検出と防止の両方を、Azure Sentinel 用の簡単にデプロイできる Azure Firewall ソリューションの形式で取得できるようになりました。
セキュリティは、プロアクティブ防御と事後防御の間の一定のバランスです。 これらはどちらも同様に重要であり、どちらも無視することはできません。 組織を効果的に保護することは、予防と検出の両方を常に最適化することを意味します。
防止と検出を組み合わせることで、可能な場合に高度な脅威を防ぐことができます。同時に、サイバー攻撃を検出して迅速に対応するための 侵害の考え方を維持 します。
[前提条件]
- アクティブなサブスクリプションを持つ Azure アカウント。 無料でアカウントを作成できます。
主な機能
Azure Firewall と Microsoft Sentinel を統合すると、次の機能が有効になります。
- Azure Firewall アクティビティの監視と視覚化
- 脅威を検出し、AI 支援の調査機能を適用する
- 他のソースへの応答と相関関係を自動化する
エクスペリエンス全体が Microsoft Sentinel マーケットプレースのソリューションとしてパッケージ化されているため、比較的簡単にデプロイできます。
Microsoft Sentinel 用の Azure Firewall ソリューションをデプロイして有効にする
コンテンツ ハブからソリューションをすばやくデプロイできます。 Microsoft Sentinel ワークスペースから、[ 分析 ] を選択し、[ コンテンツ ハブのその他のコンテンツ] を選択します。 Azure Firewall を検索して選択し、[インストール] を選択します。
インストールが完了したら、[ 管理 ] を選択し、ウィザードのすべての手順に従って検証に合格し、ソリューションを作成します。 いくつかの選択だけで、コネクタ、検出、ブック、プレイブックなど、すべてのコンテンツが Microsoft Sentinel ワークスペースにデプロイされます。
Azure Firewall アクティビティの監視と視覚化
Azure Firewall ブックを使用すると、Azure Firewall イベントを視覚化できます。 このブックを使用すると、次のことができます。
- アプリケーションとネットワークの規則について説明します
- URL、ポート、アドレスにまたがるファイアウォール アクティビティの統計情報を確認する
- ファイアウォールとリソース グループでフィルター処理する
- ログ内の問題を調査するときに、読みやすいデータ セットを使用してカテゴリごとに動的にフィルター処理します。
ブックには、ファイアウォール アクティビティを継続的に監視するための 1 つのダッシュボードが用意されています。 脅威の検出、調査、対応に関しては、Azure Firewall ソリューションにも組み込みの検出機能とハンティング機能が用意されています。
脅威を検出し、AI 支援の調査機能を使用する
このソリューションの検出規則は、ネットワークを通過する悪意のあるアクティビティ パターンを表すトラフィックを検出するために、Azure Firewall 信号を分析するための強力な方法を Microsoft Sentinel に提供します。 これにより、脅威の迅速な対応と修復が可能になります。
ファイアウォール ソリューション内で敵対者が追求する攻撃ステージは、 MITRE ATT&CK フレームワークに基づいてセグメント化されます。 MITRE フレームワークは、初期の偵察段階からデータ流出までのサイバー攻撃の段階を追跡する一連の手順です。 このフレームワークは、防御者がランサムウェア、セキュリティ侵害、高度な攻撃を理解して対処するのに役立ちます。
このソリューションには、攻撃の一部として敵対者が攻撃の一部として使用する可能性がある一般的なシナリオの検出が含まれます。検出ステージ (システムと内部ネットワークに関する知識を得る) からコマンド アンド コントロール (C2) ステージ (侵害されたシステムと通信して制御する) から流出ステージ (組織からデータを盗もうとする敵対者) にまで及びます。
| 検出ルール | 内容 | それは何を示していますか? |
|---|---|---|
| ポート スキャン | Azure Firewall で複数の開いているポートをスキャンするソース IP を識別します。 | 攻撃者によるポートの悪意のあるスキャン。初期アクセスのために侵害される可能性がある組織内の開いているポートを明らかにしようとしています。 |
| ポート スイープ | Azure Firewall のさまざまな IP で同じ開いているポートをスキャンするソース IP を識別します。 | 攻撃者が組織内で開いている特定の脆弱なポートを持つ IP を明らかにしようとする、ポートの悪意のあるスキャン。 |
| ソース IP の異常な拒否レート | 構成された期間中に実行された機械学習に基づいて、特定のソース IP から宛先 IP への異常な拒否レートを識別します。 | 潜在的な流出、初期アクセス、または C2。攻撃者が組織内のマシンで同じ脆弱性を悪用しようとしますが、Azure Firewall 規則によってブロックされます。 |
| プロトコルへの異常なポート | アクティビティ期間中に行われた機械学習に基づいて、非標準ポート経由の既知のプロトコルの通信を識別します。 | 攻撃者が既知のポート (SSH、HTTP) を介して通信しようとしているが、ポート番号と一致する既知のプロトコルヘッダーを使用しない悪意のある通信 (C2) やデータ漏洩。 |
