Microsoft Sentinel の脅威インテリジェンスについて
Microsoft Sentinel は、さまざまなソースから脅威インテリジェンスを取り込み、キュレーションして、管理できる、クラウドネイティブのセキュリティ情報イベント管理 (SIEM) ソリューションです。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
脅威インテリジェンスの概要
サイバー脅威インテリジェンス (CTI) とは、システムとユーザーに対する既存または潜在的な脅威について説明する情報を指します。 このインテリジェンスにはさまざまな形式があります。たとえば、特定の脅威アクターの動機、インフラストラクチャ、手法を詳細に記載した書面によるレポートなどです。 また、IP アドレス、ドメイン、ファイル ハッシュ、既知のサイバー脅威に関連付けられたその他の成果物の具体的な観察の場合もあります。
組織は CTI を使用して、通常とは異なるアクティビティに対して重要なコンテキストを提供します。こうすることで、セキュリティ担当者は、ユーザー、情報、資産を保護する措置を迅速に講じることができます。 CTI は、次のようなさまざまな場所から取得できます。
- オープンソースのデータ フィード
- 脅威インテリジェンス共有コミュニティ
- 市販のインテリジェンス フィード
- 組織内のセキュリティ調査の過程で収集されたローカル インテリジェンス
Microsoft Sentinel などの SIEM ソリューションで最も一般的な形式の CTI は脅威インジケーターです (侵害インジケーター (IoC) または攻撃インジケーターとも呼ばれます)。 脅威インジケーターは、URL、ファイル ハッシュ、IP アドレスなどの観測された成果物を、フィッシング、ボットネット、マルウェアなどの既知の脅威アクティビティに関連付けるデータです。 この形式の脅威インテリジェンスは、多くの場合、"戦術的脅威インテリジェンス" と呼ばれます。 これは、組織に対する潜在的な脅威を検出し、それらから保護するために、セキュリティ製品と自動化に大規模に適用されます。
脅威インテリジェンスのもう 1 つの側面は、脅威アクター、その手法、戦術と手順 (TCP)、インフラストラクチャ、および被害者の ID を表します。 Microsoft Sentinel では IOC と共にこれらの側面の管理がサポートされ、脅威情報構造化記述形式 (STIX) と呼ばれる CTI を交換するためのオープンソース標準を使って表されます。 STIX オブジェクトとして脅威インテリジェンスを表現すると、相互運用性が向上し、組織はより効率的に追求できるようになります。 Microsoft Sentinel の脅威インテリジェンス STIX オブジェクトを使って、環境で観察された悪意のあるアクティビティを検出し、対応の決定を通知するための攻撃の完全なコンテキストを提供します。
次の表は、Microsoft Sentinel で脅威インテリジェンス (TI) 統合を最大限に活用するために必要なアクティビティの概要です。
| アクション | 説明 |
|---|---|
| Microsoft Sentinel のワークスペースに脅威インテリジェンスを格納する |
|
| 脅威インテリジェンスを管理する |
|
| 脅威インテリジェンスを使用する |
|
脅威インテリジェンスは、Microsoft Sentinel の他のエクスペリエンス (ノートブックなど) 内で役に立つコンテキストも提供します。 詳しくは、ノートブックと MSTICPy の概要に関する記事をご覧ください。
Note
米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。
脅威インテリジェンスのインポートと接続
ほとんどの脅威インテリジェンスは、データ コネクタまたは API を使用してインポートされます。 ノイズを減らし、インテリジェンス フィードが最適化されるようにインジェスト ルールを構成します。 Microsoft Sentinel で使用できるソリューションを次に示します。
- Microsoft の脅威インテリジェンスを取り込むための Microsoft Defender 脅威インテリジェンス データ コネクタ
- 業界標準の STIX/TAXII フィードのための脅威インテリジェンス - TAXII データ コネクタ
- 接続に REST API を使用する、統合されてキュレーションされた TI フィード用の脅威インテリジェンス アップロード API (データ コネクタは必要ありません)
- 脅威インテリジェンス プラットフォーム データ コネクタも従来の REST API を使って TI フィードを接続しますが、非推奨となる予定です
