53
40

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

マイクロソフトが脅威インテリジェンスを外販してるってよ

Last updated at Posted at 2022-12-03

こんにちは、はじめまして @daimat と申します。
Microsoft Security Advent Calendar 2022 4 日目にお邪魔させてもらいます。

はじめに

セキュリティに携わるみなさま、突然ですが Microsoft Defender 脅威インテリジェンス(MDTI) というプラットフォームをご存じですか?

今年の 8 月に公開されたばかりですので、まだ知らない。という方も多いと想像しますが、まずは次のページにアクセスしてみてください。
*Microsoft 365 または Microsoft アカウントが必要です。

接続するとこのような画面が表示されたと思います、これが Microsoft Defender 脅威インテリジェンスのトップ画面です。
MDTI_Top.png

このページの上段には脅威に関するおすすめの記事が表示されていますので、興味に応じていくつかの記事を開いてみてください。

この記事には脅威アクター、ツール、攻撃、脆弱性に関する読み物に加えて、攻撃に関連付けられた IP アドレス、URI やドメインなどのインジケーターを確認することができます。

その下の Articles には、60以上のサイトから Microsoft が収集し整理した OSINT と Microsoft が独自に公開した記事が時系列で表示されます。

早速情報量が多いので離脱者が出てきそうですが「おっ、良いね」と思っていただけた方が一人でも現れてくれれば、この記事の目的はすでに果たせましたので、あとはお気軽に読んでいただければ幸いです。

私はこのページが出来てくれたことで、日々巡回していたいくつかのサイトやアカウントのフォローを整理出来ました。

Microsoft Defender 脅威インテリジェンス(MDTI)とは

あらためて MDTI を端的に表現すると、セキュリティアナリスト/エンジニアが脅威の分析を効率的に行うためのプラットフォーム(検索可能なデータベース)です。

利用シナリオ例の 1 つはセキュリティ インシデントの疑いがある状況下において、確認できている生データ(疑わしいドメイン、ホスト名や IP アドレスなど)を評価するというものです。

例えば疑わしい操作が行われた IP アドレスをログから見つけ出した後、IP アドレスのリスク評価を行うためにリスク評価値を端的に確認することに加えて、確度を上げるためにその IP アドレスを軸としてピボットを行い DNS データ、WHOIS レコード、Webサーバーなどの関連コンポーネントを調査していく必要がありますが、多くの場合それらの情報は複数の情報源に分散されています。

複数の情報源を対象としたピボットは当然ですが時間がかかり、対応できる人的リソースにも限りがあるため十分な分析の精度や速度を維持することが困難になります。

なんだか真面目な話になってしまいましたが、このような課題に対応するために本来であれば複数の情報源にわたる膨大なデータを各エンティティの関係性を持たせた状態で1か所にまとめピボット分析が行えるのが MDTI です。

MDTI_Stack.png

Microsoft はこれまでも Microsoft 365 Defender、Sentinel や Defender for Cloud でこれらの情報を活用していましたが外部には非公開でした。この情報を自由に検索できるようになったというのは手前ミソながら良いですよね。

実際に体感してみましょう

それでは実際に手を動かしてみませんか?

シナリオ: 皆さんはインシデントの疑いがある状況で下図の IP アドレスからの攻撃の兆候を見つけました。この IP を評価する必要があります。

では、ご自身の MDTI の画面で下図と同じ IP アドレスを検索してみてください。
image.png
有償版では上図のように IP アドレスの評価結果を確認することができます。無償版ではこの評価値は表示されませんがその違いもご体感ください。なお、次のステップでこの画面を利用しますので画面はそのままで読み進めてください。

この場合、MDTI は 1-100 までの評価値の内 100(悪質) と評価しました。この結果から皆さんの組織のネットワークへ当該の IP アドレスからの接続をブロックする判断を下すことが出来ました。

ただし、高度な攻撃者の場合には 1 つの IP アドレスをブロックするだけでは不十分なこともあります。攻撃者は利用していた IP アドレスがブロックされたことを検知した場合には代替えの IP アドレスを利用することもあるでしょう、このような戦術に対抗するためには脅威グループのインフラストラクチャ全体を把握する必要が出てきます。

MDTI では、IP アドレスに関連付けられた脅威インテリジェンスの記事を下図のように見つけることが出来る場合があります。

image.png
Articlesをご確認ください。

記事を選択すると、脅威グループの戦術、手法、手順(TTPs)やアナリストからの追加の参考情報など、その IP アドレスに関連付けられている脅威グループに関するレポートを読むことが出来ます。加えて、重要な点はこの記事には関連するその他の IP アドレスなどのインジケーターが提供されている点です。
image.png

皆さんはこのように実用的な脅威インテリジェンスを利用して、アラート、イベント、またはインシデントを迅速にトリアージして対処できます。

まとめ

今回は MDTI の概要を次のように紹介いたしました。

  • Microsoft 脅威インテリジェンス(MDTI)は 8 月から一般公開されました
  • MDTI は無償版(コミュニティ版)が提供されているので記事にアクセスすることが可能
  • セキュリティアナリスト/エンジニアの負荷を大幅に削減し迅速な決断に寄与

現状は Web UI のみの提供ではありますが API の提供や、見える形での他の Microsoft Security 製品との統合を予定しておりますのでお楽しみに。

ここまで読んでいただきまして、ありがとうございました。

参考になるサイトの紹介

MDTI の公式のブログ

MDTI のトレーニングガイド

有償版の評価方法

53
40
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
53
40

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?