| 同じ TI 宛先の影響を受けている複数のソース | Azure Firewall の脅威インテリジェンス (TI) によってブロックされている同じ宛先に到達しようとしている複数のマシンを識別します。 | 組織からデータを流出させようとする同じ攻撃グループによる組織への攻撃。 |
ハンティング クエリ
ハンティング クエリは、インシデントが発生した後、または新しい攻撃または不明な攻撃を事前に検出するために、セキュリティ研究者が組織のネットワーク内の脅威を検索するためのツールです。 これを行うために、セキュリティ研究者は、侵害の兆候 (IOC) をいくつか確認します。 Azure Firewall ソリューションの組み込みの Azure Sentinel ハンティング クエリにより、セキュリティ研究者は、ファイアウォール ログから影響の大きいアクティビティを見つけるために必要なツールが提供されます。 いくつかの例を次に示します。
| ハンティング クエリ | 内容 | それは何を示していますか? |
|---|---|---|
| ソース IP が宛先ポートに初めて接続する場合 | 新しいホストまたは IP が特定のポートを使用して宛先と通信しようとしたときに、攻撃 (IOA) の一般的な兆候を特定するのに役立ちます。 | 指定した期間中の通常のトラフィックの学習に基づく。 |
| ソース IP が宛先に初めて接続する場合 | 以前に宛先にアクセスしたことがないマシンから悪意のある通信が初めて行われるときに IOA を識別するのに役立ちます。 | 指定した期間中の通常のトラフィックの学習に基づく。 |
| 送信元 IP が複数の宛先に異常に接続する | 複数の宛先に異常に接続する送信元 IP を識別します。 | 攻撃者が組織内の異なるマシン間を飛び越えようとし、横移動パスまたは異なるマシン上の同じ脆弱性を悪用して、アクセスする脆弱なマシンを見つけようとする最初のアクセス試行を示します。 |
| 組織で通常は使われないポート | 組織ネットワークで使用される異常なポートを識別します。 | 攻撃者は監視対象のポートをバイパスし、一般的でないポートを介してデータを送信できます。 これにより、攻撃者は日常的な検出システムからの検出を回避できます。 |
| 宛先 IP への一般的でないポート接続 | 宛先 IP に接続するためにマシンによって使用される異常なポートを識別します。 | 攻撃者は監視対象のポートをバイパスし、一般的でないポートを介してデータを送信できます。 これは、通信にコンピューター上で一度も使用されていないポートを使用して、組織内のマシンからの流出攻撃を示すこともできます。 |
他のソースへの応答と相関関係を自動化する
最後に、Azure Firewall には、脅威への対応を自動化できる Azure Sentinel プレイブックも含まれています。 たとえば、ファイアウォールは、ネットワーク上の特定のデバイスが非標準の TCP ポート経由で HTTP プロトコルを介してインターネットと通信しようとするイベントをログに記録するとします。 このアクションにより、Azure Sentinel で検出がトリガーされます。 プレイブックは、Microsoft Teamsを介してセキュリティ運用チームへの通知を自動化し、セキュリティ アナリストは、1 つの選択でデバイスのソース IP アドレスをブロックできます。 これにより、調査が完了するまでインターネットにアクセスできなくなります。 プレイブックを使用すると、このプロセスをより効率的かつ合理化できます。
実際の例
完全に統合されたソリューションが実際のシナリオでどのようなものかを見てみましょう。
Azure Firewall による攻撃と初期防止
会社の営業担当者が誤ってフィッシングメールを開き、マルウェアを含む PDF ファイルを開きました。 マルウェアはすぐに悪意のある Web サイトに接続しようとしますが、Azure Firewall によってブロックされます。 ファイアウォールは、使用する Microsoft 脅威インテリジェンス フィードを使用してドメインを検出しました。
応答
接続試行によって Azure Sentinel で検出がトリガーされ、プレイブックの自動化プロセスが開始され、Teams チャネルを介してセキュリティ運用チームに通知されます。 そこで、アナリストはコンピューターがインターネットと通信するのをブロックできます。 その後、セキュリティ運用チームは、営業担当者のコンピューターからマルウェアを削除する IT 部門に通知します。 ただし、プロアクティブなアプローチを採用し、詳細を調べることで、セキュリティ研究者は Azure Firewall ハンティング クエリを適用し、 ソース IP が複数の宛先クエリに異常に接続するように 実行します。 これにより、感染したコンピューター上のマルウェアが、より広範なネットワーク上の他のいくつかのデバイスと通信しようとして、それらのいくつかにアクセスしようとしたことが明らかになります。 これらのアクセス試行の 1 つは成功しました。ネットワーク内の横移動を防ぐための適切なネットワークセグメント化がなく、新しいデバイスには、マルウェアが感染するために悪用した既知の脆弱性がありました。
結果
セキュリティ研究者は、新しいデバイスからマルウェアを削除し、攻撃の軽減を完了し、プロセス内のネットワークの弱点を検出しました。