Az - Defender

Reading time: 15 minutes

Microsoft Sentinel

Microsoft Sentinelは、Azure上のクラウドネイティブなSIEM（セキュリティ情報およびイベント管理）およびSOAR（セキュリティオーケストレーション、自動化、応答）ソリューションです。

それは、組織全体（オンプレミスおよびクラウド）からのセキュリティデータを単一のプラットフォームに集約し、組み込みの分析および脅威インテリジェンスを使用して潜在的な脅威を特定します。Sentinelは、Log Analytics（大規模なログストレージとクエリ用）やLogic Apps（自動化されたワークフロー用）などのAzureサービスを活用しており、これは需要に応じてスケールし、AzureのAIおよび自動化機能と統合できることを意味します。

本質的に、Sentinelはさまざまなソースからログを収集および分析し、異常や悪意のある活動を検出し、セキュリティチームが迅速に脅威を調査し対応できるようにします。すべてはAzureポータルを通じて、オンプレミスのSIEMインフラストラクチャを必要とせずに行われます。

Microsoft Sentinelの設定

Azure Log AnalyticsワークスペースでSentinelを有効にすることから始めます（ワークスペースはログが保存され、分析される場所です）。以下は、開始するための高レベルの手順です。

1. ワークスペースでMicrosoft Sentinelを有効にする: Azureポータルで、既存のLog Analyticsワークスペースを作成または使用し、Microsoft Sentinelを追加します。これにより、Sentinelの機能がワークスペースに展開されます。
2. データソース（データコネクタ）を接続する: Sentinelが有効になると、組み込みのデータコネクタを使用してデータソースを接続します。Entra IDログ、Office 365、またはファイアウォールログなど、Sentinelは自動的にログとアラートを取り込み始めます。これは、使用しているログワークスペースにログを送信する診断設定を作成することで一般的に行われます。
3. 分析ルールとコンテンツを適用する: データが流入するようになったら、組み込みの分析ルールを有効にするか、脅威を検出するためのカスタムルールを作成します。検出機能を迅速に開始するために、Content Hubを使用して事前パッケージ化されたルールテンプレートやワークブックを利用します。
4. （オプション）自動化を設定する: インシデントに自動的に応答するためのプレイブックを使用して自動化を設定します。たとえば、アラートを送信したり、侵害されたアカウントを隔離したりすることで、全体的な応答を強化します。

