脅威分析のための Microsoft Defender Threat Intelligence の実装

2025/06/01

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Defender Threat Intelligence (MDTI) を実装および使用して、組織の脅威分析とセキュリティ体制を改善する方法をガイドすることを目的としています。ますます洗練され、進化するサイバー脅威の状況において、攻撃を効果的に検出、調査し、対応するには、最新の実用的な脅威インテリジェンスにアクセスすることが重要です。 MDTI は、脅威インテリジェンス データの堅牢なリポジトリを提供し、セキュリティ チームが敵対者とその戦術をより深く理解できるようにします [1]。

はじめに

脅威インテリジェンス (IT) は、既存または新たな脅威に関するコンテキスト、メカニズム、指標、影響、実用的なアドバイスなどの証拠に基づいた知識であり、インシデント対応の決定に情報を提供するために使用できます。効果的な脅威インテリジェンスがなければ、セキュリティ チームは攻撃を予測して防止するのではなく、攻撃に反応し、不利な立場で行動することになります。 IT は、侵害の痕跡 (IoC) を特定し、攻撃者の動機を理解し、防御を積極的に強化するのに役立ちます [2]。

Microsoft Defender Threat Intelligence (MDTI) は、世界中の数十億の信号から収集された Microsoft の膨大な脅威インテリジェンスを統合する包括的なプラットフォームです。敵対者、悪意のあるインフラストラクチャ、脆弱性に関する深い洞察を提供し、セキュリティ専門家がトリアージ、インシデント対応、脅威ハンティング、脆弱性管理を合理化できるようにします。 MDTI は、他の Microsoft Defender ソリューションおよび Microsoft Sentinel と統合され、より回復力のあるセキュリティ エコシステムのための統合されたビューと自動化機能を提供します [3]。

この実践的なガイドでは、前提条件、脅威インテリジェンスの概念、MDTI ポータルと API の使用方法、他の Microsoft ソリューションとの統合方法、脅威分析の実行方法、侵害指標 (IoC) の解釈方法、およびベスト プラクティスの適用方法について説明します。読者がこれらの機能を実装、テスト、検証できるように、段階的な手順、実践的な例、および簡潔な説明が提供されます。さらに、脅威インテリジェンスが自律的、専門的かつ確実に使用されることを保証するための、セキュリティのヒント、コンプライアンス チェック、ベスト プラクティスについても説明します。

Microsoft Defender 脅威インテリジェンスが脅威分析に重要なのはなぜですか?

• 包括的な脅威の可視性: 幅広い IoC、攻撃者のインフラストラクチャ、悪意のあるキャンペーンをカバーする、世界最大級の脅威インテリジェンス データセットへのアクセス。
• 深度コンテキスト: 脅威アクター、戦術、技術、手順 (TTP)、および関連する脆弱性に関する情報を含む、脅威に関する豊富なコンテキストを提供します。
• Microsoft エコシステムとの統合: Microsoft Defender XDR、Microsoft Sentinel、その他のソリューションとのネイティブ統合により、調整された自動応答が可能になります。
• インシデント対応の迅速化: セキュリティ チームがインシデントの根本原因を迅速に特定し、脅威に優先順位を付け、効果的な対策を実装できるようにします。
• プロアクティブな脅威ハンティング: 脅威ハンターは、重大な損害を引き起こす前に、環境内の悪意のあるアクティビティを特定できます。
• 強化された脆弱性管理: 攻撃者によって悪用された脆弱性に関する洞察を提供し、組織が修復を優先できるようにします。

前提条件

Microsoft Defender Threat Intelligence を使用するには、次のものが必要です。

1. Microsoft 365 E5 または Defender for Cloud ライセンス: MDTI は、一部の Microsoft 365 E5 ライセンスおよび Microsoft Defender for Cloud の一部として含まれているか、個別に購入できます [4]。
2. Microsoft Defender ポータル アクセス: Microsoft Defender ポータル (https://security.microsoft.com) にアクセスするための適切なアクセス許可を持つアカウント。
3. Microsoft Defender Threat Intelligence ポータル アクセス: MDTI データを探索するための専用ポータル (https://ti.defender.microsoft.com)。
4. 基礎知識o サイバーセキュリティ: 脅威の概念、IoC、およびセキュリティ運用に関する知識。

ステップバイステップ: Microsoft Defender Threat Intelligence の実装と使用

MDTI ポータルを探索し、IoC を検索して、Microsoft Sentinel と統合してみましょう。

1. Microsoft Defender Threat Intelligence ポータルへのアクセス

MDTI ポータルは、脅威インテリジェンスにアクセスして調査するための中心点です。

1. ブラウザーを開き、Microsoft Defender Threat Intelligence ポータル (https://ti.defender.microsoft.com) に移動します。
2. 必要なライセンスと権限を持つ Microsoft アカウントでログインします。

3. ホーム ページを探索します。通常、このページには、最新の脅威ニュース、調査記事、注目の IoC を含むダッシュボードが表示されます。

   • 説明: このポータルは、研究論文、侵害の痕跡、インフラストラクチャ データなどを含む膨大な脅威インテリジェンス データ セットを参照するための直感的なインターフェイスを提供します。

