Microsoft Sentinel 脅威インテリジェンスを活用する

脅威インテリジェンスの作成と管理を合理化して、脅威の検出と修復を高速化します。 この記事では、Defender ポータルまたは Azure portal で Microsoft Sentinel からアクセスする場合でも、管理インターフェイスで脅威インテリジェンス統合を最大限に活用する方法について説明します。

• 脅威情報構造化記述形式 (STIX) を使用して、脅威インテリジェンス オブジェクトを作成する
• 表示、キュレーション、視覚化によって脅威インテリジェンスを管理する

[前提条件]

• 脅威インテリジェンスを管理するには、ユーザー アカウントに割り当てられている Microsoft Sentinel 共同作成者 以上のロールのアクセス許可が必要です。
• 脅威インテリジェンスをインポートおよびエクスポートするには、「 STIX/TAXII を使用して Microsoft Sentinel で脅威インテリジェンスをインポートおよびエクスポートする」の説明に従って、Microsoft Sentinel に脅威インテリジェンス ソリューションをインストールし、関連するコネクタを有効にする必要があります。

管理インターフェイスにアクセスする

脅威インテリジェンスを操作する場所に応じて、次のいずれかのタブを参照します。 管理インターフェイスにアクセスする方法は、使用するポータルによって異なりますが、一度アクセスすれば、作成タスクと管理タスクの手順は同じです。

脅威インテリジェンスを作成する

管理インターフェイスを使用して STIX オブジェクトを作成し、インジケーターのタグ付けやオブジェクト間の接続の確立など、その他の一般的な脅威インテリジェンス タスクを実行します。

• 新しい STIX オブジェクトを作成するときにリレーションシップを定義します。
• 重複する機能を使用して、新規または既存の TI オブジェクトからメタデータをコピーすることで、複数のオブジェクトをすばやく作成します。

サポートされている STIX オブジェクトの詳細については、「 Microsoft Sentinel の脅威インテリジェンス」を参照してください。

新しい STIX オブジェクトを作成する

1. [>の追加] を選択します。

   

2. [オブジェクトの種類] を選択し、[新しい TI オブジェクト] ページでフォームに入力します。 必須フィールドには赤いアスタリスク (*) が付いています。

3. TI オブジェクトに対してセンシティビティ値、または トラフィックライトプロトコル (TLP) の評価を指定することを検討してください。 値が表す内容の詳細については、「 脅威インテリジェンスのキュレーション」を参照してください。

4. このオブジェクトが別の脅威インテリジェンス オブジェクトとどのように関連しているかがわかっている場合は、 リレーションシップの種類 と ターゲット参照との接続を示します。

5. 個々のオブジェクトに対して [追加] を選択し、同じメタデータを持つ項目をさらに作成する場合は [追加して複製 ]を選択します。 次の図は、重複している各 STIX オブジェクトのメタデータの一般的なセクションを示しています。

脅威インテリジェンスを管理する

インジェスト ルールを使用してソースからの TI を最適化します。 リレーションシップ ビルダーを使用して既存の TI をキュレーションします。 管理インターフェイスを使用して、脅威インテリジェンスの検索、フィルター処理、並べ替え、タグ付けを行います。

インジェスト ルールを使用して脅威インテリジェンス フィードを最適化する

TI フィードからのノイズを減らし、高値インジケーターの有効期限を延長し、受信オブジェクトにわかりやすいタグを追加します。 これらは、インジェスト ルールのユース ケースの一部にすぎません。 以下に、高値インジケーターの有効期限を延長する手順を示します。

1. [ インジェスト ルール ] を選択すると、新しいページ全体が開き、既存のルールが表示され、新しいルール ロジックが作成されます。

   

2. ルールにわかりやすい名前を入力します。 インジェスト ルール ページには名前のための十分なルールがありますが、ルールを編集せずにそれらを区別するために使用できるテキスト説明はこれだけです。

3. オブジェクトの 種類を選択します。 このユース ケースは、Valid from オブジェクト型でのみ使用できるIndicator プロパティの拡張に基づいています。

4. SourceのEqualsし、高い値のSourceを選択します。

5. ConfidenceのGreater than or equalし、Confidence スコアを入力します。

6. アクションを選択 します。 このインジケーターを変更したいため、Edit を選択します。

7. 、Valid until で Extend by を選択し、日数単位の期間を選択します。

8. これらのインジケーターに高い値が設定されていることを示すタグ (Extended など) を追加することを検討してください。 変更日はインジェスト ルールによって更新されません。

9. ルールを実行する 順序 を選択します。 ルールは、最も低い番号から最も高い番号の順に実行されます。 各ルールは、取り込まれたすべてのオブジェクトを評価します。

10. ルールを有効にする準備ができたら、[ 状態] を [オン] に切り替えます。

11. [ 追加] を選択してインジェスト ルールを作成します。

詳細については、「 脅威インテリジェンス インジェスト ルール」を参照してください。

リレーションシップ ビルダーを使用して脅威インテリジェンスをキュレーションする

脅威インテリジェンス オブジェクトをリレーションシップ ビルダーに接続します。 ビルダー内には一度に最大 20 個のリレーションシップが存在しますが、複数のイテレーションを行ったり、新しいオブジェクトのリレーションシップ ターゲット参照を追加したりすることで、より多くの接続を作成できます。

