セキュリティ オペレーションを最適化する
セキュリティ オペレーション センター (SOC) チームは、プロセスと結果の両方を最適化する機会を常に探しています。 環境内のリスクに対して対処するために必要なすべてのデータがあることを確認するともに、必要以上のデータを取り込み、無駄な費用を支払わないようにする必要があります。 同時に、脅威の状況やビジネスの優先順位の変化に応じて、チームは定期的にセキュリティ コントロールを調整し、投資収益率を高く保つために迅速かつ効率的に調整する必要があります。
SOC の最適化は、セキュリティ コントロールを最適化し、時間の経過とともに Microsoft セキュリティ サービスからより多くの価値を得られるようにする方法を明らかにします。
SOC の最適化は、SOC のニーズやカバレッジに影響を与えずに、コストを削減できる領域、または、セキュリティ コントロールとデータが不足していることが判明した場所にこれらを追加できる領域を特定するのに役立つ、精度が高く実用的な推奨事項です。 SOC の最適化は、環境に合わせて調整されおり、現在のカバレッジと脅威の状況に基づいています。
SOC の最適化の推奨事項を使用すると、特定の脅威に対するカバレッジ ギャップを埋め、セキュリティ値を提供しないデータに対するインジェスト率を強化できます。 SOC の最適化は、SOC チームが手動の分析と調査に時間を費やすことなく、Microsoft Sentinel ワークスペースを最適化するために役立ちます。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームの一部として利用できます。 Defender ポータルの Microsoft Sentinel は、運用環境での使用がサポートされるようになりました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
Defender ポータルでの SOC 最適化の概要とデモについては、次のビデオをご覧ください。 デモのみが必要な場合は、8:14 からご覧ください。
前提条件
SOC の最適化では、標準の Microsoft Sentinel ロールとアクセス許可が使用されます。 詳細については、「Microsoft Sentinel のロールとアクセス許可」を参照してください。
Microsoft Defender ポータルで SOC の最適化を使用するには、Microsoft Sentinel が Microsoft Defender XDR と統合されている必要があります。 詳細については、「Microsoft Defender XDR に Microsoft Sentinel を接続する」を参照してください。
SOC の最適化ページにアクセスする
統合 SOC 操作プラットフォームまたは Azure portal のどちらを使用しているかに応じて、次のいずれかのタブを使用します:
Azure portal の Microsoft Sentinel では、[脅威管理] で、[SOC の最適化] を選択します。
SOC 最適化の概要メトリックについて
[概要] タブの上部に表示される最適化メトリックは、どれだけ効率よくデータを使用できているかを深く理解し、推奨事項を実装することで時間の経過とともにどのように変化するかを理解するために役立ちます。
[概要] タブの上部でサポートされているメトリックは次のとおりです:
| タイトル | 説明 |
|---|---|
| 過去 3 か月間に取り込まれたデータ | 過去 3 か月間にワークスペースに取り込まれたデータの合計が表示されます。 |
| 最適化の状態 | 現在アクティブか、完了しているか、または無視されている最適化の推奨事項の数を示します。 |
[すべての脅威シナリオを表示] を選択すると、関連する脅威、アクティブな検出と推奨される検出、カバレッジ レベルの完全な一覧が表示されます。
最適化に関する推奨事項の表示と管理
Azure portal では、SOC 最適化の推奨事項が [SOC 最適化 > 概要] タブに一覧表示されます。
次に例を示します。
![Azure portal の [SOC 最適化の概要] タブのスクリーンショット。](media/soc-optimization-access/soc-optimization-overview-azure.png#lightbox)
![Defender ポータルの [SOC の最適化の概要] タブのスクリーンショット。](media/soc-optimization-access/soc-optimization-overview-defender.png#lightbox)
各最適化のカードには、状態、タイトル、作成日、概要説明、適用対象のワークスペースが含まれます。
最適化のフィルター
最適化の種類に基づいて最適化をフィルター処理するか、横にある検索ボックスを使用して特定の最適化タイトルを検索します。 最適化の種類は次のとおりです:
カバレッジ: さまざまな種類の攻撃に対するカバレッジギャップを埋めるのに役立つセキュリティ制御を追加するための脅威ベースの推奨事項が含まれています。
データ値: 取り込まれたデータからのセキュリティ値を最大化するためにデータの使用状況を改善する方法を提案する推奨事項、または組織にとってより良いデータ計画を提案する推奨事項が含まれています。
最適化の詳細を表示してアクションを実行する
各最適化のカードで、[完全な詳細の表示] を選択して、推奨事項に至るまでの完全な説明と、その推奨事項が実装された場合に環境内で見られる値を確認します。
詳細ウィンドウの下部まで下にスクロールして、推奨されるアクションを実行するためのリンクを表示します。 次に例を示します。
- 最適化に分析ルールを追加する推奨事項が含まれている場合は、[コンテンツ ハブに移動] を選択します。
- テーブルを基本ログに移動する推奨事項が最適化に含まれている場合は、[プランの変更] を選択します。