主な機能

• ログ: ログブレードはLog Analyticsクエリインターフェースを開き、**Kusto Query Language (KQL)**を使用してデータを深く掘り下げることができます。このエリアは、トラブルシューティング、フォレンジック分析、およびカスタムレポートにとって重要です。ログイベントをフィルタリングしたり、異なるソース間でデータを相関させたり、発見に基づいてカスタムダッシュボードやアラートを作成したりするためにクエリを作成および実行できます。これはSentinelの生データ探索センターです。
• 検索: 検索ツールは、セキュリティイベント、インシデント、特定のログエントリを迅速に見つけるための統一インターフェースを提供します。複数のブレードを手動でナビゲートするのではなく、キーワード、IPアドレス、またはユーザー名を入力することで、関連するすべてのイベントを瞬時に表示できます。この機能は、異なる情報の断片を迅速に接続する必要がある調査中に特に便利です。
• インシデント: インシデントセクションは、すべてのグループ化されたアラートを管理可能なケースに集中させます。Sentinelは関連するアラートを単一のインシデントに集約し、重大度、タイムライン、影響を受けるリソースなどのコンテキストを提供します。インシデント内では、アラート間の関係をマッピングした詳細な調査グラフを表示でき、潜在的な脅威の範囲と影響を理解しやすくします。インシデント管理には、タスクの割り当て、ステータスの更新、応答ワークフローとの統合オプションも含まれています。
• ワークブック: ワークブックは、セキュリティデータを視覚化および分析するためのカスタマイズ可能なダッシュボードおよびレポートです。さまざまなチャート、テーブル、クエリを組み合わせて、トレンドやパターンの包括的なビューを提供します。たとえば、サインイン活動のタイムライン、IPアドレスの地理的マッピング、特定のアラートの頻度を表示するためにワークブックを使用することがあります。ワークブックは事前構築されたものと完全にカスタマイズ可能なものがあり、組織の特定の監視ニーズに合わせることができます。
• ハンティング: ハンティング機能は、標準のアラートをトリガーしない可能性のある脅威を見つけるための積極的なアプローチを提供します。MITRE ATT&CKなどのフレームワークに沿った事前構築されたハンティングクエリが付属していますが、カスタムクエリを書くこともできます。このツールは、隠れたまたは新たに出現する脅威を発見しようとする高度なアナリストに最適です。歴史的およびリアルタイムデータを探索することで、異常なネットワークパターンや異常なユーザー行動を特定できます。
• ノートブック: ノートブック統合により、Sentinelは高度なデータ分析および自動化された調査のためのJupyterノートブックを活用します。この機能により、Sentinelデータに対して直接Pythonコードを実行でき、機械学習分析を行ったり、カスタム視覚化を構築したり、複雑な調査タスクを自動化したりすることが可能になります。これは、標準的なクエリを超えた深い分析を行う必要があるデータサイエンティストやセキュリティアナリストに特に便利です。
• エンティティの行動: エンティティの行動ページは、**ユーザーおよびエンティティの行動分析（UEBA）**を使用して、環境全体の正常な活動のベースラインを確立します。ユーザー、デバイス、IPアドレスの詳細なプロファイルを表示し、典型的な行動からの逸脱を強調表示します。たとえば、通常は低活動のアカウントが突然大量のデータ転送を示す場合、この逸脱がフラグされます。このツールは、行動の異常に基づいて内部の脅威や侵害された資格情報を特定するために重要です。
• 脅威インテリジェンス: 脅威インテリジェンスセクションでは、悪意のあるIPアドレス、URL、ファイルハッシュなどの外部脅威インジケーターを管理および相関させることができます。外部インテリジェンスフィードと統合することで、Sentinelは既知の脅威に一致するイベントを自動的にフラグできます。これにより、広範な既知のキャンペーンの一部である攻撃を迅速に検出し、対応するのに役立ち、セキュリティアラートにさらなるコンテキストを追加します。
• MITRE ATT&CK: MITRE ATT&CKブレードでは、Sentinelがセキュリティデータと検出ルールを広く認識されているMITRE ATT&CKフレームワークにマッピングします。このビューは、環境で観察されている戦術や技術を理解し、カバレッジの潜在的なギャップを特定し、認識された攻撃パターンに対して検出戦略を整合させるのに役立ちます。これは、敵が環境を攻撃する方法を分析するための構造化された方法を提供し、防御行動の優先順位を付けるのに役立ちます。
• コンテンツハブ: コンテンツハブは、データコネクタ、分析ルール、ワークブック、プレイブックを含む事前パッケージ化されたソリューションの集中リポジトリです。これらのソリューションは、デプロイメントを加速し、Office 365、Entra IDなどの一般的なサービスのベストプラクティス構成を提供することで、セキュリティ姿勢を改善するように設計されています。これらのコンテンツパックをブラウズ、インストール、更新できるため、新しい技術をSentinelに統合する際の手動設定を大幅に簡素化できます。
• リポジトリ: リポジトリ機能（現在プレビュー中）は、Sentinelコンテンツのバージョン管理を可能にします。GitHubやAzure DevOpsなどのソース管理システムと統合し、分析ルール、ワークブック、プレイブック、その他の構成をコードとして管理できます。このアプローチは、変更管理とコラボレーションを改善するだけでなく、必要に応じて以前のバージョンにロールバックするのを容易にします。
• ワークスペース管理: Microsoft Sentinelのワークスペースマネージャーは、1つ以上のAzureテナント内で複数のMicrosoft Sentinelワークスペースを中央管理することを可能にします。中央ワークスペース（ワークスペースマネージャーが有効な場合）は、メンバーワークスペースにスケールで公開されるコンテンツアイテムを統合できます。
• データコネクタ: データコネクタページには、Sentinelにデータを持ち込むためのすべての利用可能なコネクタがリストされています。各コネクタは、特定のデータソース（Microsoftおよびサードパーティの両方）用に事前構成されており、その接続状況を示します。データコネクタの設定は通常数回のクリックで行われ、その後Sentinelはそのソースからログを取り込み、分析を開始します。このエリアは、セキュリティ監視の質と範囲が接続されたデータソースの範囲と構成に依存するため、重要です。
• 分析: 分析ブレードでは、Sentinelのアラートを駆動する検出ルールを作成および管理します。これらのルールは、ログデータ内の疑わしいパターンや閾値の違反を特定するために、スケジュール（またはほぼリアルタイム）で実行されるクエリです。Microsoftが提供する組み込みテンプレートから選択するか、KQLを使用して独自のカスタムルールを作成できます。分析ルールは、アラートが生成される方法とタイミングを決定し、インシデントの形成と優先順位に直接影響を与えます。
• ウォッチリスト: Microsoft Sentinelのウォッチリストは、外部データソースからのデータを収集し、Microsoft Sentinel環境内のイベントと相関させることを可能にします。作成後、ウォッチリストを検索、検出ルール、脅威ハンティング、ワークブック、応答プレイブックで活用します。
• 自動化: 自動化ルールは、インシデント処理のすべての自動化を中央管理することを可能にします。自動化ルールはMicrosoft Sentinelでの自動化の使用を合理化し、インシデントオーケストレーションプロセスの複雑なワークフローを簡素化します。