2. 侵害指標 (IoC) の調査と分析

特定の IoC (IP アドレス、ドメイン、ファイル ハッシュ) を検索して、コンテキストと洞察を得ることができます。

1. MDTI ポータルで、上部の検索バーを使用して IoC を入力します。たとえば、疑わしい IP アドレス (例: 「192.0.2.1」) を検索します。

2. 結果ページには、次のような IoC に関する詳細情報が表示されます。

   • 評判: IoC が悪意のあるものまたは疑わしいものとして知られているかどうか。
   • 関連付け: この IoC に関連付けられた他の IoC、ドメイン、ハッシュ、または証明書。
   • 歴史: 時間の経過に伴う IoC インフラストラクチャまたは動作の変化。
   • 研究記事: この IoC について言及している MDTI 記事。攻撃キャンペーンや脅威アクターに関するコンテキストを提供します。

   • サービスとポート: この IP 上でオープンまたは監視されているサービスとポート。

   • 説明: MDTI で IoC を分析すると、セキュリティ アナリストは脅威の性質、そのインフラストラクチャ、および他の悪意のあるアクティビティとの関連性を迅速に理解できます。これは、インシデントの優先順位付けと調査を行う際に非常に重要です。

3. 研究論文と脅威アクターの調査

MDTI は、脅威アクター、その TTP、および特定のキャンペーンに関する詳細な調査記事を発行しています。

1. MDTI ポータルの左側のナビゲーション ペインで、研究記事 または 脅威アクター を選択します。
2. 記事を参照して、組織または業界に関連する脅威情報を見つけます。

3. 各記事では、IoC、TTP、軽減策の推奨事項、および他のソースへのリンクを含む詳細な分析が提供されます。

   • 説明: これらの記事は戦略的および戦術的なインテリジェンスの貴重な情報源であり、セキュリティ チームが脅威の状況を理解し、プロアクティブな防御を開発するのに役立ちます。

4. MDTI と Microsoft Sentinel の統合

Microsoft Sentinel との統合により、MDTI データを SIEM および SOAR に直接取り込み、他のセキュリティ ログと関連付けて応答を自動化できます。

1. Azure ポータルを開き、Microsoft Sentinel に移動します。
2. 左側のナビゲーション ペインで、データ コネクタ を選択します。
3. 検索フィールドに「Microsoft Defender Threat Intelligence」と入力します。
4. 「Microsoft Defender Threat Intelligence」データ コネクタを選択し、「コネクタ ページを開く」をクリックします。

5. 「接続」をクリックします。

   • 説明: この接続により、Sentinel は MDTI から IoC およびその他の脅威インテリジェンス データを自動的に取り込むことができ、検出ルール、ウォッチリスト、および自動化プレイブックで使用できます。

5. Azure Sentinel 検出ルールでの MDTI データの使用

Sentinel の MDTI データを使用すると、カスタム検出ルールを作成して悪意のあるアクティビティを識別できます。

1. Azure Sentinel で、分析 > スケジュール ルール に移動します。
2. 「+作成」 > 「スケジュールされたクエリルール」をクリックします。

3. ルールを設定すると、「クエリ ロジック」セクションで MDTI データを使用できるようになります。たとえば、ファイアウォール ログ内の IP が MDTI に知られている悪意のある IP と通信しているかどうかを検出するには、次のようにします。 「くすと」 悪意のあるIPs = ThreatIntelligenceIndicatorにする |ここで、Active == true および NetworkIP != "" | make_list(NetworkIP) を ThreatType ごとに要約します。

   共通セキュリティログ|ここで、DestinationIP in (maliciousIPs) | DestinationIP、DeviceVendor、DeviceProduct ごとに count() を要約する 「」 * 説明: この Kusto クエリは、MDTI 脅威インテリジェンスによって悪意があるとリストされている IP との通信についてセキュリティ ログ (ファイアウォールなど) を検索します。クエリを調整して、他のタイプの IoC またはログ ソースを含めることができます。

検証とテスト

MDTI が関連する脅威インテリジェンスを提供していること、および統合が機能していることを検証することが重要です。

1. Azure Sentinel でのデータ取り込みの検証

1. シナリオ: MDTI を Azure Sentinel に接続した後、脅威インテリジェンス データが取り込まれていることを確認します。
2. 期待されるアクション: MDTI データは Log Analytics の「ThreatIntelligenceIndicator」テーブルに表示されるはずです。
3. 検証:
   • Microsoft Sentinel で、ログ に移動します。
   • クエリ「ThreatIntelligenceIndicator |」を実行します。 10秒かかります。
   • データが取り込まれていることを示す結果を確認します。

