手順 3. Microsoft Sentinel でデータ ソースを取り込み、インシデント検出を構成する
Microsoft Sentinel ワークスペースの設計と実装が完了したら、データ ソースの取り込みとインシデント検出の構成に進みます。
Microsoft Sentinel は、データ コネクタ、ブック、分析、オートメーションといった Microsoft Sentinel のコンテンツを 1 回のデプロイ ステップでワークスペースに取得する、統合された方法を提供します。
データ コネクタは、ワークスペースへのデータ インジェストを有効にするように構成されます。 主要なデータ ポイントを Microsoft Sentinel に取り込むことができるようにしたら、異常な、および悪意のあるアクティビティをキャプチャするために、ユーザー/エンティティ行動分析 (UEBA) および分析ルールも有効にする必要があります。 分析ルールは、Microsoft Sentinel インスタンスでアラートとインシデントをどのように生成するかを指示します。 エンティティ マッピングを使用して環境と組織のニーズに合わせて分析ルールを調整すると、高忠実度のインシデントを生成して、アラート疲れを軽減できます。
ワークスペースを統合セキュリティ オペレーション プラットフォームにオンボードした場合、このステップの手順を Azure と Defender のどちらのポータルでも使用できます。
開始する前に
インストール方法、必要なロール、およびデータ コネクタを有効にするために必要なライセンスを確認します。 詳細については、「Microsoft Sentinel データ コネクタを見つける」を参照してください。
次の表は、Azure および Microsoft サービスの主要な Microsoft Sentinel データ コネクタの取り込みに必要な前提条件の概要です。
| リソースの種類 | インストール方法 | 役割 / アクセス許可 / ライセンスが必要 |
|---|---|---|
| Microsoft Entra ID | ネイティブ データ コネクタ | セキュリティ管理者 サインイン ログには Microsoft Entra ID P1 または P2 ライセンスが必要です その他のログには P1 または P2 は必要ありません |
| Microsoft Entra ID Protection | ネイティブ データ コネクタ | セキュリティ管理者 ライセンス: Microsoft Entra ID P2 |
| Azure アクティビティ | Azure Policy | サブスクリプションに必要な所有者役割 |
| Microsoft Defender XDR | ネイティブ データ コネクタ | セキュリティ管理者 ライセンス: Microsoft 365 E5、Microsoft 365 A5、またはその他の Microsoft Defender XDR 対象ライセンス |
| Microsoft Defender for Cloud | ネイティブ データ コネクタ | Security Reader 双方向同期を有効にするには、サブスクリプションに共同作成者/セキュリティ管理者の役割が必要です。 |
| Microsoft Defender for Identity | ネイティブ データ コネクタ | セキュリティ管理者 ライセンス: Microsoft Defender for Identity |
| Microsoft Defender for Office 365 | ネイティブ データ コネクタ | セキュリティ管理者 ライセンス: Microsoft Defender for Office 365 プラン 2 |
| Microsoft 365 | ネイティブ データ コネクタ | セキュリティ管理者 |
| Microsoft Defender for IoT | IoT ハブを使用したサブスクリプションへの投稿者 | |
| Microsoft Defender for Cloud Apps | ネイティブ データ コネクタ | セキュリティ管理者 ライセンス: Microsoft Defender for Cloud Apps |
| Microsoft Defender for Endpoint | ネイティブ データ コネクタ | セキュリティ管理者 ライセンス: Microsoft Defender for Endpoint |
| Windows セキュリティ イベント Azure Monitor エージェント (AMA) を使用する |
エージェントを使用したネイティブ データ コネクタ | Log Analytics ワークスペースでの読み取り / 書き込み |
| Syslog | エージェントを使用したネイティブ データ コネクタ | Log Analytics ワークスペースの読み取り / 書き込み |
手順 1: ソリューションをインストールし、データ コネクタを有効にする
