セキュリティ オペレーションを最適化する
セキュリティ オペレーション センター (SOC) チームは、プロセスと結果を改善し、追加のインジェスト コストをかけずにリスクに対処するために必要なデータを確保する方法を探しています。 SOC チームは、必要以上のデータに対する支払いを行わずに、リスクに対処するために必要なすべてのデータを確実に取得したいと考えています。 同時に、SOC チームは、脅威やビジネスの優先順位の変化に応じてセキュリティ制御を調整する必要があり、しかも投資収益率を最大化するためにそれを迅速かつ効率的に行う必要があります。
SOC の最適化は、セキュリティ制御を最適化し、時間の経過とともに Microsoft セキュリティ サービスからより多くの価値を得る方法を示す、実用的な推奨事項です。 推奨事項は、SOC のニーズやカバレッジに影響を与えずにコストを削減するために役立てることができます。また、必要に応じてセキュリティ制御とデータを追加するのにも役立ちます。 このような最適化は、環境に合わせて調整されており、現在のカバレッジと脅威の状況に基づいています。
SOC の最適化の推奨事項を使用すると、特定の脅威に対するカバレッジ ギャップを埋め、セキュリティ値を提供しないデータに対するインジェスト率を強化できます。 SOC の最適化は、SOC チームが手動の分析と調査に時間を費やすことなく、Microsoft Sentinel ワークスペースを最適化するために役立ちます。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
Microsoft Defender ポータルでの SOC 最適化の概要とデモについては、次のビデオをご覧ください。 デモのみが必要な場合は、8:14 からご覧ください。
前提条件
SOC の最適化では、標準の Microsoft Sentinel ロールとアクセス許可が使用されます。 詳細については、「Microsoft Sentinel のロールとアクセス許可」を参照してください。
Defender ポータルで SOC 最適化を使用するには、Microsoft Sentinel を Defender ポータルにオンボードします。 詳細については、「Microsoft Defender ポータルに Microsoft Sentinel を接続する」を参照してください。
SOC の最適化ページにアクセスする
Azure portal または Defender ポータルのどちらを使用しているかに応じて、次のいずれかのタブを使用します。 ワークスペースが統合セキュリティ オペレーション用にオンボードされている場合、SOC の最適化には、Microsoft セキュリティ サービス全体からのカバレッジが含まれます。
Azure portal の Microsoft Sentinel では、[脅威管理] で、[SOC の最適化] を選択します。
![Azure portal の [SOC 最適化] ページのスクリーンショット。](media/soc-optimization-access/soc-optimization-xdr.png#lightbox)
SOC 最適化の概要メトリックについて
[概要] タブの上部に表示される最適化メトリックは、どれだけ効率よくデータを使用できているかを深く理解し、推奨事項を実装することで時間の経過とともにどのように変化するかを理解するために役立ちます。
[概要] タブの上部でサポートされているメトリックは次のとおりです:
| タイトル | 説明 |
|---|---|
| 過去 3 か月間に取り込まれたデータ | 過去 3 か月間にワークスペースに取り込まれたデータの合計が表示されます。 |
| 最適化の状態 | 現在アクティブか、完了しているか、または無視されている最適化の推奨事項の数を示します。 |
[すべての脅威シナリオを表示] を選択すると、関連する脅威、アクティブな分析ルールと推奨される分析ルールの割合、カバレッジ レベルの完全な一覧が表示されます。
最適化に関する推奨事項の表示と管理
Azure portal では、SOC 最適化の推奨事項が [SOC 最適化 > 概要] タブに一覧表示されます。
次に例を示します。
![Azure portal の [SOC 最適化の概要] タブのスクリーンショット。](media/soc-optimization-access/soc-optimization-overview-azure.png#lightbox)
![Defender ポータルの [SOC の最適化の概要] タブのスクリーンショット。](media/soc-optimization-access/soc-optimization-overview-defender.png#lightbox)
SOC 最適化の推奨事項は、24 時間ごとに計算されます。 各最適化のカードには、状態、タイトル、作成日、概要説明、適用対象のワークスペースが含まれます。
最適化のフィルター
最適化の種類に基づいて最適化をフィルター処理するか、横にある検索ボックスを使用して特定の最適化タイトルを検索します。 最適化の種類は次のとおりです:
カバレッジ: さまざまな種類の攻撃に対するカバレッジギャップを埋めるのに役立つセキュリティ制御を追加するための脅威ベースの推奨事項が含まれています。
データ値: 取り込まれたデータからのセキュリティ値を最大化するためにデータの使用状況を改善する方法を提案する推奨事項、または組織にとってより良いデータ計画を提案する推奨事項が含まれています。
最適化の詳細を表示してアクションを実行する
使用しているポータルに応じて、次のいずれかのタブを選択します。
各最適化のカードで、[詳細の表示] を選択して、推奨事項につながった観測の詳細な説明と、その推奨事項が実装された場合に環境内で見られる値を確認します。
