Microsoft の統合 SecOps プラットフォームでのハンティング
セキュリティの脅威のハンティングは、脅威ハンティングのすべての段階 (プロアクティブ、リアクティブ、および事後インシデント) で実行される場合に最も効果的な、高度にカスタマイズ可能なアクティビティです。 Microsoft の統合セキュリティ運用 (SecOps) プラットフォームは、脅威ハンティングのあらゆる段階に効果的なハンティング ツールを提供します。 これらのツールは、キャリアを開始したばかりのアナリストや、高度なハンティング方法を使用した経験豊富な脅威ハンターに適しています。 すべてのレベルの脅威ハンターは、手法、クエリ、結果を途中でチームと共有できるハンティング ツール機能の恩恵を受けます。
ハンティング ツール
Defender ポータルでのハンティング クエリの基盤は、Kusto 照会言語 (KQL) にあります。 KQL は、クラウド環境のビッグ データ ストアを検索するために最適化された強力で柔軟な言語です。 ただし、複雑なクエリを作成することは、脅威を探す唯一の方法ではありません。 Defender ポータル内のハンティング ツールとリソースを次に示します。これは、ハンティングを手の届くところに持ち込むよう設計されています。
- 高度なハンティングのSecurity Copilotは、自然言語プロンプトから KQL を生成します。
- ガイド付きハンティング では、KQL やデータ スキーマを知らずに、意味のあるハンティング クエリを作成するためにクエリ ビルダーを使用します。
- autosuggest、スキーマ ツリー、サンプル クエリなどの機能を使用してクエリを記述する際に役立ちます。
- コンテンツ ハブは、Microsoft Sentinelのすぐに使用できるソリューションに一致するエキスパート クエリを提供します。
- Microsoft Defender エキスパートによる追求は、支援を必要とする最高の脅威ハンターを補完します。
Defender ポータルの次のハンティング ツールを使用して、チームのハンティングの長所を最大限に引き出します。
| ハンティング ツール | 説明 |
|---|---|
| 高度な追及 | Microsoft の統合 SecOps プラットフォーム内で利用できるデータ ソースを表示およびクエリし、チームとクエリを共有します。 クエリや関数など、既存のすべてのMicrosoft Sentinel ワークスペース コンテンツを使用します。 |
| Microsoft Sentinelハンティング | データ ソース全体でセキュリティ上の脅威を検出します。 ハント、ブックマーク、ライブストリームなどの特殊な検索ツールとクエリ ツールを使用します。 |
| 検出する | インシデント内で見つかったエンティティに対する調査をすばやくピボットします。 |
| 狩り | コラボレーション機能を備えたエンドツーエンドのプロアクティブな脅威ハンティング プロセス。 |
| ブックマーク | クエリとその結果を保持し、メモとコンテキスト観察を追加します。 |
| Livestream | 対話型ハンティング セッションを開始し、任意の Log Analytics クエリを使用します。 |
| 概要ルールを使用したハンティング | 概要ルールを使用して、詳細ログの脅威に対するコストハンティングを節約します。 |
| MITRE ATT&CK マップ | 新しいハンティング クエリを作成するときは、適用する特定の戦術と手法を選択します。 |
| 履歴データを復元する | パフォーマンスの高いクエリで使用するように、アーカイブされたログからデータを復元します。 |
| 大規模なデータ セットを検索する | KQL を使用して、最大 7 年前のログで特定のイベントを検索します。 |
| インフラストラクチャ チェーン | 脅威アクター間の新しい接続を検索し、同様の攻撃アクティビティをグループ化し、前提条件を実証します。 |
| 脅威エクスプローラー | メールに関連する特殊な脅威を探します。 |
ハンティング ステージ
次の表では、脅威ハンティングのすべての段階で Defender ポータルのハンティング ツールを最大限に活用する方法について説明します。
| ハンティング ステージ | ハンティング ツール |
|---|---|
| プロアクティブ - 脅威アクターが実行する前に、環境内の脆弱な領域を見つけます。 不審なアクティビティを早期に検出します。 | - 検出されていない脅威や悪意のある動作を事前に探し出し、仮説を検証し、新しい検出、インシデント、または脅威インテリジェンスを作成して結果に対処するために、エンドツーエンド のハント を定期的に実施します。 - MITRE ATT&CK マップ を使用して検出ギャップを特定し、強調表示された手法に対して定義済みのハンティング クエリを実行します。 - 実証済みのクエリに新しい脅威インテリジェンスを挿入して、検出を調整し、侵害が処理中かどうかを確認します。 - 新しいソースまたは更新されたソースのデータに対してクエリを構築およびテストするためのプロアクティブな手順を実行します。 - 高度なハンティング を使用して、アラートのない初期段階の攻撃や脅威を見つけます。 |
| 反応型 - アクティブな調査中にハンティング ツールを使用します。 | - ライブストリーム を使用して、特定のクエリを一貫した間隔で実行し、イベントをアクティブに監視します。 - [ Go hunt ] ボタンを使用してインシデントをすばやくピボットし、調査中に見つかった疑わしいエンティティを幅広く検索します。 - 脅威インテリジェンスを探索して インフラストラクチャ チェーンを実行します。 - 高度なハンティングでSecurity Copilotを使用して、マシンの速度とスケールでクエリを生成します。 |
| インシデントの投稿 - 同様のインシデントが定期的に発生しないように、カバレッジと分析情報を向上させます。 | - 成功したハンティング クエリを新しい 分析と検出ルールに変換するか、既存のクエリを絞り込みます。 - 完全な インシデント調査の一環として、履歴データを復元し 、大規模なデータセットを検索 して特殊なハンティングを行います。 |