Microsoft Sentinel の脅威の検出および軽減機能について説明する

  • 7 分

組織のネットワーク セキュリティ境界を効果的に管理するには、適切な組み合わせのツールとシステムが必要です。 Microsoft Sentinel は、スケーラブルなクラウドネイティブ SIEM/SOAR ソリューションであり、インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に提供します。 サイバー脅威の検出、調査、対処、プロアクティブ ハンティングのための単一のソリューションを提供し、企業全体を俯瞰して見ることができます。

Microsoft Sentinel の 4 つの側面 (収集、検出、調査、対応) を示す図。

この図では、Microsoft Sentinel のエンドツーエンド機能が示されています。

  • オンプレミスと複数のクラウド内の両方で、すべてのユーザー、デバイス、アプリケーション、インフラストラクチャにわたってクラウド規模でデータを収集します。
  • 分析と、比類のない脅威インテリジェンスを使用して、以前に検出されていない脅威を検出し、誤検知を最小限に抑えます。
  • Microsoft が長年にわたって取り組んできたサイバーセキュリティの研究を活用し、人工知能 (AI) を使って脅威を調査し、疑わしいアクティビティを大規模に追求します。
  • 一般的なセキュリティ タスクの組み込みオーケストレーションと自動化により、インシデントに迅速に対応します。

Microsoft Sentinel は、最新のセキュリティ オペレーション センター (SOC) でエンドツーエンドのセキュリティ操作を有効にするのに役立ちます。

大規模なデータの収集

オンプレミスと複数のクラウド内の両方で、すべてのユーザー、デバイス、アプリケーション、インフラストラクチャ全体のデータを収集します。 データ収集のための Microsoft Sentinel の主な機能を次に示します。

  • すぐに使用するデータ コネクタ - 多くのコネクタは、Microsoft Sentinel 用の SIEM ソリューションと共にパッケージ化され、リアルタイムの統合を提供します。 これらのコネクタには、Microsoft Entra ID、Azure アクティビティ、Azure Storage などの Microsoft ソースと Azure ソースが含まれます。

    Microsoft 以外のソリューション向けの広範なセキュリティおよびアプリケーション エコシステムで、すぐに使用できるコネクタも提供されています。 一般的なイベント形式 (Syslog や REST-API) を使用して、データ ソースを Microsoft Sentinel に接続することもできます。

  • カスタム コネクタ - Microsoft Sentinel では、いくつかのソースから専用コネクタを使用せずにデータを取り込むことができます。 既存のソリューションでデータ ソースを Microsoft Sentinel に接続できない場合は、独自のデータ ソース コネクタを作成できます。

  • データの正規化 - Microsoft Sentinel は、多くのソースからデータを取り込みます。 調査やハンティングで、さまざまな種類のデータを操作して関連付けるのが困難な場合があります。 Microsoft Sentinel は、これらの多様なソースとユーザーの間に配置される高度なセキュリティ情報モデル (ASIM) をサポートしており、統一され正規化されたビューを支援します。

脅威を検出する

これまでに検出されなかった脅威を検出し、Microsoft の分析と無類の脅威インテリジェンスを使用して誤検知を最小限に抑えます。 脅威検出のための Microsoft Sentinel の主な機能を次に示します。

  • 分析 - Microsoft Sentinel では、分析を使用してアラートをインシデントにグループ化できます。 すぐに使用できる分析ルールをそのまま使用するか、それらを開始点として使用して独自のルールを作成できます。 Microsoft Sentinel には、ネットワークの動作をマップし、リソース全体の異常を探すためのルールも用意されています。

  • MITRE ATT&CK カバレッジ - Microsoft Sentinel は、取り込まれたデータを分析して脅威を検出し、調査を支援するだけでなく、敵対者の戦術と手法のグローバル データベースである MITRE ATT&CK® フレームワークの戦術と手法に基づいて、組織のセキュリティ状態の性質とカバレッジを視覚化します。

  • 脅威インテリジェンス - 多数の脅威インテリジェンスソースを Microsoft Sentinel に統合して、環境内の悪意のあるアクティビティを検出し、情報に基づく対処の決定に関するコンテキストをセキュリティ調査担当者に提供できます。

  • ウォッチリスト - 指定したデータ ソース、ウォッチリストのデータを、Microsoft Sentinel 環境のイベントと関連付けることができます。 たとえば、環境内の価値の高い資産、退職した従業員、またはサービス アカウントの一覧を含むウォッチリストを作成できます。 ウォッチリストは、検索、検出規則、脅威ハンティング、応答プレイブックで使用します。

  • Workbooks - ブックを使用して対話型のビジュアル レポートを作成できます。 Microsoft Sentinel にデータ ソースを接続したら、Microsoft Sentinel と Azure Monitor ブックの統合を使用してデータを監視できます。 Microsoft Sentinel には、データ全体の分析情報をすばやく取得できるブック テンプレートが組み込まれています。 独自のカスタム ブックを作成することもできます。

脅威の調査

人工知能を使用して脅威を調査し、Microsoft での長年にわたるサイバー セキュリティの取り組みを利用して、疑わしいアクティビティを大規模に探します。 脅威調査のための Microsoft Sentinel の主な機能を次に示します。

  • インシデント - インシデントは、特定の調査に関連するすべての証拠の集約を含むケース ファイルです。 分析ルールによって生成された、または独自のアラートを生成するサードパーティのセキュリティ製品からインポートされた個々の証拠 (アラート) に基づいて、各インシデントが作成 (または追加) されます。 インシデントの詳細ページには、潜在的なセキュリティ上の脅威の範囲を理解し、根本原因を見つけるのに役立つ情報と調査ツールがあります。

