Azure portal での Microsoft Sentinel インシデント調査
Microsoft Sentinel では、セキュリティ インシデントを調査および管理するための完全な機能を備えたケース管理プラットフォームが提供されます。 インシデントとは、個々の証拠 (アラート)、容疑者や利害関係者 (エンティティ)、セキュリティ専門家や AI または機械学習モデルによって収集およびキュレーションされた分析情報、調査の過程で実行されたすべてのアクションのコメントとログなど、セキュリティ脅威に関する完全で常に更新されている情報が時系列で含まれている Microsoft Sentinel のファイルの名称です。
Microsoft Sentinel のインシデント調査エクスペリエンスは、[インシデント] ページから始まります。これは、調査に必要なすべてのものを 1 か所で提供するように設計されたエクスペリエンスです。 このエクスペリエンスの主要な目標は、SOC の効率と有効性を向上し、平均解決時間 (MTTR) を短縮することです。
この記事では、Microsoft Sentinel のインシデント調査とケース管理の機能について説明し、役に立つすべての表示とツールを示しながら、一般的なインシデント調査のフェーズを見ていきます。
前提条件
インシデントを調査するには、Microsoft Sentinel レスポンダー ロールの割り当てが必要です。
詳細については、Microsoft Sentinel のロールに関する記事を参照してください。
インシデントを割り当てる必要があるゲスト ユーザーがいる場合は、そのユーザーに Microsoft Entra テナントのディレクトリ閲覧者ロールを割り当てる必要があります。 通常 (ゲスト以外) のユーザーには、このロールが既定で割り当てられます。
SOC の成熟度を高める
Microsoft Sentinel インシデントには、プロセスを標準化し、インシデント管理を監査してセキュリティ オペレーション (SecOps) の成熟度を向上するのに役立つツールが用意されています。
プロセスを標準化する
インシデント タスクは、アナリストが従うべきタスクのワークフロー リストです。これにより、一律の注意基準が確保され、重要な手順が見逃されるのを防ぐことができます。
SOC のマネージャーとエンジニアは、これらのタスク リストを開発し、必要に応じてさまざまなインシデント グループに、または全体にわたって、それらのリストを自動的に適用することができます。
SOC のアナリストは、各インシデント内の割り当てられたタスクにアクセスでき、タスクの完了時に、完了したことを示すマークを付けることができます。
また、アナリストは、自分自身へのリマインダーとして、またはインシデントで共同作業する可能性のある他のアナリストのベネフィットのために (たとえば、シフトの変更やエスカレーションによる)、オープン インシデントにタスクを手動で追加することもできます。
詳細については、「Azure portal でタスクを使用して Microsoft Sentinel のインシデントを管理する」を参照してください。
インシデント管理を監査する
インシデント アクティビティ ログは、インシデントに対して実行されたアクションを追跡します。これは、人によるものか自動プロセスによるものかに関係なく、インシデントに関するすべてのコメントとともに表示されます。
ここに独自のコメントを追加することもできます。 詳細については、「Azure portal で Microsoft Sentinel インシデントを詳細に調査する」を参照してください。
効果的かつ効率的に調査する
最初に、アナリストとして、答えたい最も基本的な質問は、なぜこのインシデントが自分の注意を引いているのか、ということです。 インシデントの詳細ページに入ると、その質問に答えることができます。画面の中央に、[インシデント タイムライン] ウィジェットが表示されます。
Microsoft Sentinel インシデントを使用すると、インシデントのタイムラインの使用、類似インシデントからの学習、上位分析情報の調査、エンティティの表示、ログの調査が可能になり、セキュリティ インシデントを効果的かつ効率的に調べることができます。
インシデントのタイムライン
インシデントのタイムラインは、すべてのアラートの日々の記録であり、ログに記録された、調査に関連するすべてのイベントを発生順に表したものです。 タイムラインには、ブックマーク (ハンティング中に収集され、インシデントに追加された証拠のスナップショット) も表示されます。
アラートとブックマークの一覧を検索するか、重大度、戦術、またはコンテンツの種類 (アラートまたはブックマーク) で一覧をフィルター処理すると、追求する必要がある項目を見つけやすくなります。 タイムラインの初期表示では、アラートかブックマークかに関係なく、各項目に関する重要な情報がすぐにわかります。
- アラートまたはブックマークが作成された日時。
- 項目の種類 (アラートまたはブックマーク)。アイコンと、アイコンにマウス ポインターを置いたときのヒントでわかります。
- アラートまたはブックマークの名前。項目の最初の行に太字で表示されます。
- アラートの重要度。左端にあるカラー バンドと、3 部構成であるアラートの "サブタイトル" の 1 つ目に単語形式で示されます。
