1. はじめに
Microsoft Sentinel には脅威インテリジェンス (Threat Intelligence) との連携機能が提供されています。この脅威インテリジェンス情報を収集するためには、提供元のサービスを契約が必要であったり、脅威インテリジェンスサービスにアカウントを作成して、API などの情報が必要だったのですが、2023/3/28 Microsoft Secure で Microsoft Defender 脅威インテリジェンス (TI : Threat Intelligence) との連携がプレビュー公開されました。
本記事では Microsoft Sentinel での設定についてご紹介致します。
2. Microsoft Defender 脅威インテリジェンスについて
Microsoft Defender 脅威インテリジェンスの公式ドキュメントからの抜粋です。
Microsoft Defender 脅威インテリジェンス (Defender TI) は、脅威インフラストラクチャ分析と脅威インテリジェンスの収集を行う場合に、トリアージ、インシデント対応、脅威の追求、脆弱性管理、サイバー脅威インテリジェンス アナリストのワークフローを効率化するプラットフォームです。
Microsoft Defender 脅威インテリジェンスのポータルにもアクセスが出来ます。
詳細については、@daimat さんが分かりやすい記事をご紹介されていますので、こちらも併せて参考として下さい。
[参考] 脅威インテリジェンスとの設定方式
Microsoft Sentinel に対する取り込み方法については、幾つかの選択があります。
本記事では Microsoft 提供フィードを取り上げています。
| 方法 | データコネクタ名 | 接続先 |
|---|---|---|
| Microsoft 提供フィード | Microsoft Defender 脅威インテリジェンス (プレビュー) 2023/3 時点 |
Microsoft |
| STIX/TAXII による連携 | 脅威インテリジェンス - TAXII |
Docs 参照 - Accenture サイバー脅威インテリジェンス - Anomali - FS-ISAC - IBM X-Force など |
| API を用いた接続 | 脅威インテリジェンス プラットフォーム (プレビュー) 2023/3 時点 |
Docs 参照 - Agari Phishing Defense と Brand Protection - Anomali ThreatStream - AlienVault Open Threat Exchange (OTX) - Palo Alto Networks MineMeld - Recorded Future など |
3. 設定方法
接続方法はコネクタを有効化するだけです。詳細はこちらをご確認下さい。
3.1 データコネクタの有効化
Microsoft Defender 脅威インテリジェンスは、Sentinel のデータコネクタの画面で設定を行います。
データコネクタを開くと、取り込む脅威 (脅威インジケーター IOC) 情報を何日まで遡って収集するか設定が出来るようになっています。
接続ボタンを押すと、コネクタが接続され、情報がフィードされるようになります。
3.2 脅威フィードの確認方法
接続が完了すると、Sentinel の「脅威インテリジェンス」の画面に IOC 情報が取り込まれていることが分かります。
- 名前
Microsoft Identified IOC - ソース
Microsoft Defender Threat Intelligence - タグ
Honeypot
個々の IOC 情報は詳細が確認出来ます。
脅威種別や、IOC が有効期限で管理されており、時限的に IOC が取り込まれていることが分かります。
フィードされる内容は Sentinel ワークスペースの ThreatIntteligenceIndicator テーブルから確認が出来ます。
過去 1 日に取り込まれる IOC のカテゴリを見てみると、4 種類の脅威情報に分かれていることが分かります。
ThreatIntelligenceIndicator
| where TimeGenerated > ago(1d)
| summarize count() by ThreatType
信頼性の元となるConfidencescore の値も若干 IOC によって異なることが分かります。
ThreatIntelligenceIndicator
| where TimeGenerated > ago(1d)
| summarize count() by ConfidenceScore
4. 脅威インテリジェンス情報の活用
Microsoft Sentinel に取り込まれた IOC を用いて、様々な分析が出来るようになります。
4.1 分析ルールを用いた検知
脅威インテリジェンスに登録されている IOC アクターからの接続を検知するための分析ルールテンプレートが用意されています。IP アドレスのレピュテーション(噂)といった手法になりますが、Botnet に感染した端末や Malware の接続元からの通信があるかどうかの目安として用いることが出来ます。
分析ルールのテンプレートは TI MAP...で始まっており、用いているデータソースに対して有効化を検討することをお勧めします。
4.2 インシデント検知時の補足情報として活用する
Microsoft Sentinel のインシデント管理画面では、インシデント管理詳細画面を起動すると自動的に検知したエンティティ(属性)情報が IOC にマッチしているかどうかを判定し、通知してくれるようになりました。
外部脅威を検知したインシンデントが通報された場合、この接続元がどのようなものかを判定する基準として使うことが出来るようになります。
4.3 脅威インテリジェンス情報のモニタリング
取り込まれた脅威インテリジェンス情報のモニタリング方法として、「脅威インテリジェンス」ブックが用意されています。IOC 情報がどれぐらい自社内のデータに影響しているか、ブックを用いて統計を取る方法が考えられます。
- 全体の取り込まれている情報量の可視化
- Log Analytics テーブルに対して、IOC が影響しているデータの分析
5. で、どれぐらい費用がかかるのか?
Microsoft Sentinel の費用は取り込まれたデータ量の課金になっています。
Microsoft 365 脅威インテリジェンスのコネクタを有効にして、一ヵ月分の ThreatIntelligenceIndicator のデータ量を抽出してみました。
Usage
| where TimeGenerated > ago(30d)
| where IsBillable == true
| where DataType == "ThreatIntelligenceIndicator"
| summarize BillableDataGB = sum(Quantity) / 1024 by DataType
参考: Usage テーブル (Quantity = Size of data in Mbytes)
結果 : 0.46 GB (筆者環境、2023/3/30 現在)
約 800円 / GB で計算しても、一ヵ月で 400 円以下といった試算でした。
IOC feed の量が今後どうなるかはわかりませんが、目安としていただければと思います。
6. まとめ
これまで 3rd Party などの連携ありきで検討していた脅威インテリジェンス連携が Microsoft が提供したことで身近になり利用がし易くなったのではないかと思います。
本記事が Azure Security / Microsoft Sentinel にご興味ある方々のためになれば幸いです。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。