1. [>の追加] を選択します。

2. 脅威アクターや攻撃パターンなどの既存の TI オブジェクトから始めて、1 つのオブジェクトがインジケーターなどの 1 つ以上の既存のオブジェクトに接続します。

3. 次の表と STIX 2.1 参照リレーションシップの概要テーブルに記載されているベスト プラクティスに従って、リレーションシップの種類を追加します。

   リレーションシップの種類	説明
   [複製元] [派生元] [関連]	任意の STIX ドメイン オブジェクト (SDO) に対して定義された共通のリレーションシップ 詳細については、共通リレーションシップに関する STIX 2.1 リファレンスを参照してください
   ターゲット	Attack pattern または Threat actor は Identity をターゲットにする
   用途	Threat actor はAttack pattern を使用する
   属性付け	Threat actor は Identity に帰属するとされる
   内容	Indicator は Attack pattern または Threat actor を示す
   偽装	Threat actor は Identity を偽装する

4. リレーションシップ ビルダーを使用する方法の例として、次の図を使用します。 この例では、Defender ポータルのリレーションシップ ビルダーを使用して、脅威アクターと攻撃パターン、インジケーター、ID の間を接続する方法を示します。

   

5. 共通プロパティを構成してリレーションシップを確立します。

管理インターフェイスで脅威インテリジェンスを表示する

管理インターフェイスを使用して、脅威インテリジェンスがどのソースから取り込まれていたとしても、Analytics クエリを記述せずに並べ替え、フィルター処理、検索を行います。

1. 管理インターフェイスから、[検索する内容] メニュー を 展開します。

2. STIX オブジェクトの種類を選択するか、既定の [すべてのオブジェクトの種類] のままにします。

3. 論理演算子を使用して条件を選択します。

4. 詳細を表示するオブジェクトを選択します。

次の図では、複数のソースが OR グループに配置され、検索に使用されました。また、複数の条件が AND 演算子でグループ化されました。

Microsoft Sentinel のこのビューでは、最新バージョンの脅威インテリジェンスのみが表示されます。 オブジェクトの更新方法の詳細については、「 脅威インテリジェンスのライフサイクル」を参照してください。

IP とドメイン名インジケーターは GeoLocation と WhoIs の追加データによってエンリッチされるため、インジケーターが見つかった調査について、より多くのコンテキストを提供できます。

次に例を示します。

脅威インジケーターにタグを付けて編集する

脅威インテリジェンスにタグを付けると、オブジェクトを簡単にグループ化して、見つけやすくすることができます。 通常は、特定のインシデントに関連するタグを適用できます。 ただし、オブジェクトが、特定の既知のアクターまたはよく知られている攻撃キャンペーンからの脅威を表す場合は、タグではなくリレーションシップを作成することを検討してください。

1. 管理インターフェイスを使用して、脅威インテリジェンスの並べ替え、フィルター処理、検索を行います。
2. 操作するオブジェクトを見つけたら、同じ種類の 1 つ以上のオブジェクトを選択することで複数選択します。
3. [ タグの追加] を選択し、1 つ以上のタグで一度にタグを付けます。
4. タグ付けは自由形式であるため、組織内のタグに標準的な名前付け規則を作成することをお勧めします。

脅威インテリジェンスは、Microsoft Sentinel で直接作成された場合でも、TIP や TAXII サーバーなどのパートナー ソースから作成された場合でも、一度に 1 オブジェクトずつ編集します。 管理インターフェイスで作成された脅威インテリジェンスについては、すべてのフィールドを編集できます。 パートナー ソースから取り込まれた脅威インテリジェンスについては、タグ、有効期限、信頼度、取り消しなど、特定のフィールドのみが編集可能です。 いずれの場合も、管理インターフェイスにはオブジェクトの最新バージョンのみが表示されます。

脅威 Intel の更新方法の詳細については、「 脅威インテリジェンスの表示」を参照してください。

クエリを使用した脅威インテリジェンスの検索と表示

この手順では、ソース フィードや取り込み方法に関係なく、クエリを使用して脅威インテリジェンスを表示する方法について説明します。

脅威インジケーターは、Microsoft Sentinel ThreatIntelligenceIndicator テーブルに格納されます。 この表は、分析、ハンティング、ワークブックなど、他の Microsoft Sentinel 機能によって実行される脅威インテリジェンス クエリの基礎です。

詳細については、「 脅威インテリジェンスの表示」を参照してください。

ワークブックを使用して脅威インテリジェンスを視覚化する

専用の Microsoft Sentinel ブックを使用して、Microsoft Sentinel で脅威インテリジェンスに関する重要な情報を視覚化できます。このブックは、ビジネス ニーズに応じてカスタマイズできます。

