Microsoft Sentinel の脅威インテリジェンスについて
Microsoft Sentinel は、多数のソースから脅威インテリジェンスをすばやく引き出すことができる、クラウドネイティブのセキュリティ情報およびイベント管理 (SIEM) ソリューションです。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
脅威インテリジェンスの概要
サイバー脅威インテリジェンス (CTI) は、システムとユーザーに対する潜在的な脅威について説明する情報です。 このインテリジェンスには、特定の脅威アクターの動機、インフラストラクチャ、手法を詳細に説明したレポートから、既知のサイバー脅威に関連する IP アドレス、ドメイン、ファイル ハッシュ、その他の成果物に関する具体的な観測結果まで、さまざまな形式があります。 CTI は、通常とは異なるアクティビティに対して重要なコンテキストを提供するために組織によって使用されます。これにより、セキュリティ担当者は、ユーザー、情報、資産を保護する措置を迅速に講じることができます。 CTI は、オープンソースのデータ フィード、脅威インテリジェンス共有コミュニティ、商用インテリジェンス フィード、組織内のセキュリティ調査の過程で集められたローカル インテリジェンスなど、多くのソースから取得できます。
Microsoft Sentinel などの SIEM ソリューションでは、最も一般的な CTI の形式は、侵害インジケーター (IoC) または攻撃インジケーター (IoA) とも呼ばれる脅威インジケーターです。 脅威インジケーターは、URL、ファイル ハッシュ、IP アドレスなどの観測された成果物を、フィッシング、ボットネット、マルウェアなどの既知の脅威アクティビティに関連付けるデータです。 この形式の脅威インテリジェンスは、組織に対する潜在的な脅威を検出して、それらから保護するために、セキュリティ製品と自動化に大規模に適用されるため、"戦術的脅威インテリジェンス" と呼ばれることがよくあります。 Microsoft Sentinel の脅威インジケーターを使用して、お使いの環境で観察された悪意のあるアクティビティを検出し、セキュリティ調査担当者にコンテキストを提供して、対応の決断を通知できます。
次のアクティビティによって脅威インテリジェンス (TI) を Microsoft Azure Sentinel に統合します。
さまざまな TI プラットフォームおよびフィードに対してデータ コネクタを有効化して、Microsoft Azure Sentinel に脅威インテリジェンスをインポートします。
インポートした脅威インテリジェンスを Microsoft Azure Sentinel の [ログ] および [脅威インテリジェンス] のブレードに表示して、管理します。
脅威を検出し、インポートした脅威インテリジェンスに基づいて、組み込みの分析ルール テンプレートを使用してセキュリティ アラートとインシデントを生成します。
脅威インテリジェンス ブックを使用して、Microsoft Azure Sentinel で、インポートした脅威インテリジェンスに関する重要な情報を視覚化します。
Microsoft は、他のインジケーターの詳細と共に表示される位置情報および WhoIs データを使用して、インポートされたすべての脅威インテリジェンス インジケーターをエンリッチします。
脅威インテリジェンスは、ハンティングや Notebooks など、Microsoft Azure Sentinel の他のエクスペリエンスで便利なコンテキストも提供します。 詳細については、Microsoft Azure Sentinel での Jupyter Notebook に関するページおよび「チュートリアル: Azure Sentinel で Jupyter Notebook と MSTICPy の使用を開始する」を参照してください。
Note
米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。
データ コネクタを使用して脅威インテリジェンスをインポートする
Microsoft Azure Sentinel の他のすべてのイベント データと同様に、脅威インジケーターはデータ コネクタを使用してインポートされます。 Microsoft Sentinel には、脅威インジケーター専用の次のデータ コネクタが用意されています。
- Microsoft の脅威インジケーターを取り込むための Microsoft Defender 脅威インテリジェンス データ コネクタ
- 業界標準の STIX/TAXII フィード用の脅威インテリジェンス - TAXII
- REST API を使用して接続する統合およびキュレーションされた TI フィード用の脅威インテリジェンス アップロード インジケーター API
- 脅威インテリジェンス プラットフォーム データ コネクタも REST API を使用して TI フィードを接続しますが、非推奨となる予定です
