ゼロ トラスト用に Microsoft Sentinel と Microsoft Defender XDR を実装する
このソリューション ガイドでは、Microsoft Sentinel と連携して Microsoft 拡張検出と応答 (XDR) ツールを設定し、サイバー セキュリティ攻撃に対応して修復する組織の能力を高めるプロセスについて説明します。
Microsoft Defender XDR は、Microsoft 365 環境全体からシグナル、脅威、アラート データを自動的に収集、関連付け、分析する XDR ソリューションです。
Microsoft Sentinel は、セキュリティ情報イベント管理(SIEM)とセキュリティ オーケストレーション、自動化、応答(SOAR)機能を備えたクラウドネイティブなソリューションです。 Microsoft Sentinel と Microsoft Defender XDR を組み合わせることで、組織が最新の攻撃から防御するのに役立つ包括的なソリューションを提供します。
このガイダンスは、次の方法でゼロ トラストの原則をマッピングすることにより、ゼロ トラスト アーキテクチャを成熟させるために役立ちます。
| ゼロ トラストの原則 | 次によって適合されています |
|---|---|
| 明示的に検証する | Microsoft Sentinel は、環境全体からデータを収集し、脅威と異常を分析します。これにより、組織、および実装されたオートメーションが、使用可能なすべての検証済みデータ ポイントに基づいて動作できます。 Microsoft Defender XDR は、ユーザー、ID、デバイス、アプリ、および電子メール全体にわたって拡張された検出と対応を提供します。 Microsoft Defender XDR によってキャプチャされたリスクベースのシグナルを使用して、リスク レベルに基づくトラフィックのブロックや承認などのアクションが実行されるように、Microsoft Sentinel オートメーションを構成します。 |
| 最小限の特権アクセスを使用する | Microsoft Sentinel は、ユーザー/エンティティ行動分析 (UEBA) エンジンを使用して異常なアクティビティを検出します。 セキュリティ シナリオは時間の経過に伴って、多くの場合、非常に迅速に変化する可能性があるため、Microsoft Sentinel の脅威インテリジェンスは、Microsoft またはサード パーティのプロバイダーのデータもインポートして、新たに発生する新しい脅威を検出し、調査用の追加コンテキストを提供します。 Microsoft Defender XDR は Microsoft Entra ID Protection を搭載しており、ID のリスクレベルに基づいてユーザーをブロックできます。 さらなる分析とオートメーションのため、関連するデータを Microsoft Sentinel にフィードします。 |
| 侵害の想定 | Microsoft Defender XDR は、脅威と脆弱性について継続的に環境をスキャンします。 Microsoft Sentinel は、収集されたデータと各エンティティの行動傾向を分析し、企業全体の疑わしいアクティビティ、異常、マルチステージの脅威を検出します。 Microsoft Defender XDR と Microsoft Sentinel の両方が、自動調査、デバイスの分離、データ検査を含む自動修復タスクを実装できます。 デバイス リスクは、Microsoft Entra 条件付きアクセスにフィードするための信号として使用できます。 |
Microsoft Sentinel と XDR のアーキテクチャ
Microsoft Sentinel のお客様は、次のいずれかの方法を使用して、Microsoft Sentinel と Microsoft Defender XDR サービスを統合できます。
Microsoft Sentinel データ コネクタを使用して、Microsoft Defender XDR サービス データを Microsoft Sentinel に取り込む。 この場合、Azure portal で Microsoft Sentinel データを表示します。
Microsoft Sentinel と Microsoft Defender XDR を、Microsoft Defender ポータルの単一の統合セキュリティ オペレーション プラットフォームに統合する。 この場合は、Microsoft Sentinel データを、残りの Defender インシデント、アラート、脆弱性、およびその他のセキュリティ データと共に、Microsoft Defender ポータルで直接表示します。
このソリューション ガイドでは、両方の方法に対応した情報を提供します。 このソリューション ガイド全体でご自身のワークスペースに関連するタブを選択します。 統合セキュリティ オペレーション プラットフォームにワークスペースをオンボードした場合は、Defender ポータルで作業します。 ワークスペースをオンボードしていない場合は、特に指示がない限り、Azure portal で作業します。
次の図は、Microsoft の XDR ソリューションが、統合セキュリティ オペレーション プラットフォームを使用して、どのように Microsoft Sentinel とシームレスに統合されているかを示しています。
この図の内容は次のとおりです。