  • 追求 - MITRE フレームワークをベースにした Microsoft Sentinel の強力なハンティング検索およびクエリ ツールを使用することで、アラートがトリガーされる前に、組織のデータ ソース全体からセキュリティの脅威を予防的に追求できます。 攻撃の可能性について重要な分析情報を提供する捜索クエリがわかったら、クエリに基づいてカスタム検出ルールを作成し、セキュリティ インシデントの対応者へのアラートとしてそのような分析情報を表示することができます。

  • Notebooks - Microsoft Sentinel では、Azure Machine Learning ワークスペースの Jupyter ノートブックがサポートされます。 Jupyter Notebook はオープン ソースの Web アプリケーションであり、ユーザーは、ライブ コード、数式、視覚化、説明テキストを含むドキュメントを作成して共有するために使用できます。

    Microsoft Sentinel でノートブックを使用して、Microsoft Sentinel データで実行できることのスコープを拡張します。 次に例を示します。

    • 一部の Python 機械学習機能など、Microsoft Sentinel に組み込まれていない分析を実行する。
    • カスタム タイムラインやプロセス ツリーなど、Microsoft Sentinel に組み込まれていないデータの可視化を作成する。
    • オンプレミスのデータ セットなど、Microsoft Sentinel の外部にあるデータ ソースを統合する

インシデントへの迅速な対応

Microsoft Sentinel を使用すると、一般的なタスクを自動化し、Azure サービスや既存のツールと統合されたプレイブックを使用してセキュリティ オーケストレーションを簡素化することで、インシデントにより迅速に対応できます。

脅威への対応のための Microsoft Sentinel の主な機能を次に示します。

  • 自動化ルール - さまざまなシナリオに対応する少さなルールセットを定義し調整することで、Microsoft Sentinel でのインシデント処理の自動化を一元的に管理します。

  • プレイブック - 修復アクションのコレクションであるプレイブックを使用して、脅威への対処を自動化し調整します。 プレイブックがオートメーション ルールによってトリガーされるときに、特定のアラートまたはインシデントに応答してオンデマンドまたは自動で実行されます。

    Microsoft Sentinel のプレイブックは、Azure Logic Apps で構築されたワークフローに基づいています。 たとえば、ServiceNow チケット発行システムを使用している場合は、Azure Logic Apps を使用してワークフローを自動化し、特定のアラートやインシデントが生成されるたびに ServiceNow でチケットを開くことができます。

すぐに使用できるセキュリティ コンテンツを有効にします

Microsoft Sentinel コンテンツとは、お客様がデータの取り込み、監視、アラート、捜索、調査、対処、およびさまざまな製品、プラットフォーム、サービスとの接続を可能にする、セキュリティ情報イベント管理 (SIEM) ソリューション コンポーネントを指します。 Microsoft Sentinel のコンテンツには、データ コネクタ、ブック、分析ルール、ハンティング クエリ、ノートブック、ウォッチリスト、プレイブックなどのコンテンツ タイプを含めることができます。

Microsoft Sentinel では、これらのコンテンツ タイプが ソリューション および スタンドアロン 項目として提供されます。 "ソリューション"は、Microsoft Sentinel コンテンツまたは Microsoft Sentinel API 統合のパッケージであり、Microsoft Sentinel のエンドツーエンドの製品、ドメイン、または業界の垂直シナリオを実現します。 ソリューションとスタンドアロン項目の両方が、コンテンツ ハブで検出および管理されます。

Microsoft Sentinel のコンテンツ ハブは、そのまま使える (組み込みの) パッケージ ソリューションを検出して管理するための一元的な場所です。 Microsoft Sentinel ソリューションは、Microsoft Sentinel コンテンツまたは Microsoft Sentinel API 統合のパッケージであり、単一ステップでデプロイと有効化を行うことができます。 Microsoft Sentinel のエンドツーエンドの製品、ドメイン、または業界の垂直シナリオを実現するコンテンツ ハブ ソリューション。 ドメイン固有の組み込みの例として、データ コネクタ、ブック、分析ルール、ハンティング クエリ、プレイブックを含む Microsoft Purview Insider Risk Management があります。

Microsoft Sentinel コンテンツ ハブの画面キャプチャ。

Microsoft Defender ポータルの Microsoft Sentinel

Microsoft Sentinel は、Azure portal を介して有効になっているセキュリティ サービスです。 Microsoft Sentinel サービスが有効になると、Azure portal または Microsoft Defender ポータルの Microsoft 統合セキュリティ運用プラットフォームからアクセスできます。

Microsoft Defender ポータルの Microsoft 統合セキュリティ運用プラットフォームは、Microsoft Defender の Microsoft Sentinel、Microsoft Defender XDR、および Microsoft Copilot のすべての機能を統合します。

Microsoft Sentinel を Defender ポータルにオンボードすると、インシデント管理や高度なハンティングなどの機能が Microsoft Defender XDR と統合されます。 ツールの切り替え操作を減らし、インシデントへの対処を迅速化し、侵害を迅速に停止する、よりコンテキストに焦点を当てた調査を構築します。

Microsoft Defender ポータルの Microsoft Sentinel エクスペリエンスとオンボード方法の詳細については、このモジュールの概要とリソースのセクションを参照してください。