これらのデータ コネクタは、組織の脅威インジケーターの取得元に応じて、任意の組み合わせで使用します。 3 つとも、脅威インテリジェンス ソリューションの一部としてコンテンツ ハブで入手できます。 このソリューションの詳細については、Azure Marketplace エントリ「Threat Intelligence」を参照してください。
Microsoft Azure Sentinel で利用可能な脅威インテリジェンスの統合のカタログも参照してください。
Microsoft Defender 脅威インテリジェンス データ コネクタを使用して Microsoft Azure Sentinel に脅威インジケーターを追加する
Microsoft Defender 脅威インテリジェンス (MDTI) によって生成された忠実度の高い侵害インジケーター (IOC) を Microsoft Sentinel ワークスペースに追加します。 MDTI データ コネクタでは、簡単なワンクリック セットアップでこれらの IOC を取り込みます。 次に、他のフィードを利用する場合と同じように、脅威インテリジェンスに基づいて監視、アラート、追求を行います。
MDTI データ コネクタの詳細については、「MDTI 用データ コネクタを有効にする」を参照してください。
脅威インテリジェンス アップロード インジケーター API データ コネクタを使用して Microsoft Sentinel に脅威インジケーターを追加する
多くの組織では、脅威インテリジェンス プラットフォーム (TIP) ソリューションを使用して、さまざまなソースからの脅威インジケーター フィードを集約しています。 集約されたフィードから、データがキュレーションされて、ネットワーク デバイス、EDR/XDR ソリューション、SIEM (例: Microsoft Sentinel) などのセキュリティ ソリューションに適用されます。 脅威インテリジェンス アップロード インジケーター API データ コネクタでは、これらのソリューションを使用して、脅威インジケーターを Microsoft Sentinel にインポートできます。
このデータ コネクタは、新しい API を利用し、次の機能強化を提供します。
- 脅威インジケーター フィールドは、STIX 標準化形式に基づいています。
- Microsoft Entra アプリケーションには、Microsoft Sentinel 共同作成者ロールのみが必要です。
- API 要求エンドポイントのスコープはワークスペース レベルであり、必要な Microsoft Entra アプリケーションのアクセス許可により、ワークスペース レベルでのきめ細かい割り当てが可能になります。
詳細については、アップロード インジケーター API を使用した脅威インテリジェンス プラットフォームへの接続に関する記事を参照してください
脅威インテリジェンス プラットフォーム データ コネクタを使用して Microsoft Azure Sentinel に脅威インジケーターを追加する
既存のアップロード インジケーター API データ コネクタと同様に、脅威インテリジェンス プラットフォーム データ コネクタは API を使用して、TIP またはカスタム ソリューションがインジケーターを Microsoft Sentinel に送信できるようにします。 ただし、このデータ コネクタは非推奨になる予定です。 アップロード インジケーター API が提供する最適化を利用するための新しいソリューションをお勧めします。
TIP データ コネクタは、Microsoft Graph Security tiIndicators API と連携します。 tiIndicators API とやり取りする任意のカスタム脅威インテリジェンス プラットフォームで使用して、Microsoft Azure Sentinel (および Microsoft Defender XDR などの他の Microsoft セキュリティ ソリューション) にインジケーターを送信することもできます。
Microsoft Azure Sentinel と統合された TIP ソリューションの詳細については、「統合された脅威インテリジェンス プラットフォーム製品」を参照してください。 詳細については、「脅威インテリジェンス プラットフォームを Azure Sentinel に接続する」を参照してください。
脅威インテリジェンス - TAXII データ コネクタを使用して Microsoft Azure Sentinel に脅威インジケーターを追加する
脅威インテリジェンスの送信に最も広く採用されている業界標準は、STIX データ形式と TAXII プロトコルの組み合わせです。 組織が現在の STIX/TAXII バージョン (2.0 または 2.1) をサポートするソリューションから脅威インジケーターを取得している場合は、脅威インテリジェンス - TAXII データ コネクタを使用して、脅威インジケーターを Microsoft Sentinel に取り込みます。 脅威インテリジェンス - TAXII データ コネクタを使用すると、Microsoft Azure Sentinel に組み込みの TAXII クライアントで、TAXII 2.x サーバーから脅威インテリジェンスをインポートできます。