Microsoft Sentinel で提供される脅威インテリジェンス ブックを見つける方法と、ブックを編集してカスタマイズする方法の例を次に示します。

1. Azure portal から Microsoft Sentinel に移動します。

2. いずれかの脅威インテリジェンス データ コネクタを使用して、脅威インジケーターをインポートしたワークスペースを選択します。

3. Microsoft Sentinel メニューの [脅威管理] セクションで、[ワークブック] を選択します。

4. 脅威インテリジェンスというタイトルのワークブックを見つけてください。 ThreatIntelligenceIndicator テーブルにデータがあることを確認します。

   

5. [ 保存] を選択し、ブックを保存する Azure の場所を選択します。 この手順は、何らかの方法でブックを変更し、変更を保存する場合に必要です。

6. 次に、[ 保存されたブックを表示 ] を選択して、表示および編集するためにブックを開きます。

7. これで、テンプレートによって提供される既定のグラフが表示されます。 グラフを変更するには、ページの上部にある [編集 ] を選択して、ブックの編集モードを開始します。

8. 脅威の種類別に脅威インジケーターを示す新しいグラフを追加します。 ページの一番下までスクロールし、[ クエリの追加] を選択します。

9. Log Analytics ワークスペースの [ログ クエリ] テキスト ボックスに次のテキストを追加します。

   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

   前述の例で使用した次の項目の詳細については、Kusto ドキュメントを参照してください。

   • 要約演算子
   • count() 集計関数

10. [ 視覚化 ] ドロップダウン メニューで、[ 横棒グラフ] を選択します。

11. [編集完了] を選択し、ブックの新しいグラフを表示します。

    

ワークブックには、Microsoft Sentinel のあらゆる側面に関する洞察を提供する、強力な対話型ダッシュボードが用意されています。 ブックを使用して多くのタスクを実行できます。提供されているテンプレートは、優れた出発点となります。 テンプレートをカスタマイズするか、多数のデータ ソースを組み合わせて新しいダッシュボードを作成し、独自の方法でデータを視覚化できます。

Microsoft Sentinel ワークブックは Azure Monitor ワークブックに基づいているため、豊富なドキュメントやさらに多くのテンプレートを利用できます。 詳細については、「 Azure Monitor ブックを使用して対話型レポートを作成する」を参照してください。

GitHub には、Azure Monitor ブック用の豊富なリソースもあり、さらにテンプレートをダウンロードして独自のテンプレートを投稿できます。

脅威インテリジェンスをエクスポートする

Microsoft Sentinel を使用すると、脅威インテリジェンスを他の宛先にエクスポートできます。 たとえば、 脅威インテリジェンス - TAXII データ コネクタを使用して脅威インテリジェンスを取り込んだ場合は、脅威インテリジェンスをソース プラットフォームにエクスポートして双方向インテリジェンス共有を行うことができます。 エクスポート機能により、脅威インテリジェンスを配布するための手動プロセスまたはカスタム プレイブックの必要性が軽減されます。

脅威インテリジェンスをエクスポートするには:

1. Defender ポータルの Microsoft Sentinel の場合は、Intel 管理>脅威インテリジェンスを選択します。 Azure portal の Microsoft Sentinel で、[脅威の管理] > [脅威インテリジェンス] を選択します。

2. 1 つ以上の STIX オブジェクトを選択し、ページの上部にあるツール バーの [ エクスポート を選択します。 例えば次が挙げられます。

   • Defender ポータル
   • Azure Portal

   

3. [エクスポート] ウィンドウの [TI のエクスポート] ドロップダウンから、脅威インテリジェンスをエクスポートするサーバーを選択します。

   サーバーが一覧にない場合は、「 脅威インテリジェンスの有効化 - TAXII Export データ コネクタ」の説明に従って、最初にエクスポート用のサーバーを構成する必要があります。 Microsoft Sentinel では現在、TAXII 2.1 ベースのプラットフォームへのエクスポートのみがサポートされています。

4. エクスポートを選択します。

   重要

   脅威インテリジェンス オブジェクトをエクスポートすると、システムは一括操作を実行します。 この一括操作が失敗する場合がある既知の問題が存在します。 この場合、[エクスポート] サイド パネルを開くと、一括操作履歴ビューから失敗したアクションを削除するように求める警告が表示されます。 システムは、失敗した操作を削除するまで後続の操作を一時停止します。

エクスポート履歴にアクセスするには:

1. Intel 管理 (Defender ポータル) または脅威インテリジェンス ページ (Azure portal) でエクスポートされた項目に移動します。
2. [ エクスポート ] 列で、[ エクスポート履歴の表示 ] を選択して、そのアイテムのエクスポート履歴を表示します。

関連するコンテンツ

詳細については、次の記事をご覧ください。

• Microsoft Sentinel の脅威インテリジェンス。
• Microsoft Sentinel を STIX/TAXII 脅威インテリジェンス フィードに接続します。
• Microsoft Sentinel と簡単に統合できる TIP、TAXII フィード、エンリッチメント を確認します。

KQL の詳細については、 Kusto クエリ言語 (KQL) の概要に関するページを参照してください。

その他のリソース:

• KQL クイック リファレンス
• Kusto クエリ言語学習リソース