Microsoft Sentinel でカスタマイズ可能な異常検知を使用して脅威を検出する

  • [アーティクル]

カスタマイズ可能な異常検知とは

攻撃者と防御者がサイバーセキュリティの激しい競争において絶えず優位に立とうとする中、攻撃者は常に検出を回避する方法を見つけ出します。 しかし、攻撃によって、攻撃対象のシステムに異常な動作が発生することは避けられません。 機械学習に基づく、Microsoft Sentinel のカスタマイズ可能な異常検知では、追加設定なしですぐに使用できる分析ルール テンプレートによってこの挙動を特定します。 異常そのものが悪意のある挙動や疑わしい動作を意味しているとは限らないものの、それを活用して検出、調査、脅威追求の能力を高めることができます。

  • 検出能力を向上するための追加のシグナル: セキュリティ アナリストは異常を使用して新しい脅威を検出し、既存の検出の効率を高めます。 単一の異常は悪意のある動作を示す強力なシグナルではありませんが、キル チェーンのさまざまなポイントで複数の異常が組み合わさると、明確なメッセージが送信されます。 セキュリティ アナリストは、異常な動作の識別に基づいて既存の検出アラートを調整して、検出アラートをより正確なものにできます。

  • 調査における証拠: セキュリティ アナリストは、調査の際に異常を使用することにより、侵害の確証、調査のための新しい方向性の発見、潜在的な影響の評価を行うことができます。 こうした効率化により、セキュリティ アナリストは調査に費やす時間を短縮することができます。

  • プロアクティブな脅威の追求の出発点: 脅威ハンターは、自分たちのクエリによって疑わしい挙動が明らかになったかどうかを判断するための状況証拠として、異常を活用できます。 挙動が疑わしいものである場合、さらなる追及のために進むべき方向性が異常によって指し示されることにもなります。 異常から得られるこのような手掛かりにより、脅威の検出にかかる時間は短くなり、危害を及ぼすおそれは小さくなります。

異常検知は強力なツールですが、ノイズが多いことでも有名です。 通常、特定の環境に合わせるための多くの面倒なチューニングや複雑な後処理が必要になります。 カスタマイズ可能な異常テンプレートは、すぐに使える価値を提供するために Microsoft Sentinel のデータ サイエンス チームによって調整されます。 さらに調整する必要がある場合のプロセスは単純で、機械学習に関する知識は必要ありません。 多くの異常のしきい値やパラメーターは構成可能で、使い慣れた分析ルールのユーザー インターフェイスを使用して微調整できます。 インターフェイス内で元のしきい値およびパラメーターのパフォーマンスと新しいものとを比較でき、テスト中やフライト化の段階で必要に応じてさらに調整できます。 異常検知がパフォーマンスの目標を満たしたら、新しいしきい値またはパラメーターによる異常検知を、ボタンをクリックするだけで運用環境にレベル上げできます。 Microsoft Sentinel のカスタマイズ可能な異常検出を使用すると、労力をかけずに異常検出の利点を得ることができます。

UEBA の異常

Microsoft Sentinel の異常検出の一部は、ユーザー/エンティティ行動分析 (UEBA) エンジンから来ています。これは、さまざまな環境にわたる各エンティティの基準となるこれまでの動作に基づいて異常を検出します。 各エンティティのベースライン動作は、その独自の過去のアクティビティ、ピアの過去のアクティビティ、組織全体の過去のアクティビティに従って設定されます。 異常は、さまざまな属性 (アクションの種類、地理的位置、デバイス、リソース、ISP など) の相関関係が引き金となって発生することがあります。

次のステップ

このドキュメントでは、Microsoft Sentinel でカスタマイズ可能な異常検知を活用する方法について説明しました。