詳細ウィンドウの下部まで下にスクロールして、推奨されるアクションを実行するためのリンクを表示します。 次に例を示します。
- 最適化に分析ルールを追加する推奨事項が含まれている場合は、[コンテンツ ハブに移動] を選択します。
- テーブルを基本ログに移動する推奨事項が最適化に含まれている場合は、[プランの変更] を選択します。
ソリューションをインストールせずにコンテンツ ハブから分析ルール テンプレートをインストールすると、インストールしたテンプレートのみがソリューションに表示されます。
選択したソリューションから使用可能なすべてのコンテンツ項目を表示するには、ソリューション全体をインストールします。 詳細については、「Microsoft Sentinel のすぐに利用できるコンテンツを検出して管理する」を参照してください。
最適化の管理
既定では、最適化の状態は[アクティブ]です。 チームがトリアージと推奨事項の実装を進めるにつれて、それぞれの状態を変更してください。
オプション メニューを選択するか、[詳細の表示] を選択して、次のいずれかの操作を実行します。
| アクション | 説明 |
|---|---|
| 完了 | 推奨される各アクションを完了したら、最適化を完了します。 推奨事項を無効にする環境の変更が検出された場合、最適化は自動的に完了し、[完了済み] タブに移動されます。 たとえば、以前は使用されていなかったテーブルに関連する最適化があるとします。 テーブルが新しい分析ルールで使用されるようになった場合、最適化の推奨事項は無効になります。 このような場合は、[概要] タブに、前回のアクセス以降に自動的に完了した最適化の数を示すバナーが表示されます。 |
| 進行中としてマークして / アクティブとしてマーク | 最適化を [進行中] または[アクティブ] としてマークして、現在作業していることを他のチーム メンバーに通知します。 組織の必要性に応じて、これら 2 つの状態を柔軟に、かつ一貫性を持って使用してください。 |
| 無視 | 推奨されるアクションを実行する予定がなく、一覧に表示されないようにする場合は、最適化を閉じます。 |
| フィードバックを送信する | 推奨されたアクションに関するご意見を、Microsoft チームにお聞かせください! フィードバックを共有するときは、機密データを共有しないように注意してください。 詳細については、Microsoft プライバシーに関する声明 を参照してください。 |
完了した最適化と閉じた最適化を表示する
特定の最適化を [完了] または [無視済み] としてマークした場合、または最適化が自動的に完了した場合は、[完了済み] タブと [無視済み] タブにそれぞれ表示されます。
ここから、オプション メニューを選択するか、[完全な詳細 の表示] を選択して、次のいずれかのアクションを実行します:
[最適化を再アクティブ化] し、[概要] タブに戻します。再アクティブ化された最適化は再計算され、最新の値とアクションが提供されます。 これらの詳細の再計算には最大 1 時間かかる場合があるため、時間を空けてから詳細と推奨されるアクションをもう一度確認してください。
再アクティブ化された最適化は、詳細を再計算した後、無効になったことが判明した場合に、[完了済み] タブに直接移動される場合もあります。
Microsoft チームにさらなるフィードバック を提供する。 フィードバックを共有するときは、機密データを共有しないように注意してください。 詳細については、Microsoft プライバシーに関する声明 を参照してください。
SOC の最適化の使用フロー
このセクションでは、Defender または Azure portal から SOC の最適化を使用するためのサンプル フローを示します:
[SOC の最適化] ページで、まずダッシュボードについて理解します:
- 全体的な最適化の状態の上位メトリックを確認します。
- データ値と脅威ベースのカバレッジに関する最適化の推奨事項を確認します。
最適化の推奨事項を使用して、使用率が低いテーブルを特定します。これは、検出に使用されていないことを示します。 [詳細をすべて表示] を選択すると、未使用のデータのサイズとコストが表示されます。 次のいずれかの操作を検討してください:
保護を強化するためにテーブルを使用する分析ルールを追加します。 このオプションを使用するには、[コンテンツ ハブに移動] を選択して、選択したテーブルを使用する特定の既定の分析ルール テンプレートを表示および構成します。 コンテンツ ハブでは、関連するルールに直接移動するため、関連するルールを検索する必要はありません。
新しい分析ルールで追加のログ ソースが必要な場合は、脅威のカバレッジを改善するために、それらを取り込むことを検討してください。
詳細については、「Microsoft Sentinel ですぐに使用するコンテンツの検出と管理」および「すぐに使える脅威の検出」を参照してください。
コスト削減のためにコミットメント レベルを変更します。 詳細については、「Microsoft Sentinel のコスト削減」を参照してください。
最適化の推奨事項を使用して、特定の脅威に対するカバレッジを向上させます。 たとえば、人間が操作するランサムウェアの最適化の場合は、次のようになります:
[完全な詳細を表示] を選択して、現在のカバレッジと推奨される改善点を確認します。
[すべての MITRE ATT&CK 手法の改善を表示する] を選択して、カバレッジ ギャップを理解するために関連する戦術と手法をドリルダウンして分析します。
[コンテンツ ハブに移動] を選択すると、この最適化のためにフィルター処理されたすべての推奨セキュリティ コンテンツが表示されます。
新しいルールを構成するか、変更を加えた後、推奨事項を完了済みとしてマークするか、システムに自動的に更新させます。