この記事では、Microsoft Sentinel ソリューションのさまざまなコンポーネントと、それらが連携して重要な顧客シナリオに対処する方法について説明します。
Sentinel プラットフォームには、データ レイク、グラフ、Jupyter Notebook ジョブ、モデル コンテキスト プロトコル (MCP) サーバー、300 を超える Sentinel コネクタからのデータが含まれており、お客様がコスト効率の高い方法でセキュリティ データを一元化して分析するのに役立ちます。 これらの機能と Microsoft Security Copilot を使用すると、お客様とパートナーは、Microsoft セキュリティ ストアを通じて公開できる、インパクトのあるソリューションを作成できます。
Sentinel SIEM は、検出の生成、悪意のある動作の調査、脅威の修復を行うために、セキュリティ運用 (SOC) チームによって使用されます。 新しいデータを取り込む Sentinel コネクタを作成し、分析ルール、プレイブック、ハンティング クエリ、パーサー、ブックなどのコンテンツを作成することで、パートナーは、SOC チームが脅威を特定し、適切に対応するために必要な情報を取得するのに役立ちます。 Sentinel SIEM ソリューションは、Sentinel のコンテンツ ハブを介して発行されます。
データ コレクション
プラットフォーム コンポーネントを使用するソリューションを構築する場合でも、Sentinel SIEM 統合をターゲットにしている場合でも、シナリオに適したデータを用意することが重要です。
Sentinel コネクタは Sentinel にデータを取り込みます。これにより、Jupyter ノートブックとジョブを使用してレイク内で分析したり、分析ルールやハンティング クエリなどの Sentinel SIEM コンテンツで対処したりできます。
そのデータには、次の型を含めることができます。
| タイプ | 説明 |
|---|---|
| 処理されていないデータ | 検出プロセスとハンティング プロセスをサポートします。 悪意のあるアクティビティの兆候が存在する可能性がある生の運用データを分析します。 Microsoft Sentinel の組み込みのハンティングおよび検出機能を使用して、新しい脅威を特定するなどの目的で、未処理のデータを Microsoft Sentinel に取り込みます。 例: Syslog データ、Syslog を使用した CEF データ、アプリケーション、ファイアウォール、認証、アクセス ログなど。 |
| セキュリティの結論 | アラートの可視性と相関関係の機会を作成します。 アラートと検出は、脅威に関して既に作成されている結論です。 Microsoft Sentinel の調査で表示されているすべてのアクティビティとその他の検出をコンテキスト内で検出することにより、アナリストの時間を節約し、インシデントの全体像を作成できます。その結果、優先順位が向上し、意思決定が向上します。 例: マルウェア対策アラート、疑わしいプロセス、既知の無効なホストとの通信、ブロックされたネットワーク トラフィック、疑わしいログオン、パスワード スプレー攻撃の検出、検出されたフィッシング攻撃、データ流出イベントなど。 |
| 参照データ | 参照された環境を使用してコンテキストを構築し、調査作業を節約し、効率を高めます。 例: CMDB、価値の高い資産データベース、アプリケーション依存関係データベース、IP 割り当てログ、強化の脅威インテリジェンス コレクションなど。 |
| 脅威インテリジェンス | 既知の脅威のインジケーターを示すことによって、脅威の検出を強化します。 脅威インテリジェンスには、将来の防止のために保持されている即時の脅威または履歴インジケーターを表す現在のインジケーターを含めることができます。 履歴データセットは多くの場合、Microsoft Sentinel に直接インポートするのではなく、多くの場合、アドホックで適切に参照されます。 |
パーサー
パーサーは、サードパーティ製品のカスタム データを正規化された ASIM スキーマに変換する KQL 関数です。 正規化により、SOC アナリストは新しいスキーマに関する詳細を学習する必要がないようにし、その代わりに、既に理解している正規化されたスキーマに対して分析ルールとハンティング クエリを構築できます。 Microsoft Sentinel が提供する利用可能な ASIM スキーマを確認して、データに関連する ASIM スキーマ (1 つ以上) を特定し、SOC アナリスト向けのオンボードを容易にし、ASIM スキーマ用に書き込まれた既存のセキュリティ コンテンツが製品データにすぐに適用できることを確認します。 使用可能な ASIM スキーマの詳細については、「 Advanced Security Information Model (ASIM) スキーマ」を参照してください。
グラフ
データが Microsoft Sentinel に流れ込む状況や、それが検出にどの程度効果的に役立つかをグラフィカルに表示することで、顧客がデータを管理および理解するのに役立つ視覚化を含めることができます。