2. MDTI を使用した IoC 検出のテスト

注意: このテストは、隔離されたテスト環境で、または適切な権限と監督のもとで実行してください。

1. シナリオ: 悪意があることがわかっている IoC (既知のマルウェア コマンド アンド コントロール IP など) を使用し、Sentinel によって監視されているデバイス (テスト VM など) からアクセスを試みます。
2. 期待されるアクション: 検出ルールが正しく構成されている場合、Sentinel は悪意のある IoC との通信に基づいてインシデントを生成するはずです。
3. 検証:
   • Microsoft Sentinel で、インシデント に移動します。
   • テスト活動に一致する新しいインシデントを検索します。

セキュリティのヒントとベスト プラクティス

• 継続的な IT の消費: 絶えず変化する脅威の状況を理解するために、MDTI が発表した研究論文や最新の脅威を常に最新の情報に入手してください。
• 包括的な統合: MDTI をすべての Microsoft セキュリティ ソリューション (Defender for Endpoint、Defender for Cloud Apps、Defender for Identity) および Microsoft Sentinel と統合して、可視性と応答性を最大化します。
• プレイブックによる自動化: Microsoft Sentinel のプレイブックを使用して、ファイアウォールでの悪意のある IP のブロックや侵害されたデバイスの隔離など、MDTI IoC によって引き起こされたインシデントへの対応を自動化します。
• プロアクティブな脅威ハンティング: Microsoft Sentinel の脅威ハンティング クエリで MDTI データを使用して、ログ内の悪意のあるアクティビティをプロアクティブに探します。
• 定期的な検証: IT ベースの検出ルールを定期的にテストして、ルールが期待どおりに機能し、IoC が最新であることを確認します。
• IoC のコンテキスト化: 孤立した IoC だけに依存しないでください。 MDTI によって提供されるコンテキストを使用して、攻撃キャンペーン、TTP、および IoC の背後にある脅威アクターを理解します。

一般的なトラブルシューティング

• MDTI データは Sentinel に表示されません:
  • MDTI データ コネクタが Azure Sentinel で有効になっていることを確認します。
  • Microsoft ライセンスが Sentinel との MDTI 統合をサポートしていることを確認します。 ※初回のデータ取り込みに時間がかかる場合がございます。数時間待ちます。
  • Azure 監査ログでデータ コネクタ関連のエラーを確認します。
• MDTI ベースの検出ルールはアラートを生成しません:
  • Kusto クエリの構文を確認してください。 「ThreatIntelligenceIndicator」テーブルが正しく参照されていることを確認してください。
  • テスト アクティビティが実際にルール基準と一致することを確認します。
  • 分析ルールの設定 (アラートしきい値、スケジュール) を確認します。
• MDTI ポータルの IoC は更新されていません:
  • MDTI は継続的に更新されます。データが古いことに気付いた場合は、ブラウザーのキャッシュの問題か、サービスの一時的な遅延が考えられます。
  • Azure ステータス ページで MDTI サービスのステータスを確認します。
• MDTI ポータルへのアクセスに関する問題:
  • アカウントに MDTI にアクセスするための正しいライセンスと権限があることを確認してください。
  • ブラウザのキャッシュをクリアするか、シークレット モードでアクセスしてみてください。

結論

Microsoft Defender Threat Intelligence は、あらゆる組織のサイバー防御を強化するために不可欠なツールです。広大で豊かな情報へのアクセスを提供することで、脅威インテリジェンスのソースとして機能するため、セキュリティ チームは事後対応からプロアクティブな姿勢に移行し、より迅速かつ正確に脅威を検出して対応できるようになります。 MDTI と Microsoft Defender エコシステムおよび Microsoft Sentinel との統合により、最も高度な脅威から保護できる強力な統合セキュリティ ソリューションが作成されます。この実践的なガイドを使用すると、セキュリティ専門家と IT 管理者は、Microsoft Defender Threat Intelligence を構成、検証、管理するための十分な準備を整え、サイバー攻撃に対する組織の回復力を強化できます。

参考文献:

[1] マイクロソフトのセキュリティ。 Microsoft Defender 脅威インテリジェンス。入手可能場所: https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-threat-intelligence [2] Microsoft Learn。 Microsoft Defender Threat Intelligence (Defender IT) とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/defender/threat-intelligence/what-is-microsoft-defender-threat-intelligence-defender-ti [3] Microsoft Learn。 Microsoft Defender XDR での脅威分析。入手可能場所: https://learn.microsoft.com/pt-br/defender-xdr/threat-analytics [4] Microsoft Learn。 Microsoft Threat Intelligence データ コネクタを有効にします。入手可能場所: https://learn.microsoft.com/pt-br/azure/sentinel/connect-mdti-data-connector [5] Microsoft Learn。 Microsoft Defender XDR と Microsoft Sentinel の統合。入手可能場所: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-365-defender-sentinel-integration [6] Microsoft Learn。 Microsoft Defender Threat Intelligence には Microsoft Graph API を使用します。入手可能場所: https://learn.microsoft.com/pt-br/graph/api/resources/security-threatintelligence-overview?view=graph-rest-1.0 [7] Microsoft Learn。 Microsoft Defender ポータルの Microsoft Sentinel。入手可能場所: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-sentinel-defender-portal