Microsoft Sentinel での高度なマルチステージ攻撃の検出
重要
一部の Fusion 検出 (以下でそのように示されているものを参照) は、現在プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Sentinel は、Microsoft Defender XDR または E5 のライセンスがなくても Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
Note
米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。
Microsoft Sentinel では、スケーラブルな機械学習アルゴリズムに基づく関連付けエンジンである Fusion を使用して、キル チェーンのさまざまな段階で観察される異常な動作と疑わしいアクティビティの組み合わせを特定することによって、マルチステージ攻撃 (持続的標的型攻撃または APT とも呼ばれる) を自動的に検出します。 これらの検出を基に、Microsoft Sentinel では、Microsoft Sentinel 以外では検出が困難であろうインシデントが生成されます。 このインシデントは、2 つ以上のアラートまたはアクティビティで構成されています。 設計上、このようなインシデントでは、ボリュームが低、忠実度が高、重大度が高になります。
この検出テクノロジはご利用の環境によってカスタマイズされるため、誤検知率を減らすだけでなく、情報が制限されているか、不足している攻撃も検出できます。
Fusion では、高度なマルチステージ攻撃を検出するためにさまざまな製品からの複数の信号を関連付けるため、成功した Fusion 検出は、Microsoft Sentinel の [インシデント] ページにアラートとしてではなく Fusion インシデントとして表示され、[ログ] では SecurityAlert テーブルではなく SecurityIncident テーブルに格納されます。
Fusion を構成する
Fusion は、高度なマルチステージ攻撃の検出と呼ばれる分析ルールとして、Microsoft Sentinel で既定で有効になります。 ルールの状態を表示および変更したり、Fusion ML モデルに含めるソース シグナルを構成したり、Fusion 検出から環境に適用できない特定の検出パターンを除外したりすることができます。 Fusion ルールの構成方法についての記事を参照してください。
注意
現在、Microsoft Sentinel では 30 日間の履歴データを使用して Fusion エンジンの機械学習アルゴリズムをトレーニングしています。 このデータは、機械学習パイプラインを通過するときに、Microsoft のキーを使用して常に暗号化されます。 ただし、Microsoft Sentinel ワークスペースで CMK を有効にした場合、トレーニング データはカスタマー マネージド キー (CMK) を使用して暗号化されません。 Fusion をオプトアウトするには、[Microsoft Sentinel]>[構成]>[分析] > [アクティブな規則] の順に移動し、[高度なマルチステージ攻撃の検出] 規則を右クリックし、[無効にする] を選択します。
Microsoft Defender ポータルにオンボードされている Microsoft Sentinel ワークスペースでは、Fusion は無効になっています。その機能は Microsoft Defender XDR 相関関係エンジンに取って代わられます。
新しい脅威用の Fusion
重要
- 現在、新しい脅威用の Fusion ベースの検出はプレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
セキュリティ イベントの量は増え続けており、攻撃の範囲や巧妙さがますます高まっています。 既知の攻撃シナリオは定義できますが、環境における新たな脅威と未知の脅威についてはどうでしょうか。
Microsoft Sentinel の ML を利用した Fusion エンジンを使用すると、拡張 ML 分析を適用してより広範な異常のシグナルを関連付けることにより、アラートによる負担を低く保ちながら、環境内で新たな未知の脅威を見つけるために役立ちます。
Fusion エンジンの ML アルゴリズムでは、既存の攻撃から継続的に学習し、セキュリティ アナリストの考えに基づいて分析が適用されます。 その結果、以前は検出されなかった脅威が、環境全体のキル チェーンで数百万の異常な動作から検出できるため、攻撃者の一歩先を行く状態を維持できます。
新しい脅威用の Fusion は、次のソースからのデータの収集と分析をサポートします。
- すぐに使える異常検出
- Microsoft 製品からのアラート:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- スケジュール化された分析ルールからのアラート。 Fusion によって使用されるためには、分析ルールにキル チェーン (戦術) とエンティティ マッピング情報が含まれている必要があります。
新しい脅威用の Fusion を機能させるために、上記の "すべて" のデータ ソースを接続している必要はありません。 ただし、接続されているデータ ソースが多くなるほど、範囲が広くなり、Fusion が検出する脅威はさらに増えます。
Fusion エンジンの関連付けによって、新たな脅威が検出されると、"Fusion によって検出される可能性のあるマルチステージ攻撃アクティビティ" という重大度の高いインシデントが Microsoft Sentinel ワークスペースの incidents テーブルに生成されます。
ランサムウェア用の Fusion
Microsoft Sentinel の Fusion エンジンでは、次のデータ ソースからさまざまな種類の複数のアラートを検出したときにインシデントを生成し、ランサムウェア アクティビティに関連している可能性があることを判断します。
- Microsoft Defender for Cloud
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity コネクタ
- Microsoft Defender for Cloud Apps
- Microsoft Sentinel のスケジュール化された分析ルール。 Fusion では、戦術とマップ済みエンティティを含むスケジュールされた分析ルールのみが考慮されます。
そのような Fusion インシデントは、Multiple alerts possibly related to Ransomware activity detected (ランサムウェア アクティビティに関連する可能性のある複数のアラートの検出) という名前が付けられ、関連するアラートが特定の期間内に検出され、攻撃の実行と防衛回避ステージに関連している場合に生成されます。
たとえば、Microsoft Sentinel では、特定の期間内に同じホストで次のアラートがトリガーされると、ランサムウェア アクティビティの可能性に関するインシデントを生成します。
アラート: | source | 重大度 |
---|---|---|
Windows エラーおよび警告イベント | Microsoft Sentinel のスケジュール化された分析ルール | informational |
'GandCrab' ランサムウェアが回避されました | Microsoft Defender for Cloud | 中 |
'Emotet' マルウェアが検出されました | Microsoft Defender for Endpoint | informational |
'Tofsee' のバックドアが検出されました | Microsoft Defender for Cloud | low |
'Parite' マルウェアが検出されました | Microsoft Defender for Endpoint | informational |
シナリオベースの Fusion の検出
次のセクションでは、Microsoft Sentinel によって Fusion 関連付けエンジンを使用して検出された、シナリオベースのマルチステージ攻撃の種類を脅威の分類別に示します。
これらの Fusion による攻撃の検出シナリオを有効にするには、これらに関連付けられたデータ ソースが Log Analytics ワークスペースに注入される必要があります。 各シナリオとそれに関連付けられているデータ ソースの詳細については、次の表のリンクを選択してください。
注意
これらのシナリオの一部はプレビュー段階です。 そのように明記されています。
次のステップ
Fusion の高度なマルチステージ攻撃の検出に関する次の詳細をご覧ください。
- Fusion のシナリオベースの攻撃検出の詳細についてご覧ください。
- Fusion ルールの構成方法に関する記事をご覧ください。
高度なマルチステージ攻撃の検出に関する詳細を学習したので、自分のデータや潜在的な脅威を視覚化する方法を学習することができる以下のクイックスタートにも関心を持たれるかもしれません。Microsoft Sentinel の使用を開始する。
作成されたインシデントを調査する準備ができたら、次のチュートリアルをご覧ください。Microsoft Sentinel を使用してインシデントを調査する。