これらのソリューションを、組織の脅威インテリジェンスの取得元に応じて、任意に組み合わせて使います。 これらのデータ コネクタはすべて、脅威インテリジェンス ソリューションの一部としてコンテンツ ハブで入手できます。 このソリューションの詳細については、Azure Marketplace エントリ「Threat Intelligence」を参照してください。
Microsoft Sentinel で使用できる脅威インテリジェンスの統合のカタログも参照してください。
Defender 脅威インテリジェンス データ コネクタを使用して Microsoft Sentinel に脅威インテリジェンスを追加する
Defender 脅威インテリジェンス データ コネクタを使用して、Defender 脅威インテリジェンスによって生成されたパブリック、オープンソース、高忠実度の IOC を Microsoft Sentinel ワークスペースに取り込みます。 簡単なワンクリックのセットアップで、Standard および Premium の Defender 脅威インテリジェンス データ コネクタの脅威インテリジェンスを使用して、監視、アラート、追求を行います。
データ コネクタには、Standard と Premium の 2 つのバージョンがあります。 無料で使用できる Defender 脅威インテリジェンスの脅威分析ルールもあります。これには、Premium Defender 脅威インテリジェンス データ コネクタが提供する内容のサンプルが用意されています。 ただし、照合分析では、ルールに一致するインジケーターのみが環境に取り込まれます。
Premium Defender 脅威インテリジェンス データ コネクタは、Microsoft によって強化されたオープン ソース インテリジェンスと Microsoft のキュレーションされた IOC を取り込みます。 これらの Premium 機能により、より多くのデータ ソースに対する分析が可能になり、その脅威インテリジェンスの柔軟性と理解が向上します。 次に示す表は、Premium バージョンのライセンスを取得して有効にすると利用できるようになる機能です。
| Free | Premium |
|---|---|
| パブリック IOC | |
| オープンソース インテリジェンス (OSINT) | |
| Microsoft IOC | |
| Microsoft によってエンリッチされた OSINT |
詳細については、次の記事をご覧ください。
- Premium ライセンスを入手する方法を確認し、Standard と Premium バージョンのすべての違いを調べるには、「Defender 脅威インテリジェンスのライセンスを確認する」をご覧ください。
- 無料 Defender 脅威インテリジェンスのエクスペリエンスの詳細については、Microsoft Defender XDR 用 Defender 脅威インテリジェンスの無料エクスペリエンスの紹介に関する記事を参照してください。
- Defender 脅威インテリジェンスと Premium Defender 脅威インテリジェンス データ コネクタを有効にする方法については、Defender 脅威インテリジェンス データ コネクタを有効にする方法に関する記事を参照してください。
- 照合分析の詳細については、「照合分析を使用して脅威を検出する」を参照してください。
アップロード API を使用して Microsoft Sentinel に脅威インテリジェンスを追加する
多くの組織では、脅威インテリジェンス プラットフォーム (TIP) ソリューションを使って、さまざまなソースからの脅威インジケーター フィードを集約しています。 集約されたフィードから、データがキュレーションされて、ネットワーク デバイス、EDR/XDR ソリューション、SIEM (例: Microsoft Sentinel) などのセキュリティ ソリューションに適用されます。 アップロード API を使用すると、これらのソリューションを使用して脅威インテリジェンス STIX オブジェクトを Microsoft Sentinel にインポートできます。
新しいアップロード API はデータ コネクタを必要とせず、次の機能強化を提供します。
- 脅威インジケーター フィールドは、STIX 標準化形式に基づいています。
- Microsoft Entra アプリケーションには、Microsoft Sentinel 共同作成者ロールが必要です。
- API 要求エンドポイントのスコープはワークスペース レベルです。 必要な Microsoft Entra アプリケーション アクセス許可があれば、ワークスペース レベルでのきめ細かい割り当てを行うことができます。