- 組織全体のシグナルからの分析情報は、Microsoft Defender XDR と Microsoft Defender for Cloud に送られます。
- Microsoft Sentinel はマルチクラウド環境のサポートを提供し、サードパーティのアプリやパートナーと統合されます。
- Microsoft Sentinel データは、組織のデータと共に Microsoft Defender ポータルに取り込まれます。
- その後、SecOps チームは、Microsoft Defender ポータルで Microsoft Sentinel と Microsoft Defender XDR によって特定された脅威を分析し、対応できます。
ゼロ トラスト用に Microsoft Sentinel と Microsoft Defender XDR の実装
Microsoft Defender XDR は、Microsoft Sentinel を補完する XDR ソリューションです。 XDR は、クラウド アプリケーション、電子メール セキュリティ、ID、アクセス管理など、複数のサービス間から生の利用統計情報をプルします。
その後、XDR は人工知能(AI)と機械学習を使用して、自動分析、調査、応答をリアルタイムで実行します。 また、XDR ソリューションはセキュリティ アラートを大規模なインシデントに関連付け、セキュリティ チームに攻撃の可視性を高め、インシデントの優先度付けを実行し、アナリストが脅威のリスク レベルを理解できるようにします。
Microsoft Sentinel を使用すると、ビルトインコネクタと業界基準を使用して多くのセキュリティ ソースに接続できます。 この AI を使用すると、複数のソースにまたがる低忠実度の複数の信号を関連付けし、ランサムウェアの中止チェーンと優先度付けされたアラートの完全なビューを作成できます。
SIEM および XDR 機能の適用
このセクションでは、フィッシング攻撃を含む一般的な攻撃シナリオについて説明し、Microsoft Sentinel と Microsoft Defender XDR を使用してインシデントに応答する方法について説明します。
一般的な攻撃順序
次の図では、フィッシングシナリオの一般的な攻撃順序が示されています。
また、この図は、各攻撃ステップを検出するために配置されている Microsoft セキュリティ製品と、攻撃シグナルと SIEM データが Microsoft Defender XDR と Microsoft Sentinel にどのように流れるかも示されています。
攻撃の概要を次に示します。
| 攻撃ステップ | 検出サービスと信号ソース | 防御の実施 |
|---|---|---|
| 1. 攻撃者がフィッシングメールを送信する | Microsoft Defender for Office 365 | 悪意のある偽装ベースのフィッシング攻撃から保護できる高度なフィッシング対策機能を使用してメールボックスを保護します。 |
| 2. ユーザーが添付ファイルを開く | Microsoft Defender for Office 365 | Microsoft Defender for Office 365 の安全な添付ファイル機能は、分離された環境で添付ファイルを開いて、追加の脅威スキャン (デトネーション) を行います。 |
| 3. 添付ファイルがマルウェアをインストールする | Microsoft Defender for Endpoint | クラウドによる保護や動作ベース/ヒューリスティック/リアルタイムのウイルス対策保護など、次世代の保護機能を使用してエンドポイントをマルウェアから保護します。 |
| 4. マルウェアがユーザー資格情報を盗む | Microsoft Entra ID とMicrosoft Entra ID 保護 | ユーザー動作とアクティビティの監視、横移動の検出、異常なアクティビティに対するアラートによって ID を保護します。 |
| 5. 攻撃者が Microsoft 365 Apps とデータ間を横方向に移動する | Microsoft Defender for Cloud Apps | クラウド アプリにアクセスするユーザーの異常なアクティビティを検出できます。 |
| 6. 攻撃者が SharePoint フォルダから機密ファイルをダウンロードする | Microsoft Defender for Cloud Apps | SharePoint からファイルの大量なダウンロード イベントを検出して対応できます。 |
Microsoft Sentinel ワークスペースを統合セキュリティ オペレーション プラットフォームにオンボードした場合、SIEM データは、Microsoft Defender ポータル内で直接、Microsoft Sentinel と共に使用できます。
Microsoft Sentinel と Microsoft Defender XDR を使用したインシデント対応
一般的な攻撃がどのように行われるかを見てきました。次は、インシデント応答のための Microsoft Sentinel と Microsoft Defender XDR の統合の活用について確認しましょう。
ワークスペースを統合セキュリティ オペレーション プラットフォームにオンボードしたかどうかに応じて、ご自身のワークスペースに関連するタブを選択します。
