が起こっているのかを把握できます。

次のステップ

このドキュメントでは、Microsoft Sentinel のエンティティの行動分析機能について学習しました。 実装や、取得した分析情報を使用する方法に関する実用的なガイダンスについては、次の記事を参照してください。

詳細については、「Microsoft Sentinel UEBA リファレンス」も参照してください。