詳細については、アップロード API を使用して脅威インテリジェンス プラットフォームに接続する方法に関する記事を参照してください
脅威インテリジェンス プラットフォーム データ コネクタを使用して Microsoft Sentinel に脅威インテリジェンスを追加する
Note
このデータ コネクタは非推奨になる予定です。
TIP またはカスタム ソリューションでは、アップロード API と同じように、脅威インテリジェンス プラットフォーム データ コネクタでも API を使って、脅威インテリジェンスを Microsoft Sentinel に送信できます。 ただし、このデータ コネクタはインジケーターのみに制限されており、非推奨になる予定です。 アップロード API が提供する最適化を活用することをお勧めします。
TIP データ コネクタでは、他の STIX オブジェクトをサポートしていない Microsoft Graph Security tiIndicators API を使います。 tiIndicators API と通信する任意のカスタム TIP と共に使用して、インジケーターを Microsoft Sentinel (と Defender XDR などのその他の Microsoft セキュリティ ソリューション) に送信します。
Microsoft Azure Sentinel と統合された TIP ソリューションの詳細については、「統合された脅威インテリジェンス プラットフォーム製品」を参照してください。 詳細については、「脅威インテリジェンス プラットフォームを Azure Sentinel に接続する」を参照してください。
脅威インテリジェンス - TAXII データ コネクタを使用して Microsoft Sentinel に脅威インテリジェンスを追加する
脅威インテリジェンスの送信に最も広く採用されている業界標準は、STIX データ形式と TAXII プロトコルの組み合わせです。 組織が現在の STIX/TAXII バージョン (2.0 または 2.1) をサポートするソリューションから脅威インテリジェンスを取得している場合は、脅威インテリジェンス - TAXII データ コネクタを使って、脅威インテリジェンスを Microsoft Sentinel に取り込みます。 脅威インテリジェンス - TAXII データ コネクタを使用すると、Microsoft Azure Sentinel に組み込みの TAXII クライアントで、TAXII 2.x サーバーから脅威インテリジェンスをインポートできます。
TAXII サーバーから Microsoft Sentinel に STIX 形式の脅威インテリジェンスをインポートするには:
- TAXII サーバー API ルートとコレクション ID を取得します。
- Microsoft Sentinel で脅威インテリジェンス - TAXII データ コネクタを有効にします。
詳細については、「Microsoft Azure Sentinel を STIX/TAXII 脅威インテリジェンス フィードに接続する」を参照してください。
脅威インテリジェンスを作成して管理する
Microsoft Sentinel を利用する脅威インテリジェンスは、Microsoft の統合 SecOps プラットフォームで Microsoft Defender 脅威インテリジェンス (MDTI) や脅威分析と共に管理されます。
Note
Azure portal の脅威インテリジェンスには、これまでと同じように、[Microsoft Sentinel]>[脅威の管理]>[脅威インテリジェンス] からアクセスします。
脅威インテリジェンスの最も一般的な 2 つのタスクは、セキュリティ調査に関連する新しい脅威インテリジェンスの作成と、タグの追加です。 管理インターフェイスを使うと、いくつかの重要な機能を備えた個々の脅威インテリジェンスをキュレーションする手動プロセスが効率化されます。
- 受信ソースからの脅威インテリジェンスを最適化するように、インジェスト ルールを構成します。
- 新しい STIX オブジェクトを作成するときにリレーションシップを定義します。
- リレーションシップ ビルダーを使用して既存の TI をキュレーションします。
- 複製機能を使って、新規または既存の TI オブジェクトから共通するメタデータをコピーします。
- 複数選択を使用して、自由形式のタグをオブジェクトに追加します。
Microsoft Sentinel では、次の STIX オブジェクトを使用できます。 
| STIX オブジェクト | 説明 |
|---|---|
| 脅威アクター | 迷惑ないたずら者から国民国家まで、脅威アクター オブジェクトは動機、複雑さ、リソースのレベルを示します。 |