- アラート プロバイダー。サブタイトルの 2 つ目の部分にあります。 ブックマークの場合は、ブックマークの作成者です。
- サブタイトルの 3 つ目の部分には、アイコンとヒントで示されたアラートに関連付けられた MITRE ATT&CK 戦術が表示されます。
詳細については、「攻撃ストーリーのタイムラインを再構築する」を参照してください。
類似インシデントの一覧
インシデントでこれまでに見たものに見覚えがある場合は、正当な理由がある可能性があります。 Microsoft Sentinel は、開いているインシデントに最も類似したインシデントを表示することで、一歩先を行くことができます。
[類似インシデント] ウィジェットには、最後に更新された日時、最後の所有者、最後の状態 (閉じている場合、閉じられた理由など) や類似の理由など、類似していると見なされるインシデントに関する最も関連性の高い情報が表示されます。
これにより、いくつかの方法で調査に役立ちます。
- 大規模な攻撃戦略の一部である可能性のある、同時に発生しているインシデントを特定します。
- 同様のインシデントを現在の調査の参照ポイントとして使用し、それらがどのように処理されたかを確認します。
- 過去の類似インシデントの所有者を特定し、知識のベネフィットを得ます。
たとえば、次のような他のインシデントが以前に発生したかどうか、または現在発生しているかどうかを確認することが必要になる場合があります。
- 同時に発生し、同じ大規模な攻撃戦略の一部である可能性があるインシデントを特定することが必要な場合があります。
- 過去の類似するインシデントを現在の調査の参照ポイントとして使用するために、場合により、それらのインシデントを特定する必要があります。
- 多くのコンテキストを提供できる SOC のユーザーを見つけるため、または調査をエスカレートできる先のユーザーを見つけるために、場合により、過去の類似インシデントの所有者を特定する必要があります。
ウィジェットには、最も類似した 20 件のインシデントが表示されます。 Microsoft Sentinel は、エンティティ、ソース分析ルール、アラートの詳細などの共通要素に基づいて、どのインシデントが類似しているかを判断します。 このウィジェットから、現在のインシデントへの接続をそのまま維持しながら、これらのインシデントの完全な詳細ページに直接ジャンプできます。
類似性は、次の条件に基づいて決定されます。
| 条件 | 説明 |
|---|---|
| エンティティの類似 | インシデントと別のインシデントの両方に同じエンティティが含まれている場合、そのインシデントは別のインシデントと類似していると見なされます。 2 つのインシデントに共通して含まれているエンティティが多いほど、それらの類似性が高いと見なされます。 |
| 規則の類似 | インシデントと別のインシデントの両方が同じ分析ルールによって作成された場合、そのインシデントは別のインシデントと類似していると見なされます。 |
| アラートの詳細の類似 | インシデントと別のインシデントが同じタイトル、製品名、カスタム詳細 (surface-custom-details-in-alerts.md) のいずれかまたはすべてを共有する場合、そのインシデントは別のインシデントと類似していると見なされます。 |
インシデントの類似性は、14 日前からインシデントの最後のアクティビティまで、つまりインシデントの最新アラートの終了時刻までのデータに基づいて計算されます。 インシデントの類似性は、インシデントの [詳細] ページにアクセスするたびに再計算されます。そのため、新しいインシデントが作成または更新された場合、結果がセッション間で異なることがあります。
詳細については、「環境内の類似インシデントを確認する」を参照してください。
上位のインシデント分析情報
次に、何が起こったか (またはまだ発生している) の概要を把握し、コンテキストをより深く理解すると、Microsoft Sentinel が既に見つけた興味深い情報について気になることでしょう。
Microsoft Sentinel は、インシデント内のエンティティに関する重要な質問を自動的に行い、インシデントの [詳細] ページの右側に表示される 上位分析情報ウィジェットに上位の回答を表示します。 このウィジェットには、機械学習分析と、セキュリティ専門家のトップ チームのキュレーションの両方に基づく分析情報のコレクションが表示されます。
これらは、エンティティ ページに表示される分析情報から特別に選択されたサブセットですが、このコンテキストでは、インシデント内のすべてのエンティティの分析情報が一緒に表示され、何が起こっているのかをより完全に把握できます。 分析情報の完全なセットは、エンティティごとに [エンティティ] タブに個別に表示されます。以下を参照してください。
[上位の分析情報] ウィジェットは、ピアや独自の履歴、ウォッチリストや脅威インテリジェンスでの存在、またはそれに関連するその他の異常な発生と比較して、その動作に関連するエンティティに関する質問に回答します。
これらの分析情報のほとんどは、詳細情報へのリンクを含みます。 これらのリンクをクリックすると、[ログ] パネルがコンテキスト内で開き、その分析情報のソース クエリとその結果が表示されます。
関連エンティティの一覧
