Microsoft Sentinel を使用した Azure Arc 対応サーバーの脅威インテリジェンス
Tailwind Traders 社の SOC (セキュリティ オペレーション センター) アナリストは、さまざまな SIEM および SOAR ソリューションを使用して自社の環境を評価することに苦労しています。 このユニットでは、Azure Arc 対応サーバーが Microsoft Sentinel、SIEM、SOAR ソリューションと連携してハイブリッドとマルチクラウド環境に対応するしくみについて学びます。
Microsoft Sentinel の概要
Microsoft Sentinel は、スケーラブルでクラウドネイティブのセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Microsoft Sentinel は、企業全体にわたって脅威インテリジェンスを提供し、攻撃の検出、積極的なハンティング、脅威への対応について単一のソリューションを提供します。
Microsoft Sentinel を使用すると、ますます巧妙化する攻撃、増加するアラート、解決までに長い期間がかかることに伴うストレスを軽減し、企業全体を俯瞰的に見ることができます。
- クラウドの規模でデータを収集します。オンプレミスと複数のクラウド内の両方ですべてのユーザー、デバイス、アプリケーション、インフラストラクチャにわたって収集します。
- 過去に検出されなかった脅威を検出します。また、擬陽性を最小限に抑えます。これには Microsoft の分析と他に類を見ない脅威インテリジェンスを使用します。
- 人工知能を使用して脅威を調査します。Microsoft の長年にわたるサイバー セキュリティ業務を活用しながら、疑わしいアクティビティを大規模に追及します。
- インシデントに迅速に対応します。一般的なタスクの組み込みのオーケストレーションとオートメーションを使用します。
データに接続
Microsoft Sentinel をオンボードするには、まずセキュリティ ソースに接続する必要があります。
Microsoft Sentinel には、すぐに使用できる Microsoft ソリューション用コネクタが多数用意されており、リアルタイムの統合を実現できます。 Microsoft Sentinel の既定値のまま使用できるコネクタには、Microsoft 365 ソース、Microsoft Entra ID、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps などがあります。 さらに、Microsoft 以外のソリューション用のより広範なセキュリティ エコシステムへの組み込みコネクタがあります。
Azure Arc 対応サーバーの関連データ コネクタには、レガシ エージェントを介したセキュリティ イベント、AMA を介したイベント Windows セキュリティ、または Syslog が含まれる場合があります。
ブックと分析
Microsoft Sentinel にデータ ソースを接続したら、Microsoft Sentinel と Azure Monitor ブックの統合を使用してデータを監視できます。これにより、多用途のカスタム ブックを作成できます。 Microsoft Sentinel には、データ ソースに接続するとすぐにデータ全体の分析情報をすばやく得ることができる、組み込みのブック テンプレートも付属しています。
調査する必要があるアラートの数を最小限に抑えるために、Microsoft Sentinel は分析を使用してアラートをインシデントに関連付けます。 インシデントは、関連するアラートのグループであり、まとめて対応できる潜在的脅威が作成され、これを調査し解決することができます。 組み込みの相関関係ルールをそのまま使用するか、独自のルールを作成する際の出発点として使用します。 Microsoft Sentinel には、ネットワークの動作をマップし、リソース全体の異常を探すための機械学習ルールも用意されています。
セキュリティのオートメーションとオーケストレーション
一般的なタスクを自動化できます。また、Azure サービスと既存のツールと統合するプレイブックを使って、セキュリティ オーケストレーションを簡単にすることができます。
Azure Logic Apps を使用すると、Microsoft Sentinel の自動化とオーケストレーション ソリューションが拡張可能で、スケーラブルな、最新のものになります。 Azure Logic Apps を使用してプレイブックを作成する際は、成長を続けている組み込みプレイブックのギャラリーから選択できます。 これらには、Azure Functions などのサービス用に 200 以上のコネクタが含まれます。 コネクタを使用すると、コード、ServiceNow、Jira、Zendesk、HTTP 要求、Microsoft Teams、Slack、Windows Defender ATP、および Defender for Cloud Apps に任意のカスタム ロジックを適用できます。
ハンティングとノートブック
MITRE フレームワークに基づく Microsoft Sentinel の強力なハンティング用検索およびクエリ ツールを使用して、アラートがトリガーされる前に、組織のデータ ソース全体でセキュリティの脅威を予防的に捜索することができます。 ハンティング クエリによって、攻撃に対する価値の高い分析情報が得られることを確認してから、クエリに基づいてカスタム検出ルールを作成し、セキュリティインシデント レスポンダーにアラートとしてその分析情報を提示することもできます。 捜索中に興味深いイベントのブックマークを作成し、後で戻って他のユーザーと共有し、他の関連イベントとグループ化して、説得力のある調査のインシデントを作成することができます。
Microsoft Sentinel は、機械学習、視覚化、およびデータ分析のための完全なライブラリを含む、Azure Machine Learning ワークスペースの Jupyter ノートブックをサポートしています。 Microsoft Sentinel でノートブックを使用して、Microsoft Sentinel データで実行できることのスコープを拡張することができます。 たとえば、いくつかの Python 機械学習機能など、Microsoft Sentinel に組み込まれていない分析を実行すること、カスタムのタイムラインやプロセス ツリーなど、Microsoft Sentinel に組み込まれていないデータの視覚化を作成すること、オンプレミスのデータ セットのように Microsoft Sentinel の外部にデータソースを統合することができます。