| 攻撃パターン | 手法、戦術、手順とも呼ばれる攻撃パターンは、攻撃の特定のコンポーネントと、それが使われている MITRE ATT&CK ステージを示します。 |
| インジケーター |
Domain name、URL、IPv4 address、IPv6 address、File hashesX509 certificates は、インターネット経由のセキュリティ保護された通信のため、デバイスとサーバーの ID の認証に使われます。
JA3 フィンガープリントは、TLS/SSL ハンドシェイク プロセスから生成される一意の識別子です。 それは、ネットワーク トラフィックで使われる特定のアプリケーションとツールを識別するのに役立ち、悪意のあるアクティビティの検出を容易にします JA3S フィンガープリントは、フィンガープリント プロセスにサーバー固有の特性も含めることで、JA3 の機能を拡張します。 この拡張機能は、ネットワーク トラフィックのより包括的なビューを提供し、クライアント側とサーバー側の両方の脅威を特定するのに役立ちます。
User agents は、ブラウザーやオペレーティング システムなど、サーバーに要求を行っているクライアント ソフトウェアに関する情報を提供します。 これらは、ネットワークにアクセスしているデバイスとアプリケーションを識別してプロファイリングするのに役立ちます。 |
| ID | 被害者、組織、その他のグループや個人と共に、それと最も密接に関連するビジネス部門を示します。 |
| リレーションシップ | 異種の信号とデータ ポイントの間を結び付けるのに役立つ、脅威インテリジェンスを接続しているスレッドが、リレーションシップで示されます。 |
インジェスト ルールを構成する
ワークスペースに配信される前にオブジェクトをフィルター処理して強化することで、脅威インテリジェンス フィードを最適化します。 インジェスト ルールによって属性が更新されるか、オブジェクトがまとめてフィルターで除外されます。 次の表に、いくつかのユース ケースを示します。
| インジェスト ルールのユース ケース | 説明 |
|---|---|
| ノイズを軽減する | 6 か月間更新されていない、信頼度が低い古い脅威インテリジェンスをフィルターで除外します。 |
| 有効期間を延長する |
Valid until を 30 日間延長することで、信頼できるソースから高忠実度の IOC を昇格します。 |
| 以前のことを覚えておく | 新しい脅威アクターの分類は素晴らしいですが、アナリストの中には、必ず以前の名前にタグを付けたいと考えている人もいます。 |
インジェスト ルールを使用するための次のヒントに留意してください。
- すべてのルールは順番に適用されます。 取り込まれる脅威インテリジェンス オブジェクトは、
Deleteアクションが実行されるまで、各ルールによって処理されます。 オブジェクトに対してアクションが実行されない場合は、ソースからそのまま取り込まれます。 -
Deleteアクションは、脅威インテリジェンス オブジェクトの取り込みがスキップされることを意味します。つまり、パイプラインから削除されます。 既に取り込まれている以前のバージョンのオブジェクトは影響を受けません。 - 新規ルールおよび編集されたルールが有効になるまでに最大 15 分かかります。
詳細については、脅威インテリジェンスのインジェスト ルールの使用に関するページを参照してください。
リレーションシップを作成する
リレーションシップ ビルダーを使ってオブジェクト間の接続を確立して、脅威の検出と対応を強化します。 次の表に、そのユース ケースの一部を示します。
| リレーションシップのユース ケース | 説明 |
|---|---|
| 脅威アクターを攻撃パターンに結び付ける | 脅威アクター APT29 は攻撃パターン Phishing via Email を "使用" して初期アクセスを取得します。 |
| インジケーターを脅威アクターにリンクする | ドメイン インジケーター allyourbase.contoso.com は、脅威アクター APT29 に "起因" します。 |
| ID (被害者) を攻撃パターンに関連付ける | 攻撃パターン Phishing via Email の "ターゲット" は FourthCoffee 組織です。 |
次の図は、リレーションシップ ビルダーがこれらのユース ケースすべてをどのように結び付けるかを示したものです。
脅威インテリジェンスをキュレーションする
Traffic Light Protocol (TLP) と呼ばれる秘密度レベルを指定して、適切な対象ユーザーと共有できる TI オブジェクトを構成します。
