Microsoft Sentinel の脅威の検出および軽減機能について説明する

  • 7 分

組織のネットワーク セキュリティ境界を効果的に管理するには、適切な組み合わせのツールとシステムが必要です。 Microsoft Sentinel は、スケーラブルなクラウドネイティブ SIEM/SOAR ソリューションであり、インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に提供します。 この 1 つのソリューションで、アラートの検出、脅威の可視性、予防的ハンティング、脅威への対応が可能になります。

Diagram showing the four aspects of Microsoft Sentinel: collect, detect, investigate, and respond.

この図では、Microsoft Sentinel のエンドツーエンド機能が示されています。

  • オンプレミスと複数のクラウド内の両方で、すべてのユーザー、デバイス、アプリケーション、インフラストラクチャにわたってクラウド規模でデータを収集します。
  • 分析と、比類のない脅威インテリジェンスを使用して、以前に検出されていない脅威を検出し、誤検知を最小限に抑えます。
  • Microsoft が長年にわたって取り組んできたサイバーセキュリティの研究を活用し、人工知能 (AI) を使って脅威を調査し、疑わしいアクティビティを大規模に追求します。
  • 一般的なセキュリティ タスクの組み込みオーケストレーションと自動化により、インシデントに迅速に対応します。

Microsoft Sentinel は、最新のセキュリティ オペレーション センター (SOC) でエンドツーエンドのセキュリティ操作を有効にするのに役立ちます。 Microsoft Sentinel の主な機能の一部を次に示します。

データに Sentinel を接続する

Microsoft Sentinel をオンボードするには、まずセキュリティ ソースに接続する必要があります。 Microsoft Sentinel には、すぐに使用できる Microsoft ソリューション用コネクタが多数用意されており、リアルタイムの統合を実現できます。 含まれるのは、Microsoft Defender XDR ソリューションと、Office 365 や Microsoft Entra などの Microsoft 365 ソースです。 さらに、Microsoft 以外のソリューションのより広範なセキュリティ エコシステムへの組み込みコネクタがあります。 Microsoft Sentinel GitHub リポジトリに記載されているコミュニティ構築データ コネクタを使用するか、データ ソースを Microsoft Sentinel に接続する方法についての一般的なデプロイ手順に従って、データ ソースを接続することもできます。 情報へのリンクは、概要とリソース ユニットの詳細情報セクションに含まれています。

Workbooks

Microsoft Sentinel にデータ ソースを接続したら、Microsoft Sentinel と Azure Monitor ブックの統合を使用してデータを監視できます。 ブックは、あらゆる階層の SOC エンジニアとアナリストを対象としており、データの視覚化に使用されます。 Azure portal 内でデータを分析し、高度な視覚的レポートを作成するためのキャンバスが表示されます。

この統合により、Microsoft Sentinel で、データ全体にわたるカスタム ブックを作成できます。 また、付属する組み込みブック テンプレートにより、データ ソースに接続するとすぐに、データ全体の分析情報を取得できます。

Analytics

Microsoft Sentinel では、分析を使用してアラートをインシデントに関連付けることができます。 インシデントは、調査して解決できる対応可能な脅威をまとめた、関連するアラートのグループです。 Microsoft Sentinel の分析では、組み込みの相関関係ルールをそのまま使用することも、独自のルールを作成する開始点として使用することもできます。 Microsoft Sentinel には、ネットワークの動作をマップし、リソース全体の異常を探すための機械学習ルールも用意されています。 これらの分析では、さまざまなエンティティに関する信頼度の低いアラートを組み合わせて信頼度の高いセキュリティ インシデントにすることで、点を結び付けます。

Microsoft Sentinel でインシデントを管理する

インシデント管理を使用して、インシデントのライフサイクルを管理できます。 インシデントに集約されたすべての関連アラートを表示します。 トリアージと調査を行うこともできます。 インシデント内のすべての関連エンティティと、トリアージ プロセスにとって意味のある追加のコンテキスト情報を確認します。 アラートと関連エンティティを調査して、侵害の範囲を把握します。 インシデントにグループ化されたアラートでプレイブックをトリガーし、アラートで検出された脅威を解決します。 状態を変更する、調査のために個人にインシデントを割り当てるなど、標準的なインシデント管理タスクを実行することもできます。