ワークスペースを統合セキュリティ オペレーション プラットフォームにオンボードすることで、Microsoft Sentinel と Microsoft Defender XDR を統合した後、他の Microsoft Defender XDR インシデントの場合と同じように、すべてのインシデント応答手順を Microsoft Defender ポータルで直接実行します。 サポートされる手順には、トリアージから調査および解決まで、あらゆるものが含まれます。
Defender ポータルだけで使用できない機能については、Microsoft Defender ポータルの Microsoft Sentinel 領域を使用します。
詳細については、「Microsoft Sentinel と Microsoft Defender XDR を使用してインシデントに対応する」を参照してください。
主な機能
インシデントの管理にゼロ トラスト アプローチを実装するには、Microsoft Sentinel と XDR のこれらの機能を使用してください。
| 機能または特徴 | 説明 | Product |
|---|---|---|
| 自動調査と応答 (AIR) | AIR 機能は、アラートを調査し、侵害を解決するために直ちにアクションを実行するように設計されています。 AIR 機能により、アラートの量が大幅に削減されるため、セキュリティ運用はより高度な脅威やその他の価値の高いイニシアチブに集中できます。 | Microsoft Defender XDR |
| 高度な検出 | 高度なハンティングはクエリベースの脅威ハンティング ツールで、最大 30 日間分の生データを探索できます。 ネットワークのイベントを積極的に検査して脅威インジケーターとエンティティを検索することができます。 データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方を無制限にハンティングできます。 | Microsoft Defender XDR |
| カスタム ファイル インジケーター | 悪意の可能性があるファイルや疑わしいマルウェアを禁止することにより、組織内でさらなる攻撃の伝達を防ぎます。 | Microsoft Defender XDR |
| Cloud Discovery | Cloud Discovery は、Defender for Endpoint が収集したトラフィック ログを分析してクラウド アプリ カタログに対して特定されたアプリを評価し、コンプライアンスとセキュリティ情報を提供します。 | Microsoft Defender for Cloud Apps |
| カスタム ネットワーク インジケーター | IP と URL、またはドメインのインジケーターを作成すると、独自の脅威インテリジェンスに基づいて、IP、URL、またはドメインを許可またはブロックできるようになります。 | Microsoft Defender XDR |
| エンドポイントでの検出と対応(EDR)ブロック | Microsoft Defender ウイルス対策 (MDAV) が主要なウイルス対策製品ではなく、パッシブ モードで実行されているとき、悪意のあるアーティファクトからの保護を強化します。 ブロック モードの EDR は水面下で処理し、EDR 機能で検出された悪意のあるアーティファクトを修復します。 | Microsoft Defender XDR |
| デバイス応答機能 | デバイスを分離するか、調査パッケージを収集して、検出された攻撃に迅速に対応します | Microsoft Defender XDR |
| ライブ応答 | ライブ応答により、セキュリティ運用チームは、リモート シェル接続を使用して、デバイス (マシンとも呼ばれます) にすぐにアクセスできます。 これにより、詳細な調査作業を行い、迅速な対応アクションを実行して、特定された脅威をリアルタイムで迅速に封じ込めることができます。 | Microsoft Defender XDR |
| 安全なクラウド アプリケーション | マルチクラウド環境と複数パイプライン環境全体でコード レベルでセキュリティ管理を統合する開発セキュリティ運用 (DevSecOps) ソリューション。 | Microsoft Defender for Cloud |
| セキュリティ体制を向上させる | 侵害を防ぐために実行できるアクションを示すクラウド セキュリティ態勢管理 (CSPM) ソリューション。 | Microsoft Defender for Cloud |
| クラウド ワークロードの保護 | サーバー、コンテナー、ストレージ、データベース、およびその他のワークロードに固有の保護を備えたクラウド ワークロード保護プラットフォーム (CWPP)。 | Microsoft Defender for Cloud |