いくつかのコンテキストといくつかの基本的な質問に関する答えが得られたので、このストーリーでは、主要なプレーヤーについてさらに深く理解したいと思います。
ユーザー名、ホスト名、IP アドレス、ファイル名、その他の種類のエンティティはすべて、調査内で [関心のある人物] にすることができます。 Microsoft Sentinel はそれらをすべて検索し、タイムラインと共に [エンティティ] ウィジェットの前面と中央に表示します。
このウィジェットからエンティティを選択すると、同じインシデント ページの [エンティティ] タブでそのエンティティの一覧がピボットされます。
一覧でエンティティを選択すると、[エンティティ] ページに基づく情報が表示されたサイド パネルが開きます。これには、次の詳細が含まれます。
[情報] には、エンティティに関する基本情報が含まれています。 ユーザー アカウント エンティティの場合、ユーザー名、ドメイン名、セキュリティ識別子 (SID)、組織情報、セキュリティ情報などが考えられます。
[タイムライン] には、エンティティが表示されるログから収集された、このエンティティとエンティティが実行したアクティビティを特徴とするアラートの一覧が含まれています。
[分析情報] には、ピアや独自の履歴、ウォッチリストや脅威インテリジェンスでの存在、またはそれに関連するその他の異常な発生と比較して、その動作に関連するエンティティに関する質問への回答が含まれています。
これらの回答は、Microsoft のセキュリティ研究者によって定義されたクエリの結果であり、ソースのコレクションからのデータに基づいて、エンティティに関する貴重なコンテキスト セキュリティ情報を提供します。
エンティティの種類に応じて、このサイド パネルから、次のようなさらに多くのアクションを実行できます。
エンティティの完全な [エンティティ] ページにピボットして、より長い期間にわたってさらに多くの詳細を取得するか、そのエンティティを中心とするグラフィカルな調査ツールを起動する。
プレイブックを実行して、エンティティに対して特定の応答または修復アクションを実行する (プレビュー段階)。
エンティティを侵害インジケーター (IOC) として分類し、脅威インテリジェンス リストに追加する。
これらの各アクションは現在、特定のエンティティの種類に対してサポートされており、他の種類に対してはサポートされていません。 次の表は、各エンティティの種類に対してサポートされているアクションを示しています。
| 使用可能なアクション ▶ エンティティ型 ▼ |
すべての詳細を表示 (エンティティ ページ内) |
TI に追加 * | プレイブックを実行する * (プレビュー) |
|---|---|---|---|
| ユーザー アカウント | ✔ | ✔ | |
| Host | ✔ | ✔ | |
| IP アドレス (IP address) | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| ドメイン名 | ✔ | ✔ | |
| ファイル (ハッシュ) | ✔ | ✔ | |
| Azure リソース | ✔ | ||
| IoT デバイス | ✔ |
* [TI に追加] または [プレイブックの実行] アクションを使用できるエンティティの場合は、インシデント ページを離れることなく、[概要] タブの [エンティティ] ウィジェットからこれらのアクションを実行できます。
インシデント ログ
"正確に何が起こったか" を知るには、インシデント ログを詳細に調べます。
インシデントのほぼすべての領域から、インシデントに含まれる個々のアラート、エンティティ、分析情報、その他の項目にドリルダウンして、元のクエリとその結果を表示できます。
これらの結果は、インシデントの詳細ページのパネル拡張としてここに表示される [ログ (ログ分析)] 画面に表示されるため、調査のコンテキストを離れることはありません。
整理されたインシデント レコード
透明性、説明責任、継続性を確保するために、自動化されたプロセスによるものか、または人的なものかを問わず、インシデントに対して実行されたすべてのアクションを記録する必要があります。 インシデント アクティビティ ログには、これらのアクティビティがすべて表示されます。 また、作成されたコメントを表示して、独自のコメントを追加することもできます。
アクティビティ ログは、開いている間も常に自動更新されるため、リアルタイムで変更を確認できます。
関連するコンテンツ
このドキュメントでは、Azure portal の Microsoft Sentinel インシデント調査エクスペリエンスが、単一のコンテキストで調査を行う際にどのように役立つかについて説明しました。 インシデントの管理と調査の詳細については、次の記事を参照してください。
- Microsoft Sentinel でエンティティ ページを使用してエンティティを調査する。
- Microsoft Sentinel でタスクを使用してインシデントを管理する
- オートメーション ルールで Microsoft Azure Sentinel でのインシデント処理を自動化する。
- Microsoft Azure Sentinel のユーザー/エンティティ行動分析 (UEBA) を使用して高度な脅威を特定する
- セキュリティの脅威を検出する。