ソリューションのインストールとデータ コネクタの構成を開始するには、次の推奨事項を利用します。 詳細については、以下を参照してください:
無料データ ソースを設定する
最初の重点作業として、次のような内容を取り込むよう無料データ ソースを設定します。
Azure アクティビティ ログ: Azure アクティビティ ログの取り込みは、Microsoft Sentinel で環境全体を 1 つのウィンドウで表示できるようにするために重要です。
Office 365 監査ログ (すべての SharePoint アクティビティ、Exchange 管理者アクティビティ、Teams を含む)。
セキュリティ アラート (Microsoft Defender for Cloud、Microsoft Defender XDR、Microsoft Defender for Office 365、Microsoft Defender for Identity、Microsoft Defender for Endpoint からのアラートを含む)。
ワークスペースを統合セキュリティ オペレーション プラットフォームにオンボードしておらず、Azure portal で作業している場合、Microsoft Sentinel にセキュリティ アラートを取り込むと、Azure portal を環境全体のインシデント管理の中央ペインにすることができます。 このような場合、インシデント調査は Microsoft Sentinel から始め、より詳細な分析が必要な場合は、Microsoft Defender ポータルまたは Defender for Cloud で続ける必要があります。
詳細については、Microsoft Defender XDR インシデントと Microsoft インシデントの作成規則に関する記事を参照してください。
Microsoft Defender for Cloud Apps アラート。
詳細については、「Microsoft Sentinel の価格」および「無料データ ソース」を参照してください。
有料データ ソースを設定する
監視とアラートの対象範囲を広げるには、Microsoft Entra ID および Microsoft Defender XDR データ コネクタの追加を重点的に行います。 これらのソースからのデータの取り込みには料金がかかります。
次のいずれかが必要な場合は、Microsoft Defender XDR ログを Microsoft Sentinel に送信します。
- 統合セキュリティ オペレーション プラットフォームへのオンボード。これで、Microsoft Defender でのインシデント管理用の単一のポータルが得られます。
- Microsoft Sentinel Fusion アラート。これは、複数の製品のデータ ソースを関連付けて、環境全体のマルチステージ攻撃を検出します。
- Microsoft Defender XDR で提供されるものよりも長いリテンション期間。
- Microsoft Defender for Endpoint によって提供される組み込み修復の対象ではない自動化。
詳細については、以下を参照してください:
- Microsoft 365 Defender の統合
- Microsoft Defender XDR から Microsoft Sentinel にデータを接続する
- Microsoft Entra データを Microsoft Sentinel に接続する
環境ごとにデータ ソースを設定する
このセクションでは、お使いの環境で使用されるサービスとデプロイ方法に応じた、使用できるデータ ソースについて説明します。
| シナリオ | データ ソース |
|---|---|
| Azure サービス | 次のいずれかのサービスが Azure にデプロイされている場合は、次のコネクタを使用して、これらのリソースの診断ログを Microsoft Sentinel に送信します。 - Azure Firewall - Azure Application Gateway - Keyvault - Azure Kubernetes Service - Azure SQL - ネットワーク セキュリティ グループ - Azure Arc サーバー 基になる Log Analytics ワークスペースにログを転送することを求めるよう、Azure Policy を設定することをお勧めします。 詳細については、「Azure Policy を使用して大規模な診断設定を作成する」を参照してください。 |
| 仮想マシン | オンプレミスで、またはログの収集が必要な他のクラウド内でホストされている仮想マシンの場合、次のデータ コネクタを使用します。 - AMA を用した Windows セキュリティ イベント - Defender for Endpoint を介したイベント (サーバーの場合) - Syslog |