TAXII サーバーから Microsoft Azure Sentinel に STIX 形式の脅威インジケーターをインポートするには:
TAXII サーバー API ルートとコレクション ID を取得する
Microsoft Azure Sentinel で脅威インテリジェンス - TAXII データ コネクタを有効にする
詳細については、「Microsoft Azure Sentinel を STIX/TAXII 脅威インテリジェンス フィードに接続する」を参照してください。
脅威インジケーターを表示および管理する
[脅威インテリジェンス] ページでインジケーターを表示して管理します。 Log Analytics クエリを作成せずに、インポートされた脅威インジケーターの並べ替え、フィルター処理、検索を行います。 この機能では、Microsoft Azure Sentinel インターフェイスで直接脅威インジケーターを作成できます。また、インジケーターのタグ付けやセキュリティ調査に関連した新しいインジケーターの作成という最も一般的な 2 つの脅威インテリジェンス管理タスクを実行することもできます。
タグ付けは、脅威インジケーターをグループ化して見つけやすくする簡単な方法です。 通常は、特定のインシデントに関連するインジケーター、または特定の既知のアクターや既知の攻撃キャンペーンからの脅威を表すものにタグを適用できます。 脅威インジケーターを個別にタグ付けするか、インジケーターを複数選択してすべて一度にタグ付けします。 これは複数のインジケーターにインシデント ID をタグ付けする例を示すスクリーンショットです。 タグ付けは自由形式であるため、脅威インジケーター タグの標準的な名前付け規則を作成することをお勧めします。 インジケーターには複数のタグを適用できます。
インジケーターを検証し、Microsoft Sentinel 対応のログ分析ワークスペースから正常にインポートされた脅威インジケーターを表示します。 Microsoft Sentinel スキーマの下にある ThreatIntelligenceIndicator テーブルに、すべての Microsoft Sentinel 脅威インジケーターが格納されます。 このテーブルは、Analytics や Workbooks など、他の Microsoft Sentinel 機能によって実行される脅威インテリジェンス クエリの基盤となります。
脅威インジケーターの基本的なクエリのビューの例を次に示します。
TI インジケーターは、ログ分析ワークスペースの ThreatIntelligenceIndicator テーブルに読み取り専用として取り込まれます。 インジケーターが更新されるたびに、ThreatIntelligenceIndicator テーブルに新しいエントリが作成されます。 ただし、[脅威インテリジェンス] ページには、最新のインジケーターのみが表示されます。 Microsoft Sentinel では、IndicatorId プロパティと SourceSystem プロパティに基づいてインジケーターの重複が解除され、最新の TimeGenerated[UTC] を持つインジケーターが選択されます。
IndicatorId プロパティは、STIX インジケーター ID を使用して生成されます。 インジケーターが STIX 以外のソースからインポートまたは作成されると、IndicatorId は、インジケーターの "ソース" と "パターン" によって生成されます。
脅威インジケーターの表示と管理の詳細については、Microsoft Azure Sentinel での脅威インジケーターの操作に関する記事を参照してください。
位置情報と WhoIs データのエンリッチメントを表示する (パブリック プレビュー)
Microsoft では、位置情報と WhoIs の追加データを使用して IP とドメインのインジケーターをエンリッチし、選択した侵害インジケーター (IOC) が検出された調査についてより多くのコンテキストを提供します。
位置情報と WhoIs のデータは、[脅威インテリジェンス] ペインで、Microsoft Sentinel にインポートされた脅威インジケーターの種類に対して表示されます。
たとえば、位置情報データを使用して IP インジケーターの "組織" や "国" などの詳細を検索し、WhoIs データを使用してドメイン インジケーターの "レジストラー" や "レコード作成" などのデータを検索します。
脅威インジケーター分析を使用して脅威を検出する