データが Microsoft Sentinel に流れ込む状況や、それが検出にどの程度効果的に役立つかをグラフィカルに表示することで、顧客がデータを管理および理解するのに役立つ視覚化を含めることができます。
監視と検出
Sentinel の監視と検出機能により、顧客が SOC チームの専門知識をスケーリングするのに役立つ自動検出が作成されます。
次のセクションでは、ソリューションに含めることができる監視と検出の要素について説明します。
セキュリティ コパイロット エージェント
セキュリティCopilotエージェントは、反復的なタスクを自動化し、手動ワークロードを削減します。 クラウド、データのセキュリティとプライバシー、ID、ネットワーク セキュリティ全体でセキュリティと IT 運用を強化します。 Sentinel の場合、エージェントは SIEM またはデータ レイクに対してクエリを実行し、API を呼び出して Microsoft Sentinel データを強化できます。 ノートブック ジョブを利用して、集中的なデータ処理や分析を行い、任意の数のプラグインを利用できます。
Jupyter Notebook のジョブ
Jupyter Notebook ジョブは、Sentinel Data Lake の Spark ジョブを使用して複雑なデータ変換を実行し、機械学習モデルを実行するための強力なツールを提供します。 これらは、Security Copilot エージェントによって使用され、データ分析と要約を実行し、継続的に実行するための決定的かつ効率的な手段を提供します。 ノートブック ジョブでは、エージェント、ワークブック、ハンティング クエリなどのダウンストリーム コンポーネントで使用されるカスタム データ テーブルを分析層とデータ レイクに書き込むことができます。
分析ルール
分析ルールは高度な検出であり、正確で意味のあるアラートを作成できます。
分析ルールをソリューションに追加して、お客様が Microsoft Sentinel のシステムからのデータを利用できるように支援します。 たとえば、分析ルールを使用すると、統合によって提供されるデータで検出できるアクティビティに関する専門知識や洞察を得ることができます。
アラート (注目すべきイベント)、インシデント (調査単位)、自動化プレイブックをトリガーできます。
分析ルールを追加するには、ソリューションに分析ルールを追加し、Microsoft Sentinel (自動) コミュニティを使用します。 パートナー企業のデータに対してコミュニティの創造性を促進し、信頼性が高く効果的な検出を実現できるように、コミュニティを通じて貢献します。
ハンティング クエリ
ハンティング クエリを使用すると、SOC アナリストは、現在スケジュールされている分析ルールで検出されない新しい異常を事前に検索できます。 ハンティング クエリにより、SOC アナリストは、Microsoft Sentinel で既に利用可能なデータから問題を見つけるための適切な質問を行い、潜在的な脅威シナリオを特定するのに役立ちます。 ハンティング クエリを含めることで、ユーザーが指定したデータで不明な脅威を見つけるのに役立ちます。
Workbooks
ブックには、ユーザーがセキュリティ データを視覚化し、データ内のパターンを識別するのに役立つ対話型のレポートとダッシュボードが用意されています。 ブックの必要性は、特定のユース ケースによって異なります。 ソリューションを設計するときは、特にパフォーマンスを追跡するシナリオに対して、視覚的に説明するのが最適なシナリオを考えてください。
調査
Sentinel 調査グラフは、調査担当者に必要なときに関連するデータを提供し、接続されたエンティティを介してセキュリティ インシデントとアラートに関する可視性を提供します。 調査担当者は調査グラフを使用して、調査中の脅威に関連するイベントや関連するイベントを見つけることができます。
パートナーは、次を提供することで調査グラフに貢献できます。
- Microsoft Sentinel のアラートとインシデント。パートナー ソリューションの分析ルールを使用して作成されます。
- パートナーが提供したデータのカスタム探索クエリ。 カスタム探索クエリを使用すると、セキュリティ調査担当のデータと洞察の間に豊富な探索と接続を行うことができます。
[応答]
プレイブックは、お客様の環境全体でセキュリティ関連のタスクを実行する、高度な自動化を備えたワークフローをサポートします。 SOC アナリストが戦術的な項目によって過剰な負荷を受けないようにし、脆弱性のより戦略的で深い根本原因に焦点を当てることができるようにすることが重要です。 たとえば、重大度の高いアラートが検出された場合、プレイブックは、セキュリティ チームへの通知、影響を受けるシステムの分離、さらに分析のために関連するログの収集など、一連のアクションを自動的に開始できます。
たとえば、プレイブックは次のような方法で役立ちます。
- パートナー製品でのお客様のセキュリティ ポリシーの構成を支援する
- 調査の意思決定を通知する追加データを収集する
- Microsoft Sentinel インシデントを外部管理システムにリンクする