| ネットワーク仮想アプライアンス/オンプレミス ソース | Common Event Format (CEF) または SYSLOG ログを生成するネットワーク仮想アプライアンスまたは他のオンプレミス ソースの場合は、次のデータ コネクタを使用します。 - AMA 経由の Syslog - AMA 経由の Common Event Format (CEF) 詳しくは「Azure Monitor エージェントを使用して Syslog と CEF のメッセージを Microsoft Sentinel に取り込む」を参照してください。 |
完了したら、Microsoft Sentinel コンテンツ ハブで、Microsoft Sentinel にログを送信する必要がある他のデバイスとサービスとしてのソフトウェア (SaaS) アプリを検索します。
詳細については、「Microsoft Sentinel のすぐに利用できるコンテンツを検出して管理する」を参照してください。
手順 2: ユーザー エンティティの動作分析を有効にする
Microsoft Sentinel でデータ コネクタを設定したら、ユーザー エンティティの動作分析を有効にして、フィッシングでの悪用や最終的にランサムウェアなどの攻撃につながるおそれのある疑わしい動作を特定します。 多くの場合、UEBA を使用した異常検出は、ゼロデイ攻撃を早期に検出するための最適な方法です。
UEBA を使用すると、Microsoft Sentinel は、時間とピア グループをまたいで組織のエンティティの行動プロファイルを構築し、異常なアクティビティを識別できます。 これにより、資産が侵害されたかどうかを判断するための探索に役立つユーティリティが追加されました。 ピア グループの関連付けを識別するため、これは、上記の侵害の爆発半径を決定する際にも役立ちます。
詳細については、エンティティの動作分析を使用した脅威の特定に関する記事を参照してください
手順 3: 分析ルールを有効にする
Microsoft Sentinel の知能は分析ルールから得られたものです。 これらは、重要と考えられる一連の条件を備えたイベントをアラートで知らせるように、Microsoft Sentinel に指示するために設定したルールです。 あらかじめ用意された、Microsoft Sentinel が行う意思決定は、ユーザー エンティティの行動分析 (UEBA) と複数のデータ ソースにまたがるデータの相関関係に基づいています。
Microsoft Sentinel の分析ルールを有効にする場合、接続されたデータ ソース、組織のリスク、MITRE 戦術による有効化を優先します。
重複するインシデントを回避する
Microsoft Defender XDR コネクタを有効にしている場合、365 Defender インシデントと Microsoft Sentinel の間の双方向同期が自動的に確立されます。
同じアラートに対して重複したインシデントが作成されないようにするには、Microsoft Defender XDR に統合された製品 (Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps、Microsoft Entra ID 保護など) のすべての Microsoft インシデントの作成ルールをオフにすることをお勧めします。
詳細については、Microsoft Defender XDR インシデントと Microsoft インシデントの作成規則に関する記事を参照してください。
Fusion アラートを使用する
既定では、Microsoft Sentinel で、Fusion の高度なマルチステージ攻撃検出分析ルールによってマルチステージ攻撃を自動的に特定できます。
Microsoft Sentinel では、サイバー キル チェーン全体で検出された異常な動作と疑わしいアクティビティのイベントを使用してインシデントを生成し、2 つ以上のアラート アクティビティを含む侵害インシデントを、高い信頼度を持って確認できるようにします。
Fusion アラート テクノロジでは、広範なデータ信号ポイントを拡張された機械学習 (ML) 分析と関連付けて、既知、不明、そして新たな脅威を特定できるようにします。 たとえば、Fusion の検出では、ランサムウェア シナリオ用に作成された異常ルール テンプレートとスケジュール設定されたクエリを、次のような Microsoft Security スイート サービスからのアラートと組み合わせることができます。
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
異常ルールを使用する
Microsoft Sentinel の異常ルールは、そのまま使用できるようになっており、既定で有効になっています。 異常ルールは、ユーザー、ホストなどにおける異常な動作にフラグを設定するようワークスペース内のデータでトレーニングする、機械学習モデルと UEBA に基づいています。
