Microsoft Sentinel のユーザー/エンティティ行動分析 (UEBA) を使用した高度な脅威検出

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

組織内の脅威とその潜在的な影響を特定することは、それが侵害されたエンティティであろうと、悪意のある内部関係者であろうと、常に時間と労力が膨大にかかるプロセスでした。 アラートの選別、ドットの接続、積極的なハンティングがすべて一緒になって膨大な量の時間と労力が費やされますが、最小限の結果しか得られず、高度な脅威の可能性は簡単に検出を回避します。 特に、対象を絞った、ゼロディの高度な永続的脅威などの捕らえにくい脅威は、組織にとって最も危険なものになることがあるため、それらの検出がますます重要になっています。

Microsoft Sentinel の UEBA 機能は、アナリストのワークロードから面倒な作業を、またその取り組みから不確実性を排除し、忠実度が高い、すぐに使用可能なインテリジェンスを提供するため、アナリストは調査と修復に集中することができます。

重要

Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されるようになりました。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

UEBA のすべての利点は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームで利用できます。

ユーザーとエンティティの行動分析 (UEBA) の概要

Microsoft Sentinel では、接続されているすべてのデータ ソースからログとアラートを収集すると、それらを分析して、時間とピア グループの期間全体にわたる組織のエンティティ (ユーザー、ホスト、IP アドレス、アプリケーションなど) のベースライン行動プロファイルを構築します。 さまざまな手法や機械学習機能を使用して、Microsoft Sentinel で異常なアクティビティを特定でき、資産が侵害されているかどうかを判定するのに役立ちます。 それだけではなく、特定の資産の相対的な機密性を見つけたり、資産のピア グループを識別したり、特定の侵害された資産の潜在的な影響 (その "影響範囲") を評価したりすることもできます。 これらの情報を利用して、調査やインシデント処理に効果的に優先順位を付けることができます。

UEBA 分析アーキテクチャ

エンティティの行動分析のアーキテクチャ

セキュリティ主導の分析

Microsoft Sentinel は、UEBA ソリューションに関する Gartner のパラダイムによって、次の 3 つの参照フレームに基づく "アウトサイドイン" アプローチを提供します。

  • ユース ケース: さまざまなエンティティを被害者、加害者、またはピボット ポイントとしてキル チェーン内に配置する、戦術、テクニック、サブテクニックの MITRE ATT&CK フレームワークに対応したセキュリティ調査に基づいて、関連する攻撃ベクトルとシナリオに優先順位を付けることにより、Microsoft Sentinel は特に、各データ ソースが提供できる最も重要なログに焦点を置いています。

  • データ ソース: Microsoft Sentinel は、何よりもまず Azure データ ソースをサポートしていますが、脅威のシナリオに適したデータを提供するために、サードパーティのデータ ソースを慎重に選択します。

  • 分析: Microsoft Sentinel は、さまざまな機械学習 (ML) アルゴリズムを使用して、異常なアクティビティを特定し、コンテキストに基づくエンリッチメントの形式で証拠を明確かつ簡潔に示します。次に例を示します。

    行動分析のアウトサイドイン アプローチ

Microsoft Sentinel は、セキュリティ アナリストがコンテキストにおいて、また、ユーザーのベースライン プロファイルと比較して、異常なアクティビティを明確に理解するのに役立つ成果物を提示します。 ユーザー (またはホスト、またはアドレス) によって実行されたアクションは、次のようにコンテキストから評価されます。ここで、"true" の結果は特定された異常を示します。

  • 地理的な場所、デバイス、環境にまたがって。
  • 時間と頻度の期間にまたがって (ユーザー独自の履歴と比較して)。
  • ピアの行動と比較して。
  • 組織の行動と比較して。 エンティティのコンテキスト

Microsoft Sentinel がユーザー プロファイルのビルドに使うユーザー エンティティ情報は、Microsoft Entra ID (または、現在はプレビュー段階のオンプレミスの Active Directory) から取得します。 UEBA を有効にすると、Microsoft Entra ID が Microsoft Sentinel と同期され、IdentityInfo テーブルから表示される内部データベースにその情報が格納されます。

  • Azure portal の Microsoft Sentinel で、[ログ] ページの Log Analytics にある IdentityInfo テーブルに対してクエリを実行します。
  • Microsoft Defender の統合セキュリティ オペレーション プラットフォームで、[高度な検出] のテーブルに対してクエリを実行します。

現在はプレビュー段階ですが、Microsoft Defender for Identity を使って、オンプレミスの Active Directory ユーザー エンティティ情報を同期することもできます。

UEBA を有効にしてユーザー ID を同期する方法については、「Microsoft Azure Sentinel でのユーザーとエンティティの動作分析 (UEBA) の有効化」を参照してください。

ポイントの計算

各アクティビティは、"調査の優先順位のスコア" でスコア付けされます。これにより、ユーザーとそのピアの行動学習に基づいて、特定のユーザーが特定のアクティビティを実行する確率が決定されます。 最も異常であると識別されたアクティビティが最高のスコアを受け取ります (スケールは 0 ~ 10)。

この動作の例については、Microsoft Defender for Cloud Apps で行動分析がどのように使用されているかを参照してください。

Microsoft Sentinel のエンティティに関する詳細と、サポートされているエンティティと識別子の完全な一覧をご覧ください。

エンティティ ページ

エンティティ ページに関する情報は、「Microsoft Sentinel でエンティティ ページを使用してエンティティを調査する」で確認できます。

行動分析データへのクエリ実行

KQL を使用すると、BehaviorAnalytics テーブルにクエリを実行できます。

たとえば、Azure リソースへのサインインに失敗したユーザーのすべてのケースを見つけたい場合 (それがそのユーザーの特定の国/リージョンからの最初の接続の試みであり、そのユーザーのピアに対してもその国/リージョンからの接続はまれである場合) は、次のクエリを使用できます。

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
  • Azure portal の Microsoft Sentinel で、[ログ] ページの Log Analytics にある "行動分析" テーブルに対してクエリを実行します。
  • Microsoft Defender の統合セキュリティ オペレーション プラットフォームで、[高度な検出] のテーブルに対してクエリを実行します。

ユーザー ピア メタデータ - テーブルとノートブック

ユーザー ピア メタデータは、脅威の検出、インシデントの調査、潜在的な脅威のハンティングにおける重要なコンテキストを提供します。 セキュリティ アナリストは、あるユーザーのピアの通常のアクティビティを観察して、そのユーザーのアクティビティがピアのアクティビティと比較して異常であるかどうかを判定できます。

Microsoft Sentinel では、ユーザーの Microsoft Entra セキュリティ グループ メンバーシップ、メーリング リストなどに基づいて、そのユーザーの Peer を計算してランク付けし、1 から 20 にランク付けされた Peer を UserPeerAnalytics テーブルに格納します。 次のスクリーンショットは UserPeerAnalytics テーブルのスキーマを示し、ユーザー Kendall Collins の上位 8 つのランク付けされたピアを表示しています。 Microsoft Sentinel では、"用語の出現頻度/逆文書頻度" (TF-IDF) アルゴリズムを使用して、ランク付けを計算するための重みを正規化します。グループが小さいほど、重みが大きくなります。

ユーザー ピア メタデータ テーブルのスクリーンショット

Microsoft Sentinel GitHub リポジトリで提供されている Jupyter Notebook を使用して、ユーザー ピア メタデータを視覚化できます。 このノートブックを使用する方法の詳細な手順については、ガイド付き分析 - ユーザー セキュリティ メタデータのノートブックを参照してください。

Note

UserAccessAnalytics テーブルは非推奨になりました。

ハンティング クエリと探索クエリ

Microsoft Sentinel には、BehaviorAnalytics テーブルに基づいた、ハンティング クエリ、探索クエリ、およびユーザー/エンティティ行動分析ブックのすぐに使えるセットが用意されています。 これらのツールは、異常な行動を示す、特定のユース ケースに焦点を絞ったエンリッチ処理されたデータを提供します。

詳細については次を参照してください:

従来の防御ツールが古いものになるにつれて、膨大な数のデジタル資産を所有している組織は、組織の環境が直面している可能性のあるリスクと体制の全体像を把握することが困難になります。 分析やルールなどの事後対応型の取り組みに依存しすぎると、悪意のあるアクターがそれらの取り組みを回避する方法を学んでしまいます。 ここが UEBA の出番です。リスクのスコアリング方法とアルゴリズムにより、実際に何が起こっているのかを把握できます。

次のステップ

このドキュメントでは、Microsoft Sentinel のエンティティの行動分析機能について学習しました。 実装や、取得した分析情報を使用する方法に関する実用的なガイダンスについては、次の記事を参照してください。

詳細については、「Microsoft Sentinel UEBA リファレンス」も参照してください。