- パートナー ソリューション間でのアラート ライフサイクル管理の統合する
ソリューションを設計するときは、ソリューションで定義されている分析ルールによって作成されたインシデントを解決するために実行できる自動化されたアクションについて考えてください。
Sentinel SIEM シナリオの例
次のセクションでは、一般的なパートナー シナリオと、各シナリオのソリューションに含める内容に関する推奨事項について説明します。
製品によって、セキュリティの調査に重要なデータが生成されます。
シナリオ: 製品は、セキュリティ調査を通知できるデータを生成します。
例: 何らかの形式のログ データを提供する製品としては、ファイアウォール、クラウド アプリケーションのセキュリティ ブローカー、物理アクセス システム、Syslog 出力、企業向けに構築された LOB アプリケーション、サーバー、ネットワーク メタデータ、Syslog または CEF 形式の Syslog を使用したすべての成果物、または JSON 形式の REST API があります。
Microsoft Sentinel でデータを使用する方法: データ コネクタを使用して Microsoft Sentinel に製品のデータをインポートし、分析、ハンティング、調査、視覚化などを提供します。
ビルド対象: このシナリオでは、ソリューションに次の要素を含めます。
| タイプ | 含める要素 |
|---|---|
| 必須 | - データを配信し、ポータルで他のカスタマイズをリンクするための Microsoft Sentinel データ コネクタ。 サンプル データ クエリ |
| 推奨 | - Workbooks - Microsoft Sentinel でデータを基に検出を構築するための分析ルール |
| 省略可能 | - 検索時に使用するすぐに使用できるクエリを提供するためのハンティング クエリ - 完全にガイドされる反復可能な探すエクスペリエンスを提供するノートブック |
製品によって提供される検出
シナリオ: 製品には、他のシステムからのアラートとインシデントを補完する検出機能が用意されています。
例: マルウェア対策、エンタープライズ検出および対応ソリューション、ネットワーク検出と応答ソリューション、フィッシング対策製品などのメール セキュリティ ソリューション、脆弱性スキャン、モバイル デバイス管理ソリューション、UEBA ソリューション、情報保護サービスなど。
Microsoft Sentinel でデータを使用する方法: 検出、アラート、またはインシデントを Microsoft Sentinel で利用して、お客様の環境で発生する可能性のある他のアラートやインシデントと共に表示します。 また、検出を行うログとメタデータを、調査のための追加のコンテキストとして配信することも検討してください。
ビルド対象: このシナリオでは、ソリューションに次の要素を含めます。
| タイプ | 含める要素 |
|---|---|
| 必須 | データを配信し、ポータルで他のカスタマイズをリンクするための Microsoft Sentinel データ コネクタ。 |
| 推奨 | 調査に役立つ Microsoft Sentinel インシデントを検出から作成するための分析ルール |
お客様の製品は、脅威インテリジェンス インジケーターを提供します
シナリオ: お客様の製品には、顧客の環境で発生するセキュリティ イベントのコンテキストを提供できる脅威インテリジェンス インジケーターが用意されています
例: TIP プラットフォーム、STIX/TAXII コレクション、公開またはライセンスされた脅威インテリジェンス ソース。 参照データ (WhoIS、GeoIP、新しく観察されたドメインなど)。
Microsoft Sentinel でデータを使用する方法: Microsoft ワークフロー プレイブックの検出プラットフォームで使用するために、現在のインジケーターを Microsoft Sentinel に配信します。 強化のシナリオでは、リモート アクセスを使用して大規模なデータセットまたは履歴データセットを使用します。
ビルド対象: このシナリオでは、ソリューションに次の要素を含めます。
| タイプ | 含める要素 |
|---|---|
| 現在の脅威インテリジェンス | Microsoft Sentinel にインジケーターをプッシュする GSAPI データ コネクタを構築します。 お客様がすぐに利用できる TAXII データ コネクタと一緒に使用できる、STIX 2.0 または 2.1 TAXII Server を提供します。 |
| 履歴インジケーターと参照データセット | データにアクセスするためのロジック アプリ コネクタと、データを正しい場所に導く強化ワークフロー プレイブックを提供します。 |
製品により、調査に関する追加のコンテキストが提供されます
シナリオ: 製品によって、Microsoft Sentinel に基づく調査用の追加のコンテキスト データが提供されます。
例: 追加コンテキスト CMDB、価値の高い資産データベース、VIP データベース、アプリケーション依存関係データベース、インシデント管理システム、チケット発行システム