| ユーザー/エンティティ行動分析(UEBA) | ユーザー、ホスト、IP アドレス、アプリケーションなどの組織エンティティの行動を分析します) | Microsoft Sentinel オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| Fusion | スケーラブルな機械学習アルゴリズムに基づく相関エンジンです。 中止チェーンの各段階で観察される異常な行動と疑わしいアクティビティの組み合わせを特定することにより、高度な永続的脅威(APT)とも知られているマルチステージ攻撃を自動的に検出します。 | Microsoft Sentinel オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| 脅威インテリジェンス | マイクロソフトのサードパーティ プロバイダーを使用し、データを強化して環境内のアクティビティ、アラート、ログに関する追加情報を提供します。 | Microsoft Sentinel オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| Automation | オートメーション ルールは、さまざまなシナリオに適用できる小さなルール セットを定義して調整できるようにすることで、Microsoft Sentinel によるオートメーションを一元的に管理する方法です。 | Microsoft Sentinel オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| 異常ルール | 異常ルール テンプレートでは、機械学習を使用して、特定の種類の異常な行動を検出します。 | Microsoft Sentinel オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| スケジュール済クエリ | Sentinel によって収集されたログを検索して疑わしいアクティビティ チェーンや既知の脅威を検索するビルトイン ルールは、Microsoft セキュリティ エキスパートによって作成されました。 | Microsoft Sentinel オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| 準リアルタイム(NRT)ルール | NRT ルールは、1分ごとに実行するように設計された、限られたスケジュールされたルールのセットであり、可能な限り最新の情報を提供するために用意されています。 | Microsoft Sentinel オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| ハンティング | セキュリティ アプリやスケジュールされた分析ルールで検出されなかった新しい異常をセキュリティ アナリストが事前に探すときに役立つように、Microsoft Sentinel には検出クエリが組み込まれており、これを通じて、ネットワーク上で既に保有しているデータ内の問題を見つけるために適切な質問を行うことができます。 | Microsoft Sentinel オンボードされたワークスペースの場合は、Microsoft Defender ポータルの高度な追求機能を使用します。 |
| Microsoft Defender XDR コネクタ | Microsoft Defender XDR コネクタは、ログとインシデントを Microsoft Sentinel に同期させます。 | Microsoft Defender XDR と Microsoft Sentinel > オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| データ コネクタ | Microsoft Sentinel で分析用のデータの取り込みを許可します。 | Microsoft Sentinel オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| コンテンツ ハブ ソリューション - ゼロ トラスト(TIC 3.0) | ゼロ トラスト(TIC 3.0)にはブック、分析ルール、プレイブックが含まれており、信頼できるインターネット接続フレームワークに橋渡しされたゼロ トラスト原則の自動化された視覚化を提供し、組織同士で経時的に構成を監視できるようにします。 | Microsoft Sentinel オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| セキュリティ オーケストレーション、オートメーション、応答 (SOAR) | セキュリティ上の脅威に対応するオートメーション ルールとプレイブックを使用することで、SOC の有効性が向上し、時間とリソースを節約できます。 | Microsoft Sentinel オンボードされたワークスペースの場合は、統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel |
| SOC の最適化 | 特定の脅威に対するカバレッジ ギャップを埋め、セキュリティ値を提供しないデータに対するインジェスト率を強化します。 |
このソリューションの内容
このソリューションは、セキュリティ オペレーション チームがゼロ トラスト アプローチを使用してインシデントを効果的に修復できるため、Microsoft Sentinel と XDR の実装手順を説明します。
推奨されるトレーニング
トレーニング コンテンツは現在、統合セキュリティ オペレーション プラットフォームには対応していません。
| トレーニング | Microsoft Defender XDR を Microsoft Sentinel に接続する |
|---|---|
|
Microsoft Defender XDR 用の Microsoft Sentinel コネクタによって提供される構成オプションとデータについて学習します。 |
次のステップ
ゼロ トラスト アプローチに Microsoft Sentinel と XDR を実装するには、次の手順に従います。
また、Azure にゼロ トラストの原則を適用する場合は、次の記事を参照してください。