Microsoft Azure Sentinel のような SIEM ソリューションでの脅威インジケーターの最も重要なユース ケースは、脅威を検出するための分析ルールの強化です。 このようなインジケーターベースのルールでは、データ ソースで発生した未加工のイベントが脅威インジケーターと比較され、組織内のセキュリティ上の脅威が検出されます。 Microsoft Azure Sentinel の [分析] で、スケジュールに従って実行され、セキュリティ アラートを生成する分析ルールを作成します。 このルールは、クエリと、ルールの実行頻度、セキュリティ アラートとインシデントを生成するクエリ結果の種類によって動作し、オプションで自動応答をトリガーするようにすることもできます。
新しい分析ルールをゼロから作成することも可能ですが、Microsoft Sentinel には、脅威インジケーターを活用するために Microsoft セキュリティ エンジニアが作成した組み込みのルール テンプレートのセットが用意されています。 これらの組み込みのルール テンプレートは、脅威インジケーター (ドメイン、電子メール、ファイル ハッシュ、IP アドレス、または URL) と照合するデータ ソース イベントの種類に基づいています。 各テンプレートには、ルールが機能するために必要なソースが一覧表示されます。 これにより、必要なイベントが既に Microsoft Sentinel にインポートされているかどうかを簡単に判断できます。
既定では、これらの組み込みルールがトリガーされると、アラートが作成されます。 Microsoft Azure Sentinel では、分析ルールから生成されたアラートでもセキュリティ インシデントが生成され、Microsoft Azure Sentinel メニューの [脅威管理] にある [インシデント] で確認できます。 インシデントは、セキュリティ運用チームが、適切な応答アクションを判断するためにトリアージして調査する対象です。 詳細については、「チュートリアル: Microsoft Sentinel を使用してインシデントを調査する」を参照してください。
分析ルールで脅威インジケーターを使用する方法の詳細については、脅威インテリジェンスを使用して脅威を検出する方法に関するページを参照してください。
Microsoft は、Microsoft Defender 脅威インテリジェンス分析 ルールを通じて脅威インテリジェンスへのアクセスを提供しています。 忠実度の高いアラートとインシデントを生成するこのルールを利用する方法の詳細については、「照合分析を使用して脅威を検出する」を参照してください。
ブックによって脅威インテリジェンスに関する分析情報を提供する
ブックには、Microsoft Azure Sentinel のあらゆる側面に関する分析情報を提供する、強力な対話型ダッシュボードが用意されており、脅威インテリジェンスも例外ではありません。 組み込みの脅威インテリジェンス ブックを使用して、脅威インテリジェンスに関する重要な情報を視覚化したり、ビジネス ニーズに応じて簡単にブックをカスタマイズしたりします。 多くのさまざまなデータ ソースを組み合わせて新しいダッシュボードを作成し、独自の方法でデータを視覚化します。 Microsoft Azure Sentinel ブックは Azure Monitor ブックに基づいているため、広範なドキュメントが既にあり、さらに多くのテンプレートを利用できます。 Azure Monitor ブックを使用した対話型レポートの作成の方法に関するこの記事から読み始めることをお勧めします。
また、GitHub 上に Azure Monitor ブックの活発なコミュニティがあり、追加のテンプレートをダウンロードしたり、独自のテンプレートを投稿したりすることができます。
脅威インテリジェンス ブックの使用とカスタマイズの詳細については、Microsoft Azure Sentinel での脅威インジケーターの操作に関する記事を参照してください。
次のステップ
このドキュメントでは、脅威インテリジェンス ブレードを含め、Microsoft Azure Sentinel の脅威インテリジェンス機能について説明しました。 Microsoft Azure Sentinel の脅威インテリジェンス機能の使用に関する実用的なガイダンスについては、次の記事を参照してください。
- Microsoft Azure Sentinel を STIX、TAXII 脅威インテリジェンス フィードに接続する。
- Microsoft Sentinel に脅威インテリジェンス プラットフォームを接続する。
- Microsoft Azure Sentinel と容易に統合できる TIP プラットフォーム、TAXII フィード、エンリッチメントを確認する。
- Microsoft Azure Sentinel エクスペリエンス全体で脅威インジケーターを操作する。
- Microsoft Azure Sentinel で組み込みまたはカスタムの分析ルールを使用して脅威を検出する
- Microsoft Azure Sentinel を使用してインシデントを調査する。