多くの場合、フィッシング攻撃は、ローカルまたはクラウド アカウントの操作/制御や悪意のあるスクリプトの実行といった、実行ステップにつながります。 異常ルールを使用すると、次のような種類のアクティビティが正確に探索されます。
- 異常なアカウント アクセスの削除
- 異常なアカウント作成
- 異常なアカウント削除
- 異常なアカウント操作
- 異常なコード実行 (UEBA)
- 異常なデータ破壊
- 異常な防御メカニズムの変更
- 異常なサインインの失敗
- 異常なパスワード リセット
- 異常な特権付与
- 異常なサインイン
それぞれの異常ルールと異常スコアしきい値を確認します。 たとえば、誤検知を観察している場合は、「異常ルールの調整」で説明されている手順に従って、ルールを複製し、しきい値を変更することを検討してください。
Microsoft 脅威インテリジェンス分析ルールを使用する
Fusion および異常のルールを確認して変更したら、そのまま使用できるように用意された Microsoft 脅威インテリジェンス分析ルールを有効にします。 このルールが、Microsoft によって生成された脅威インテリジェンスとログ データと一致することを確認します。 Microsoft には、膨大な脅威インテリジェンス データのリポジトリがあり、この分析ルールではそのサブセットを使用して、SOC (セキュリティ オペレーション センター) チームがトリアージを行う高忠実度のアラートとインシデントを生成します。
MITRE Att&ck クロスウォークを実施する
Fusion、異常、脅威インテリジェンスの分析ルールを有効にしたら、MITRE ATT&CK クロスウォークを実施して、残りのどの分析ルールを有効にするかを決定し、成熟した XDR (拡張検出と対応) プロセスの実装を完了する必要があります。 これにより、攻撃のライフサイクル全体に対して、検出と対応を行うことができます。
MITRE ATT&CK 研究部署は MITRE メソッドを作成しました。これは、実装が容易になるように Microsoft Sentinel の一部として提供されています。 攻撃ベクトルのアプローチの縦横全体を網羅する分析ルールがあることを確認します。
既存のアクティブな分析ルールの対象になっている MITRE 手法を確認します。
[Simulated] (シミュレート) ドロップダウンで、[Analytic rule templates] (分析ルール テンプレート) と [Anomaly Rules] (異常ルール) を選択します。 これで、敵対者の戦術と手法が対象範囲になっている場所と、対象範囲を改善するために有効にすることを検討する必要がある、用意された分析ルールが存在する場所が表示されます。
たとえば、潜在的なフィッシング攻撃を検出するには、[Phishing] (フィッシング) 手法の [Analytic rule templates] (分析ルール テンプレート) を確認し、Microsoft Sentinel にオンボードしたデータ ソースに対して具体的にクエリを実行するルールを優先して有効にします。
一般に、人間が操作するランサムウェア攻撃には 5 つのフェーズがあり、次の図に示すように、フィッシングは初期アクセスに該当します。
引き続き残りの手順を行って、適切な分析ルールを使用してキル チェーン全体が対象になるようにします。
- 初期アクセス
- 資格情報の盗用
- 侵入拡大
- 永続化
- 防御回避
- 流出 (ランサムウェア自体が検出される場所)
推奨されるトレーニング
トレーニング コンテンツは現在、統合セキュリティ オペレーション プラットフォームには対応していません。
データ コネクタを使用して Microsoft Sentinel にデータを接続する
| トレーニング | データ コネクタを使用して Microsoft Sentinel にデータを接続する |
|---|---|
|
ログ データを接続する主な方法は、Microsoft Sentinel に用意されているデータ コネクタを使用することです。 このモジュールでは、使用可能なデータ コネクタの概要を示します。 |
ログを Microsoft Sentinel に接続する
| トレーニング | ログを Microsoft Sentinel に接続する |
|---|---|
|
オンプレミスと複数のクラウドの両方から、すべてのユーザー、デバイス、アプリケーション、インフラストラクチャに関するクラウド規模のデータを、Microsoft Sentinel に接続します。 |
行動分析を使用して脅威を特定する
| トレーニング | 行動分析を使用して脅威を特定する |
|---|---|
|
ログ データを接続する主な方法は、Microsoft Sentinel に用意されているデータ コネクタを使用することです。 このモジュールでは、使用可能なデータ コネクタの概要を示します。 |
次のステップ
手順 4 に進み、インシデントに対応します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示