セキュリティは、プロアクティブな防御とリアクティブな防御の間の一定のバランスです。どちらも等しく重要であり、どちらも無視することはできません。組織を効果的に保護するということは、防止と検出の両方を常に最適化することを意味します。
そのため、Azure FirewallとAzure Sentinel間のシームレスな統合を発表できることを嬉しく思います。これで、Azure Sentinel 用の簡単にデプロイできる Azure Firewall ソリューションの形で、検出と防止の両方を得ることができます。
防御と検出を組み合わせることで、サイバー攻撃を検出して迅速に対応するための「侵害を想定する考え方」を維持しながら、可能な場合は高度な脅威を両方とも確実に防ぐことができます。
Azure Sentinel と Azure Firewall: 一緒により良い
Azure Firewall と Azure Sentinel のシームレスな統合により、次の 3 つの主要な機能によるセキュリティ運用が可能になります。
- Azure Firewall アクティビティの監視と視覚化。
- 脅威を検出し、AI 支援の調査機能を活用します。
- 応答と他のソースへの関連付けを自動化します。
エクスペリエンス全体がAzure Sentinel マーケットプレースのソリューションとしてパッケージ化されているため、数回クリックするだけでデプロイできます。
Azure Sentinel 用の Azure Firewall ソリューションをどのようにデプロイして有効にしますか?
ソリューションの展開は簡単です。これは、Azure Sentinel ワークスペースの [ソリューション] ブレードにあり、”Azure Sentinel 用の Azure ファイアウォール ソリューション” と呼ばれます。
図 1: Azure Sentinel ソリューションのプレビュー。
Azure Firewall ソリューションを開いたら、[作成] ボタンをクリックし、ウィザードのすべての手順に従い、検証に合格して、ソリューションを作成します。数回クリックするだけで、以下で説明するコネクタ、検出、ワークブック、プレイブックを含むすべてのコンテンツが Azure Sentinel ワークスペースにデプロイされます。
Azure Firewall アクティビティの監視と視覚化
Azure Firewall ブックを使用すると、Azure Firewall イベントを視覚化できます。このワークブックでは、次のことができます。
- アプリケーションとネットワークのルールについて学習します。
- URL、ポート、およびアドレスにわたるファイアウォール アクティビティの統計を表示します。
- ファイアウォールとリソース グループでフィルター処理します。
- ログの問題を調査するときに、読みやすいデータ セットを使用してカテゴリごとに動的にフィルター処理します。
ワークブックは、ファイアウォール アクティビティを継続的に監視するための単一のダッシュボードを提供します。脅威の検出、調査、対応に関しては、Azure Firewall ソリューションには組み込みの検出機能とハンティング機能も用意されています。
図 2. Azure Firewall ブック。
脅威を検出し、AI 支援の調査機能を活用する
組み込みの脅威検出 – 分析
ソリューションの検出ルールは、Azure Sentinel に Azure Firewall シグナルを分析して、ネットワークを通過する悪意のあるアクティビティ パターンを表すトラフィックを検出するための強力な方法を提供します。これにより、脅威への迅速な対応と修復が可能になります。
敵対者がファイアウォール ソリューション内で追求する攻撃段階は、 MITRE ATT&CK フレームワークに基づいてセグメント化されます。 MITRE フレームワークは、初期の偵察段階からデータの流出まで、サイバー攻撃の段階をたどる一連のステップです。このフレームワークは、防御側がランサムウェア、セキュリティ侵害、および高度な攻撃を理解し、対処するのに役立ちます。
このソリューションには、敵対者が攻撃の一部として使用する可能性のある一般的なシナリオの検出が含まれます。検出段階 (システムと内部ネットワークに関する知識を得る) からコマンド アンド コントロール (C2) 段階 (侵害されたシステムと通信して制御する) にまで及びます。抽出段階 (組織からデータを盗もうとする攻撃者) に移行します。
検出ルール | それは何をするためのものか? | それは何を示していますか? |
ポートスキャン | Azure Firewall で開いている複数のポートをスキャンする送信元 IP を識別します。 | 攻撃者によるポートの悪意のあるスキャン。最初のアクセスで侵害される可能性のある組織内の開いているポートを明らかにしようとします。 |