| TLP の色 | 機密度 |
|---|---|
| 白 | どのような制限もなしに、情報を自由かつパブリックに共有できます。 |
| 緑 | 情報はコミュニティ内の同僚やパートナー組織と共有できますが、パブリックにはできません。 これは、コミュニティ内のより広い対象ユーザーを対象としています。 |
| Amber | 情報は組織のメンバーと共有できますが、パブリックにはできません。 機密情報を保護するために組織内で使うことを目的としています。 |
| 赤 | 情報は機密性が高く、それが最初に開示された特定のグループや会議の外部で共有されないようにする必要があります。 |
脅威インテリジェンスにタグを付けると、オブジェクトを簡単にグループ化して、見つけやすくすることができます。 通常は、特定のインシデントに関連するタグを適用できます。 ただし、オブジェクトが、特定の既知のアクターまたはよく知られている攻撃キャンペーンからの脅威を表す場合は、タグではなくリレーションシップを作成することを検討してください。 対象となる脅威インテリジェンスを検索してフィルター処理した後、それらに個別にタグを付けるか、複数選択して一度にすべてにタグを付けます。 タグ付けは自由形式であるため、脅威インテリジェンス タグの標準的な名前付け規則を作成することをお勧めします。
詳しくは、Microsoft Sentinel での脅威インテリジェンスの操作に関する記事をご覧ください。
脅威インテリジェンスを表示する
管理インターフェイスから脅威インテリジェンスを表示します。 Log Analytics のクエリを記述することなく、高度な検索を使って脅威インテリジェンス オブジェクトの並べ替えとフィルター処理を行います。
Microsoft Sentinel 対応の Log Analytics ワークスペースに格納されているインジケーターを表示します。
Microsoft Sentinel スキーマの下にある ThreatIntelligenceIndicator テーブルに、すべての Microsoft Sentinel 脅威インジケーターが格納されます。 このテーブルは、分析、ハンティング クエリ、ブックなど、Microsoft Sentinel の他の機能によって実行される脅威インテリジェンス クエリの基礎となります。
重要
新しい STIX オブジェクト スキーマをサポートするテーブルは、プライベート プレビュー段階です。 クエリで STIX オブジェクトを表示し、それらを使うハンティング モデルを使用できるようにするには、このフォームでオプトインを要求してください。 このオプトイン プロセスにより、現在のテーブル ThreatIntelligenceIndicator と共に、またはその代わりに、新しいテーブル ThreatIntelIndicator と ThreatIntelObjects に脅威インテリジェンスを取り込みます。
現在のテーブルを使用する脅威インジケーターについてのみの、基本的なクエリのビューの例を次に示します。
![ThreatIntelligenceIndicator テーブルのサンプル クエリを含む [ログ] ページを示すスクリーンショット。](media/understand-threat-intelligence/logs-page-ti-table.png#lightbox)
脅威インテリジェンス インジケーターは、Log Analytics ワークスペースの ThreatIntelligenceIndicator テーブルに読み取り専用として取り込まれます。 インジケーターが更新されるたびに、ThreatIntelligenceIndicator テーブルに新しいエントリが作成されます。 管理インターフェイスには、最新のインジケーターのみが表示されます。 Microsoft Sentinel を使用して、IndicatorId と SourceSystem のプロパティに基づいてインジケーターの重複を排除し、最新の TimeGenerated[UTC] を使用するインジケーターを選択できます。
IndicatorId プロパティは、STIX インジケーター ID を使って生成されます。 インジケーターが STIX 以外のソースからインポートまたは作成されると、インジケーターのソースとパターンから IndicatorId が生成されます。
詳しくは、Microsoft Sentinel での脅威インテリジェンスの操作に関する記事をご覧ください。
位置情報と WhoIs データのエンリッチメントを表示する (パブリック プレビュー)
Microsoft は、追加の GeoLocation および WhoIs データを使用して IP およびドメイン インジケーターをエンリッチし、選択した IOC が見つかった調査に関するコンテキストをさらに提供します。