コンテンツ ハブから分析ルール テンプレートをインストールすることを選択し、ソリューションがまだインストールされていない場合は、完了すると、インストールした分析ルール テンプレートのみがソリューションに表示されます。 選択したソリューションから使用可能なすべてのコンテンツ項目を表示するには、ソリューション全体をインストールします。 詳細については、「Microsoft Sentinel のすぐに利用できるコンテンツを検出して管理する」を参照してください。
最適化の管理
既定では、最適化の状態は[アクティブ]です。 チームがトリアージと推奨事項の実装を進めるにつれて、それぞれの状態を変更してください。
オプション メニューを選択するか、[詳細の表示] を選択して、次のいずれかの操作を実行します:
| アクション | 説明 |
|---|---|
| 完了 | 推奨される各アクションを完了したら、最適化を完了します。 推奨事項を無効にする環境の変更が検出された場合、最適化は自動的に完了し、[完了済み] タブに移動されます。 たとえば、以前は使用されていなかったテーブルに関連する最適化があるとします。 テーブルが新しい分析ルールで使用されるようになった場合、最適化の推奨事項は無効になります。 このような場合は、[概要] タブに、前回のアクセス以降に自動的に完了した最適化の数を示すバナーが表示されます。 |
| 進行中としてマークして / アクティブとしてマーク | 最適化を [進行中] または[アクティブ] としてマークして、現在作業していることを他のチーム メンバーに通知します。 組織の必要性に応じて、これら 2 つの状態を柔軟に、かつ一貫性を持って使用してください。 |
| 無視 | 推奨されるアクションを実行する予定がなく、一覧に表示されないようにする場合は、最適化を閉じます。 |
| フィードバックを送信する | 推奨されたアクションに関するご意見を、Microsoft チームにお聞かせください! フィードバックを共有するときは、機密データを共有しないように注意してください。 詳細については、Microsoft プライバシーに関する声明 を参照してください。 |
完了した最適化と閉じた最適化を表示する
特定の最適化を[完了] または [無視済み] としてマークした場合、または最適化が自動的に完了した場合は、[完了済み] タブと [無視済み] タブにそれぞれ表示されます。
ここから、オプション メニューを選択するか、[完全な詳細 の表示] を選択して、次のいずれかのアクションを実行します:
[最適化を再アクティブ化] し、[概要] タブに戻します。再アクティブ化された最適化は再計算され、最新の値とアクションが提供されます。 これらの詳細の再計算には最大 1 時間かかる場合があるため、時間を空けてから詳細と推奨されるアクションをもう一度確認してください。
再アクティブ化された最適化は、詳細を再計算した後、無効になったことが判明した場合に、[完了済み] タブに直接移動される場合もあります。
Microsoft チームにさらなるフィードバック を提供する。 フィードバックを共有するときは、機密データを共有しないように注意してください。 詳細については、Microsoft プライバシーに関する声明 を参照してください。
API を使用した最適化の使用
Recommendations 操作グループを使用すると、Azure REST API 経由で SOC の最適化にアクセスできます。 たとえば、API を使用して、特定の推奨事項に関する詳細やワークスペース全体の現在のすべての推奨事項を取得できるだけではなく、変更を加えた場合に推奨事項を再評価できます。
SOC 最適化の API ドキュメントは Swagger 仕様でのみ使用でき、REST API リファレンスでは使用できません。 詳細については、「Microsoft Sentinel REST API の API バージョン」を参照してください。
SOC の最適化の使用フロー
このセクションでは、Defender または Azure portal から SOC の最適化を使用するためのサンプル フローを示します:
[SOC の最適化] ページで、まずダッシュボードについて理解します:
- 全体的な最適化の状態の上位メトリックを確認します。
- データ値と脅威ベースのカバレッジに関する最適化の推奨事項を確認します。
最適化の推奨事項を使用して、使用率が低いテーブルを特定します。これは、検出に使用されていないことを示します。 [詳細をすべて表示] を選択すると、未使用のデータのサイズとコストが表示されます。 次のいずれかの操作を検討してください:
保護を強化するためにテーブルを使用する分析ルールを追加します。 このオプションを使用するには、[コンテンツ ハブに移動] を選択して、選択したテーブルを使用する特定の既定の分析ルール テンプレートを表示および構成します。 コンテンツ ハブでは、関連するルールに直接移動するため、関連するルールを検索する必要はありません。
新しい分析ルールで追加のログ ソースが必要な場合は、脅威のカバレッジを改善するために、それらを取り込むことを検討してください。
詳細については、「Microsoft Sentinel ですぐに使用するコンテンツの検出と管理」および「すぐに使える脅威の検出」を参照してください。
コスト削減のためにコミットメント レベルを変更します。 詳細については、「Microsoft Sentinel のコスト削減」を参照してください。
最適化の推奨事項を使用して、特定の脅威に対するカバレッジを向上させます。 たとえば、人間が操作するランサムウェアの最適化の場合は、次のようになります:
[完全な詳細を表示] を選択して、現在のカバレッジと推奨される改善点を確認します。
[すべての MITRE ATT&CK 手法の改善を表示する] を選択して、カバレッジ ギャップを理解するために関連する戦術と手法をドリルダウンして分析します。
[コンテンツ ハブに移動] を選択すると、この最適化のためにフィルター処理されたすべての推奨セキュリティ コンテンツが表示されます。
新しいルールを構成するか、変更を加えた後、推奨事項を完了済みとしてマークするか、システムに自動的に更新させます。
関連するコンテンツ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示