Microsoft Sentinel でデータを使用する方法: Microsoft Sentinel でデータを使用して、アラートとインシデントの両方を強化します。
ビルド対象: このシナリオでは、ソリューションに次の要素を含めます。
- ロジック アプリ コネクタ
- 強化ワークフロー プレイブック
- 外部インシデント ライフサイクル管理ワークフロー (オプション)
製品はセキュリティ ポリシーを実装できます
シナリオ: 製品が Azure Policy およびその他のシステムにセキュリティ ポリシーを実装できる
例: ファイアウォール、NDR、EDR、MDM、ID ソリューション、条件付きアクセス ソリューション、物理アクセス ソリューション、またはブロックまたは許可、またはその他の実行可能なセキュリティ ポリシーをサポートするその他の製品
Microsoft Sentinel でデータを使用する方法: Microsoft Sentinel のアクションとワークフローによる脅威への修復と応答の有効化
ビルド対象: このシナリオでは、ソリューションに次の要素を含めます。
- ロジック アプリ コネクタ
- アクション ワークフロー プレイブック
開始のためのリファレンス
すべての Microsoft Sentinel SIEM 統合は、 Microsoft Sentinel GitHub リポジトリ と 投稿ガイダンスから始まります。
Microsoft Sentinel ソリューションで作業を開始する準備ができたら、Microsoft Sentinel ソリューションの構築に関するガイドに記載されている送信、パッケージ化、および発行の手順を参照してください。
市場に投入する
Microsoft は、パートナーが Microsoft の顧客にアプローチする際に役立つプログラムを提供しています。
Microsoft Partner Network (MPN)。 Microsoft と提携するための主なプログラムは、Microsoft Partner Network です。 MPN のメンバーシップは、すべての Microsoft Sentinel ソリューションが公開されている Azure Marketplace 発行元になる必要があります。
Azure Marketplace。 Microsoft Sentinel ソリューションは、Azure Marketplace を通じて提供されます。お客様は、Microsoft とパートナーが提供する一般的な Azure 統合の両方を検出してデプロイします。
Microsoft Sentinel ソリューションは、Marketplace にあるさまざまな種類のプランの 1 つです。 Microsoft Sentinel コンテンツ ハブに埋め込まれているソリューション オファリングを見つけることもできます。
Microsoft インテリジェント セキュリティ アソシエーション (MISA)。 MISA は、Microsoft のセキュリティ パートナーに対し、パートナーが作成した Microsoft の顧客との統合に関する認識を作成するための支援を提供し、マイクロソフトのセキュリティ製品の統合の発見を提供するのを支援しています。
MISA プログラムに参加するには、参加している Microsoft セキュリティ製品チームからの推薦が必要です。 次の統合を構築すると、パートナーに申請を申請することができます。
- Microsoft Sentinel データ コネクタと、ブック、サンプル クエリ、分析ルールなどの関連するコンテンツ
- 公開された Logic Apps コネクタと Microsoft Sentinel プレイブック
- API の統合 (ケースバイケース単位)
MISA 申請のレビューや質問については、AzureSentinelPartner@microsoft.com までお問い合わせください。
次のステップ
詳細については、次を参照してください。
データ取集:
- データ収集のベスト プラクティス
- Microsoft Sentinel データ コネクタ
- Microsoft Azure Sentinel データ コネクタを見つける
- Microsoft Sentinel の脅威インテリジェンスについて
脅威検出:
- オートメーション ルールで Microsoft Azure Sentinel でのインシデント処理を自動化する
- Microsoft Sentinel を使用してインシデントを調査する
- Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する
ハンティングとノートブック
- Microsoft Sentinel を使用して脅威を追求する
- REST API を使用して Microsoft Sentinel でのハンティングとライブストリームのクエリを管理する
- Jupyter のノートブックを使用してセキュリティの脅威を検出する
視覚化: 収集されたデータを視覚化します。
調査: Microsoft Sentinel でインシデントを調査します。
応答: