Microsoft Sentinel のインシデント調査とケース管理機能について理解する

Microsoft Sentinel では、セキュリティ インシデントを調査および管理するための完全な機能を備えたケース管理プラットフォームが提供されます。 インシデントとは、Microsoft Sentinel のケース ファイルの名称で、個々の証拠 (アラート)、容疑者や関係者 (エンティティ)、セキュリティ専門家や AI/機械学習モデルによって収集およびキュレーションされた分析情報、調査の過程で実行されたすべてのアクションのコメントとログなど、セキュリティ脅威に関する完全かつ継続的に更新された年表が含まれます。

Microsoft Sentinel のインシデント調査エクスペリエンスは、[インシデント] ページから始まります。これは、調査に必要なすべてを 1 か所で提供するように設計された新しいエクスペリエンスです。 この新しいエクスペリエンスの主な目標は、SOC の効率と有効性を向上させ、平均解決時間 (MTTR) を短縮することです。

この記事では、一般的なインシデント調査のフェーズについて説明し、役立つすべてのディスプレイとツールを紹介します。

SOC の成熟度を高める

Microsoft Sentinel には、セキュリティ運用 (SecOps) の成熟度レベルを上げるのに役立つツールが用意されています。

プロセスを標準化する

インシデント タスクは、アナリストが一貫したケア基準を確保し、重要な手順が見逃されないようにするためにフォローするタスクのワークフロー リストです。 SOC マネージャーとエンジニアは、これらのタスク リストを開発し、必要に応じて、または組織全体の異なるインシデント グループに自動的に適用させることができます。 SOC アナリストは、各インシデント内の割り当てられたタスクにアクセスし、完了時にオフにすることができます。 また、アナリストは、自分自身へのリマインダーとして、またはインシデントで共同作業する可能性のある他のアナリストのベネフィットのために (たとえば、シフトの変更やエスカレーションによる)、オープン インシデントにタスクを手動で追加することもできます。

インシデント タスクの詳細を確認する。

監査インシデント管理

インシデント アクティビティ ログは、インシデントに対して実行されたアクションを追跡します。これは、人によるものか自動プロセスによるものかに関係なく、インシデントに関するすべてのコメントとともに表示されます。 ここに独自のコメントを追加することもできます。 これにより、発生したすべての完全な記録を提供し、周到さと説明責任を保証します。

効果的かつ効率的に調査する

タイムラインを表示する

最初に、アナリストとして、答えたい最も基本的な質問は、なぜこのインシデントが自分の注意を引いているのか、ということです。 インシデントの詳細ページに入ると、その質問に答えることができます。画面の中央に、[インシデント タイムライン] ウィジェットが表示されます。 タイムラインは、調査に関連するすべてのログ記録されたイベントを、発生した順序で表すすべてのアラートの日記です。 タイムラインには、ブックマーク (ハンティング中に収集され、インシデントに追加された証拠のスナップショット) も表示されます。 このリストの項目を選択すると、その詳細がすべて表示されます。 これらの詳細の多く (元のアラート、それを作成した分析ルール、ブックマークなど) はリンクとして表示され、詳細を確認するために選択できます。

インシデント タイムラインから実行できることについて、さらに学習します。

類似インシデントから学習する

インシデントでこれまでに見たものに見覚えがある場合は、正当な理由がある可能性があります。 Microsoft Sentinel は、開いているインシデントに最も類似したインシデントを表示することで、一歩先を行くことができます。 [類似インシデント] ウィジェットには、最後に更新された日時、最後の所有者、最後の状態 (閉じている場合、閉じられた理由など) や類似の理由など、類似していると見なされるインシデントに関する最も関連性の高い情報が表示されます。

これにより、いくつかの方法で調査に役立ちます。

  • 大規模な攻撃戦略の一部である可能性のある、同時に発生しているインシデントを特定します。
  • 同様のインシデントを現在の調査の参照ポイントとして使用し、それらがどのように処理されたかを確認します。
  • 過去の類似インシデントの所有者を特定し、知識のベネフィットを得ます。

ウィジェットには、最も類似した 20 件のインシデントが表示されます。 Microsoft Sentinel は、エンティティ、ソース分析ルール、アラートの詳細などの共通要素に基づいて、どのインシデントが類似しているかを判断します。 このウィジェットから、現在のインシデントへの接続をそのまま維持しながら、これらのインシデントの完全な詳細ページに直接ジャンプできます。

類似インシデントでできることについて、さらに学習します。

上位の分析情報を調べる

次に、何が起こったか (またはまだ発生している) の概要を把握し、コンテキストをより深く理解すると、Microsoft Sentinel が既に見つけた興味深い情報について気になることでしょう。 インシデント内のエンティティに関する重要な質問が自動的に行われ、インシデントの詳細ページの右側に表示される [上位の分析情報] ウィジェットに上位の回答が表示されます。 このウィジェットには、機械学習分析と、セキュリティ専門家のトップ チームのキュレーションの両方に基づく分析情報のコレクションが表示されます。

これらは、エンティティ ページに表示される分析情報から特別に選択されたサブセットですが、このコンテキストでは、インシデント内のすべてのエンティティの分析情報が一緒に表示され、何が起こっているのかをより完全に把握できます。 分析情報の完全なセットは、エンティティごとに [エンティティ] タブに個別に表示されます。以下を参照してください。

[上位の分析情報] ウィジェットは、ピアや独自の履歴、ウォッチリストや脅威インテリジェンスでの存在、またはそれに関連するその他の異常な発生と比較して、その動作に関連するエンティティに関する質問に回答します。

これらの分析情報のほとんどは、詳細情報へのリンクを含みます。 これらのリンクをクリックすると、[ログ] パネルがコンテキスト内で開き、その分析情報のソース クエリとその結果が表示されます。

エンティティを表示する

いくつかのコンテキストといくつかの基本的な質問に関する答えが得られたので、このストーリーでは、主要なプレーヤーについてさらに深く理解したいと思います。 ユーザー名、ホスト名、IP アドレス、ファイル名、その他の種類のエンティティはすべて、調査内で [関心のある人物] にすることができます。 Microsoft Sentinel はそれらをすべて検索し、タイムラインと共に [エンティティ] ウィジェットの前面と中央に表示します。 このウィジェットからエンティティを選択すると、同じインシデント ページ[エンティティ] タブでそのエンティティの一覧がピボットされます。

[エンティティ] タブには、インシデント内のすべてのエンティティの一覧が表示されています。 リスト内のエンティティが選択されると、エンティティ ページに基づく画面を含むサイド パネルが開きます。 サイド パネルには、次の 3 つのカードが含まれています。

  • [情報] には、エンティティに関する基本情報が含まれています。 ユーザー アカウント エンティティの場合、ユーザー名、ドメイン名、セキュリティ識別子 (SID)、組織情報、セキュリティ情報などが考えられます。
  • [タイムライン] には、エンティティが表示されるログから収集された、このエンティティとエンティティが実行したアクティビティを特徴とするアラートの一覧が含まれています。
  • [分析情報] には、ピアや独自の履歴、ウォッチリストや脅威インテリジェンスでの存在、またはそれに関連するその他の異常な発生と比較して、その動作に関連するエンティティに関する質問への回答が含まれています。 これらの回答は、Microsoft のセキュリティ研究者によって定義されたクエリの結果であり、ソースのコレクションからのデータに基づいて、エンティティに関する貴重なコンテキスト セキュリティ情報を提供します。

エンティティ型に応じて、このサイド パネルからさらに多くのアクションを実行できます。

  • エンティティの完全なエンティティ ページにピボットして、より長い期間にわたってさらに詳細を取得するか、そのエンティティを中心とするグラフィカルな調査ツールを起動します。
  • プレイブックを実行して、エンティティに対して特定の応答または修復アクションを実行します (プレビュー段階)。
  • エンティティを侵害インジケーター (IOC) として分類し、脅威インテリジェンス リストに追加します。

これらの各アクションは現在、特定のエンティティ型でサポートされており、他のエンティティの種類ではサポートされていません。 次の表は、どのエンティティ タイプに対してどのアクションがサポートされているかを示しています。

使用可能なアクション ▶
エンティティ型 ▼
すべての詳細を表示
(エンティティ ページ内)
TI に追加 * プレイブックを実行する *
(プレビュー)
ユーザー アカウント
Host
IP アドレス (IP address)
URL
ドメイン名
ファイル (ハッシュ)
Azure リソース
IoT デバイス

* [TI に追加] または [プレイブックの実行] アクションを使用できるエンティティの場合は、インシデント ページを離れることなく、[概要] タブ[エンティティ] ウィジェットからこれらのアクションを実行できます。

ログを調べる

ここで、詳細を調べて、正確に何が起こったのかを知りたいと思うでしょう。上記のほぼすべての場所から、インシデントに含まれる個々のアラート、エンティティ、分析情報、およびその他の項目をドリルダウンして、元のクエリとその結果を表示できます。 これらの結果は、インシデントの詳細ページのパネル拡張としてここに表示される [ログ (ログ分析)] 画面に表示されるため、調査のコンテキストを離れることはありません。

レコードを順番に保持する

最後に、透明性、アカウンタビリティ、継続性の点で、インシデントに対して実行されたすべてのアクション (自動化されたプロセスまたはユーザーによるもの) の記録が必要になります。 インシデント アクティビティ ログには、これらのアクティビティがすべて表示されます。 また、作成されたコメントを表示して、独自のコメントを追加することもできます。 アクティビティ ログは、開いている間も常に自動更新されるため、リアルタイムで変更を確認できます。

次のステップ

このドキュメントでは、Microsoft Sentinel でのインシデント調査エクスペリエンスが、単一のコンテキストでの調査の実施にどのように役立つかを学びました。 インシデントの管理と調査の詳細については、次の記事を参照してください。