脅威インテリジェンスの概念を理解する

  • [アーティクル]

適用対象:

注:

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

複数の複雑な悪意のあるイベント、属性、コンテキスト情報は、高度なサイバーセキュリティ攻撃を構成します。 これらのアクティビティのうち、疑わしいと見なされるアクティビティを特定して決定することは、困難な作業になる可能性があります。 業界固有の既知の属性と異常なアクティビティに関する知識は、監視された動作を疑わしいと呼ぶタイミングを知る上で基本的です。

Microsoft Defender XDRを使用すると、organizationで発生する可能性のある攻撃アクティビティを追跡するのに役立つカスタム脅威アラートを作成できます。 不審なイベントにフラグを設定して、手がかりをまとめ、攻撃チェーンを停止することができます。 これらのカスタム脅威アラートは、organizationにのみ表示され、追跡するように設定したイベントにフラグを設定します。

カスタム脅威アラートを作成する前に、アラート定義の背後にある概念と侵害のインジケーター (IOC) とその間の関係を把握することが重要です。

アラート定義

アラート定義はコンテキスト属性であり、サイバーセキュリティ攻撃の可能性に関する早期の手掛かりを特定するためにまとめて使用できます。 通常、これらのインジケーターは、攻撃の目的を達成するために攻撃者が実行したアクティビティ、特性、アクションの組み合わせです。 これらの属性の組み合わせを監視することは、攻撃に対する見晴らしのポイントを得る上で重要であり、攻撃者の目的に達する前にイベントのチェーンを妨害する可能性があります。

侵害のインジケーター (IOC)

IOC は、ネットワークまたはデバイスが既に侵害されていることを示す個別に既知の悪意のあるイベントです。 アラート定義とは異なり、これらのインジケーターは侵害の証拠と見なされます。 攻撃が既に実行され、流出などの目的に達した後によく見られます。 また、フォレンジック調査中に IOC を追跡することも重要です。 攻撃チェーンに介入できない可能性がありますが、これらのインジケーターを収集すると、将来の攻撃に対してより良い防御を作成するのに役立ちます。

アラート定義と IOC の関係

Microsoft Defender XDRとMicrosoft Defender for Endpointのコンテキストでは、アラート定義は IOC のコンテナーであり、特定の IOC 一致に対して発生するメタデータを含むアラートを定義します。 アラート定義の一部として、さまざまなメタデータが提供されます。 攻撃のアラート定義名、重大度、説明などのメタデータは、他のオプションと共に提供されます。

各 IOC は、その種類、値、およびアクションに基づいて具体的な検出ロジックを定義します。これにより、その検出ロジックの一致方法が決まります。 これは、Microsoft Defender XDR コンソールで検出をアラートとして表示する方法を定義する特定のアラート定義にバインドされます。

IOC の例を次に示します。

  • 型: Sha1
  • 値: 92cfceb39d57d914ed8b14d0e37643de0797ae56
  • アクション: 等しい

IOC は、アラート定義と多対一の関係を持ち、アラート定義に対応する多数の IOC を持つことができます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。