Microsoft Sentinel にインポートされたこれらの種類の脅威インジケーターについては、[脅威インテリジェンス] ペインの GeoLocation と WhoIs のデータを確認します。
たとえば、IP インジケーターに関する組織または国や地域などの情報を検索するには、GeoLocation データを使います。
WhoIs データを使用して、レジストラーなどのデータを検索し、ドメイン インジケーターから作成データを記録します。
脅威インジケーター分析を使用して脅威を検出する
Microsoft Azure Sentinel のような SIEM ソリューションでの脅威インテリジェンスの最も重要なユース ケースは、脅威検出のための分析ルールの強化です。 このようなインジケーターベースのルールでは、データ ソースで発生した未加工のイベントが脅威インジケーターと比較され、組織内のセキュリティ上の脅威が検出されます。 Microsoft Sentinel の分析で、スケジュールに従って実行されてセキュリティ アラートを生成する、クエリを利用した分析ルールを作成します。 これらと構成によって、ルールの実行頻度、セキュリティ アラートとインシデントを生成するクエリ結果の種類、場合によっては、自動応答をトリガーするタイミングが決まります。
新しい分析ルールをゼロから作成することもできますが、Microsoft Sentinel には、脅威インジケーターを活用できるように Microsoft セキュリティ エンジニアが作成した組み込みのルール テンプレートのセットが用意されています。 これらのルール テンプレートは、脅威インジケーター (ドメイン、メール アドレス、ファイル ハッシュ、IP アドレス、または URL) と照合するデータ ソース イベントの種類に基づいています。 各テンプレートには、ルールが機能するために必要なソースが列挙されています。 この情報があるので、必要なイベントが既に Microsoft Sentinel にインポートされているかどうかを簡単に判断できます。
既定では、これらの組み込みルールがトリガーされると、アラートが作成されます。 Microsoft Sentinel では、分析ルールから生成されたアラートによってセキュリティ インシデントも生成されます。 Microsoft Sentinel のナビゲーション メニューから、[脅威の管理] の下にある [インシデント] を選択します。 インシデントは、セキュリティ オペレーション チームが、適切な応答アクションを判断するためにトリアージして調査する対象です。 詳細については、Microsoft Sentinel でインシデントを調査する方法に関するページを参照してください。
分析ルールで脅威インジケーターを使用する方法の詳細については、脅威インテリジェンスを使用して脅威を検出する方法に関する記事を参照してください。
Microsoft は、Microsoft Defender 脅威インテリジェンス分析ルールを通じて脅威インテリジェンスへのアクセスを提供しています。 忠実度の高いアラートとインシデントを生成するこのルールを利用する方法の詳細については、「照合分析を使用して脅威を検出する」を参照してください。
ブックによって脅威インテリジェンスに関する分析情報を提供する
ブックには、Microsoft Azure Sentinel のあらゆる側面に関する分析情報を提供する、強力な対話型ダッシュボードが用意されており、脅威インテリジェンスも例外ではありません。 組み込みの脅威インテリジェンス ブックを使用して、脅威インテリジェンスに関する重要な情報を視覚化します。 ビジネス ニーズに従ってブックをカスタマイズします。 多くのデータ ソースを組み合わせて新しいダッシュボードを作成し、独自の方法でデータを視覚化できます。
Microsoft Sentinel ブックは Azure Monitor ブックに基づいているため、現在でも豊富なドキュメントと数多くのテンプレートを使用できます。 詳細については、「Azure Monitor ブックを使用した対話型レポートの作成」を参照してください。
また、GitHub 上に Azure Monitor ブックの充実したリソースがあり、他のテンプレートをダウンロードしたり、自分のテンプレートを投稿したりすることができます。
脅威インテリジェンス ブックの使用とカスタマイズについて詳しくは、「ブックを使用して脅威インテリジェンスを視覚化する」をご覧ください。
関連するコンテンツ
この記事では、Microsoft Sentinel によって強化される脅威インテリジェンスの機能について説明しました。 詳細については、次の記事をご覧ください。