Microsoft Sentinel による脅威の検出 (ルールとアラートの作成)

2024 年 3 月 1 日

この技術的および教育的な記事は、セキュリティアナリスト、IT 管理者、およびシステムエンジニアが、Microsoft Sentinel、Microsoft クラウドネイティブ SIEM (セキュリティ情報およびイベント管理)、および SOAR (セキュリティオーケストレーション、自動化、および応答) を使用して脅威をプロアクティブに検出する方法をガイドすることを目的としています。 Microsoft Sentinel は、複数のソースからデータを収集し、脅威を検出し、インシデントを調査し、自動化された方法で対応することにより、企業全体のセキュリティの統一されたビューを提供します [1]。

はじめに

ますます複雑化、大量化するサイバー脅威の状況において、組織はセキュリティデータを収集するだけでなく、それをインテリジェントに分析して悪意のあるアクティビティを特定するツールを必要としています。 Microsoft Sentinel は、セキュリティチームがリアルタイムで脅威を監視、検出し、対応できるようにすることで、このギャップを埋めます。分析ルールとアラートの作成は Sentinel の検出機能の中心であり、膨大な量のログを実用的な洞察に変換します [2]。

この実践的なガイドでは、データの取り込みからカスタムアラートの作成、その有効性の検証まで、Azure Sentinel での分析ルールの構成について説明します。読者が環境内で脅威検出を実装および最適化し、セキュリティ体制を強化し、インシデント対応を迅速化できるように、段階的な手順、KQL (Kusto Query Language) クエリの例、および説明が提供されます。

脅威検出に Azure Sentinel を使用する理由

クラウドスケーラビリティ: Azure に基づいて、ログの取り込みとストレージに無制限のスケーラビリティを提供します。
統合脅威インテリジェンス: Microsoft とパートナーの脅威インテリジェンスを利用して、検出を強化します。
行動分析 (UEBA): ユーザーおよびエンティティの異常および疑わしい動作を特定します。
自動化 (SOAR): プレイブックを通じてインシデントへの対応を自動化できます。
包括的な可視性: Microsoft 365、Azure、AWS、Google Cloud、サードパーティのセキュリティソリューションを含む複数のデータソースに接続します。

前提条件

Azure Sentinel を使用して脅威検出を構成するには、次のアイテムが必要です。

Azure サブスクリプション: アクティブな Microsoft Azure サブスクリプション。
管理アクセス: Azure portal (portal.azure.com) で Sentinel 共同作成者または Log Analytics 管理者のアクセス許可を持つアカウント。
Log Analytics ワークスペース: Sentinel のデータリポジトリとして機能する、構成された Log Analytics ワークスペース。
Microsoft Sentinel がアクティブ: Microsoft Sentinel が Log Analytics ワークスペースで有効になっている必要があります。
構成されたデータコネクタ: セキュリティデータ (ログ) は、Azure AD、Microsoft 365、Microsoft Defender for Endpoint、ファイアウォールなどのソースから Log Analytics ワークスペースに取り込まれる必要があります [3]。

ステップバイステップ: 分析ルールとアラートの作成

スケジュールされた分析ルールを作成して、一般的な脅威シナリオ、つまりブルートフォースの試みを示す短期間での複数のログイン失敗を検出しましょう。

1. データコネクタを確認する

ルールを作成する前に、関連するデータが取り込まれていることを確認してください。ログイン失敗の検出には、Azure Active Directory (Microsoft Entra ID) のログが必要です。

Azure ポータル:「https://portal.azure.com」に移動します。
Microsoft Sentinel に移動します。
左側のナビゲーションペインで、データコネクタを選択します。
Azure Active Directory を検索し、ステータスが 接続中であることを確認します。

2. スケジュールされた分析ルールを作成する

10 分以内に同じ IP からの 5 回以上のログイン失敗を検出するルールを作成してみましょう。

Azure Sentinel の左側のナビゲーションウィンドウで、分析を選択します。
[+作成] > [スケジュールされたクエリルール] をクリックします。

ステップ 1: 一般

名前: Azure AD ブルートフォース試行
説明: 「短期間内に同じ IP アドレスからの複数の Azure AD ログイン失敗を検出し、ブルートフォース攻撃の可能性を示します。」
戦術: 「資格情報へのアクセス」を選択します。
重大度:「中」。
ステータス:「有効」。
[次へ: Defi] をクリックします。ルールロジックを定義します。

ステップ 2: ルールロジックを定義する

ルールクエリ: KQL クエリを入力します。

「くすと」サインインログ | where ResultType == "50126" // 資格情報の検証が失敗しました | IPAddress、UserPrincipalName、bin(TimeGenerated, 10m) による FailedLogins = count() の要約 |ここで、FailedLogins >= 5 | extend AccountCustomEntity = UserPrincipalName、IPCustomEntity = IPAddress 「」

エンティティマッピング: エンティティをマッピングしてアラートを強化します。 エンティティマッピング で、次を追加します。
- アカウント: AccountCustomEntity
- IP アドレス: IPCustomEntity
予約のスケジュール:
- クエリを実行する間隔: 10 分
- 最新の検索データ: 10 分
アラート制限: デフォルトの「クエリ結果の数が 0 より大きい場合にアラートを生成する」のままにします。

ステップ 3: インシデントの設定

この分析ルールによってトリガーされたアラートからインシデントを作成: 有効。
アラートのグループ化: 「すべてのアラートが同じエンティティから生成されている場合、アラートを 1 つのインシデントにグループ化します」。

ステップ 4: 自動応答

必要に応じて、プレイブック (Logic Apps に基づく) を添付して、ファイアウォールでの IP アドレスのブロックやユーザーアカウントの無効化などのアクションを自動化できます。

ステップ 5: 確認と作成

すべての設定を確認し、作成をクリックします。

アラートとインシデントの調査

ルールが不審なアクティビティを検出すると、インシデントが作成されます。

Azure Sentinel で、インシデント に移動します。
ルールによって生成されたインシデントをクリックします。
インシデントの詳細ページには、次の内容が表示されます。
- タイムライン: アラートの年表。
- エンティティ: マップされたエンティティ (ユーザーと IP)。さらに調査できます。
- 調査グラフ: エンティティ間の接続をグラフィカルに視覚化したもの。

これらのツールを使用して攻撃の範囲を理解し、必要な対応措置を講じます。

分析ルールテンプレートの使用

Microsoft Sentinel には、Microsoft とそのセキュリティコミュニティが提供する何百もの事前に構築されたルールテンプレートが付属しています。これらを使用すると、検出能力を高める簡単な方法です。

分析で、ルールテンプレート タブに移動します。
データソース、MITRE ATT&CK® 戦術などでフィルタリングします。
関連するテンプレート (例: 「異常なサインイン場所」) を選択します。
詳細ペインで [ルールの作成] をクリックします。ウィザードにはテンプレートロジックと設定が入力され、アクティブなルールを作成する前にカスタマイズできます。

結論

Azure Sentinel でのカスタム分析ルールの作成は、セキュリティチームにとって不可欠な機能です。生データを実用的な検出に変換することで、組織はブルートフォース攻撃、水平移動、データ漏洩などの脅威を積極的に特定できます。 Sentinel を応答の自動化と既存のルールテンプレートと組み合わせることで、アナリストは最も重要なこと、つまり組織の保護に集中できるようになります。

参考文献

[1] マイクロソフト。（2023年）。 Microsoft Sentinel とは何ですか? [2] マイクロソフト。（2023年）。 Microsoft Sentinel でインシデントを表示および調査します。 [3] マイクロソフト。（2023年）。 Microsoft Sentinel データコネクタと連携。