プレイブックを使用したセキュリティのオートメーションとオーケストレーション

Microsoft Sentinel を使用して、セキュリティ運用の一部を自動化し、セキュリティ運用センター (SOC) の生産性を高めることができます。 Microsoft Sentinel は Azure Logic Apps と統合されているため、イベントに対応して自動化ワークフロー (プレイブック) を作成することができます。 セキュリティ プレイブックは、すべての階層の SOC エンジニアとアナリストがタスクを自動化および簡素化し、応答を調整するのに役立つプロシージャのコレクションです。 プレイブックは、1 つの反復可能なタスクに最適であり、コーディングの知識は必要ありません。

調査

Microsoft Sentinel の詳細調査ツールは、潜在的なセキュリティの脅威の範囲を把握し、根本的な原因を見つけるのに役立ちます。 対話型グラフでエンティティを選択して特定の質問をし、そのエンティティとその接続をドリルダウンして、脅威の根本原因を把握します。

検出

MITRE フレームワーク (敵対者の戦術と技法のグローバル データベース) に基づいて、Microsoft Sentinel の強力なハンティング検索およびクエリ ツールを使用して、アラートがトリガーされる前に、組織のデータ ソース全体でセキュリティの脅威を予防的に追求できます。 攻撃の可能性について重要な分析情報を提供する捜索クエリがわかったら、クエリに基づいてカスタム検出ルールを作成し、セキュリティ インシデントの対応者へのアラートとしてそのような分析情報を表示することができます。

ハンティング中は、関心のあるイベントをブックマークできます。 イベントをブックマークすることで、後で戻る、他の人と共有する、他の関連イベントとグループ化して調査のために説得力のあるインシデントを作成することができます。

ノートブック

Microsoft Sentinel は、Jupyter ノートブックをサポートしています。 Jupyter Notebook はオープン ソースの Web アプリケーションであり、ライブ コード、数式、視覚化、および説明テキストが含まれるドキュメントを作成して共有することができます。 Microsoft Sentinel で Jupyter ノートブックを使用して、Microsoft Sentinel データを使ってできることの範囲を広げることができます。 たとえば、Microsoft Sentinel に組み込まれていない分析を実行する (一部の Python の機械学習機能など)、Microsoft Sentinel に組み込まれていないデータの視覚化を作成する (カスタムのタイムラインやプロセス ツリーなど)、Microsoft Sentinel の外部のデータソースを統合する (オンプレミスのデータ セットなど) ことができます。

コミュニティ

Microsoft Sentinel コミュニティは、脅威の検出とオートメーションのための強力なリソースです。 Microsoft のセキュリティ アナリストは、新しいブック、プレイブック、ハンティング クエリなどを絶えず作成および追加し、お客様の環境で使用できるようにコミュニティに投稿しています。 プライベート コミュニティの GitHub リポジトリからサンプル コンテンツをダウンロードして、Microsoft Sentinel 用のカスタム ブック、捜索クエリ、ノートブック、プレイブックを作成できます。

コンテンツ ハブ

Microsoft Sentinel のコンテンツ ハブは、そのまま使える (組み込みの) パッケージ ソリューションを検出して管理するための一元的な場所です。 Microsoft Sentinel ソリューションは、Microsoft Sentinel コンテンツまたは Microsoft Sentinel API 統合のパッケージであり、単一ステップでデプロイと有効化を行うことができます。 Microsoft Sentinel のエンドツーエンドの製品、ドメイン、または業界の垂直シナリオを実現するコンテンツ ハブ ソリューション。

コンテンツ ハブで、カテゴリとその他のパラメーターでフィルター処理して、組織のニーズとユース ケースに最も適したコンテンツを見つけます。 コンテンツ ハブは、各ソリューションとコンテンツに適用されるサポート モデルも示しています。一部のコンテンツは Microsoft によって保守されており、他のコンテンツはパートナーまたはコミュニティによって保守されています。 Microsoft Sentinel コンテンツ ハブを使用して、すぐに使用できるコンテンツの更新プログラムを管理することもできます。