Microsoft Sentinel とは | Microsoft Docs
Microsoft Sentinelとは?
クラウドネイティブSIEM & SOARソリューション
LogAnalysticsやLogic Appsとネイティブに連携
※SIEMはsecurity information and event managementの略
※SOARはsecurity orchestration, automation, and response
できること
| No | 項目 | 意味 | 説明 |
|---|---|---|---|
| 1 | Collect | データ収集 | 自環境のオンプレ・クラウドにあるユーザー、デバイス、アプリケーション、インフラストラクチャが対象 |
| 2 | Detect | 脅威検知 | MSの莫大な知見を利用し誤判定を最小化 |
| 3 | Investigate | 調査 | AI利用・全体調査 |
| 4 | Respond | 自動対応 | 組み込みオーケストレーション利用可 |
上記URLより引用
Connect to all your data
Microsoft 365 Defender、Office 365、Azure AD、Microsoft Defender for Identity、Microsoft 365とリアルタイム統合するコネクタがあり
Microsoft 以外のソリューションとのコネクタもあり
コネクタでソースと接続してデータを収集
Syslog、REST-APIでもデータ収集可能
Microsoft Sentinel data connectors | Microsoft Docs
Find your Microsoft Sentinel data connector | Microsoft Docs
Workbooks
WorkBookは収集データを可視化する為のもの。コード不要で作成できる。
Azure Monitor WorkBookで全体的なカスタムブックが作成できる
Microsoft Sentinel WorkBookも作成できる。データ収集したら即時利用可能になるテンプレあり。
⭐️全体可視化を即時に実現できる。これがないと、構成要素毎の担当エンジニアが可視化し、それをまとめる必要あり。負担軽減・対応迅速化⭐️
Azure Monitor Workbooks Overview - Azure Monitor | Microsoft Docs
Analytics
インシデントはエンジニアによる要調査課題の単位
関連性のある複数のアラートを集約して1つのインシデントを自動生成する。
集約ルールはビルトインである。それをカスタマイズし独自ルールの作成も可能。
⭐️多数の軽度なアラートの背後にある潜在的なクリティカルな脅威の発見を支援⭐️
Detect threats with built-in analytics rules in Microsoft Sentinel | Microsoft Docs
Security automation & orchestration
ワークフロー自動化機能を提供するLogic Appsでトリガー・アクションを指定し、フローを作成できる。
Logic Appsのコネクタ活用し、Slack通知や他ワークフローシステムに連携等ができる。
⭐️負担軽減・対応迅速化⭐️
Use playbooks with automation rules in Microsoft Sentinel | Microsoft Docs
Investigation ※2022/5時点プレビュー中
1つのEntityからドリルダウンで関連Entityをつなげて、根本原因と全体スコープを明らかにする
上記URLより引用
Investigate incidents with Microsoft Sentinel | Microsoft Docs
Hunt
MITRE ATT&CKフレームワークをベースにしたビルトインのクエリツールがあり、それを活用して潜在するインシデントを発見する
※Huntはアラートを待たず、能動的に潜在的なインシデントを見つけ出すこと。予防的アクション。
Threat Huntingとは何か?(2019年度版) - セキュリティコンサルタントの日誌から
※MITRE ATT&CKフレーム
ATT&CKは"Adversarial Tactics, Techniques, and Common Knowledge"の略
攻撃者の攻撃方法や行動、目的を明文化したフレームワーク
MITRE ATT&CKフレームワーク | セキュリティ用語集 | サイバーセキュリティ | NECソリューションイノベータ
Notebook
Jupyter notebooks in Azure Machine Learning workspacesとの連携機能
独自に機械学習ライブラリで解析ができる
Use notebooks with Microsoft Sentinel for security hunting | Microsoft Docs
Community
GithubにMSセキュリティアナリストがworkbooks, hunting queries, notebooks, playbooksをアップしており、それらを活用できる。