ポートスイープ | Azure Firewall の異なる IP で開いている同じポートをスキャンする送信元 IP を識別します。 | 組織内で特定の脆弱なポートが開いている IP を明らかにしようとする攻撃者によるポートの悪意のあるスキャン。 |
ソース IP の異常な拒否率 | 構成された期間中に行われた機械学習に基づいて、宛先 IP に対する特定の送信元 IP の異常な拒否率を識別します。 | 攻撃者が組織内のマシンで同じ脆弱性を悪用しようとしたが、Azure Firewall ルールによってブロックされた場合の潜在的な流出、初期アクセス、または C2。 |
ポートからプロトコルへの異常 | アクティビティ期間中に行われた機械学習に基づいて、非標準ポートを介した既知のプロトコルの通信を識別します。 | 既知のポート (SSH、HTTP) を介して通信しようとするが、ポート番号に一致する既知のプロトコル ヘッダーを使用しない、攻撃者による悪意のある通信 (C2) または流出。 |
同じ TI 宛先によって影響を受ける複数のソース | Azure Firewall の脅威インテリジェンス (TI) によってブロックされた同じ宛先に到達しようとしている複数のマシンを識別します。 | 組織からデータを盗み出そうとする同じ攻撃グループによる組織への攻撃。 |
図 3. Sentinel での Azure Firewall の脅威検出。
ハンティング クエリ
ハンティング クエリは、インシデントが発生した後、または新しい攻撃や未知の攻撃を事前に発見するために、セキュリティ研究者が組織のネットワーク内の脅威を探すためのツールです。これを行うために、セキュリティ研究者はいくつかの侵害の痕跡 (IOC) を調べます。 Azure Firewall ソリューションに組み込まれている Azure Sentinel ハンティング クエリは、セキュリティ研究者がファイアウォール ログから影響の大きいアクティビティを見つけるために必要なツールを提供します。いくつかの例は次のとおりです。
ハンティング クエリ | それは何をするためのものか? | それは何に基づいていますか?それは何を示していますか? |
送信元 IP が宛先ポートに初めて接続する | 新しいホストまたは IP が特定のポートを使用して宛先と通信しようとしたときに、一般的な攻撃の兆候 (IOA) を特定するのに役立ちます。 | 指定された期間中の通常のトラフィックを学習することに基づいています。 |
送信元 IP が宛先に初めて接続する | 以前に宛先にアクセスしたことがないマシンから初めて悪意のある通信が行われたときに、IOA を特定するのに役立ちます。 | 指定された期間中の通常のトラフィックを学習することに基づいています。 |
ソース IP が複数の宛先に異常に接続する | 複数の宛先に異常に接続する送信元 IP を識別します。 | 組織内の異なるマシン間をジャンプしようとする攻撃者による最初のアクセス試行を示します。横方向の移動パスまたは異なるマシンの同じ脆弱性を悪用して、アクセスする脆弱なマシンを見つけます。 |
組織の珍しいポート | 組織ネットワークで使用されている異常なポートを識別します。 | 攻撃者は、監視対象のポートをバイパスし、一般的でないポートを介してデータを送信できます。これにより、攻撃者は通常の検出システムによる検出を回避できます。 |
宛先 IP への珍しいポート接続 | マシンが宛先 IP に接続するために使用する異常なポートを識別します。 | 攻撃者は、監視対象のポートをバイパスし、一般的でないポートを介してデータを送信できます。これは、マシン上で通信に使用されたことのないポートを使用して、組織内のマシンからの侵入攻撃を示している可能性もあります。 |
応答の自動化と他のソースへの関連付け
最後に、Azure Firewall には、脅威への対応を自動化できる Azure Sentinel プレイブックも含まれています。たとえば、ファイアウォールが、ネットワーク上の特定のデバイスが非標準の TCP ポートを介して HTTP プロトコルを介してインターネットと通信しようとしているイベントをログに記録した場合、このアクションは Azure Sentinel での検出をトリガーします。プレイブックは、Microsoft Teams を介してセキュリティ運用チームへの通知を自動化し、セキュリティ アナリストはワンクリックでデバイスのソース IP をブロックして、調査が完了するまでデバイスがインターネットにアクセスできないようにすることができます。プレイブックを使用すると、このプロセスをより効率的かつ合理化できます。
図 4. プレイブックの自動化構成。
統合ソリューションの実際の動作を確認する: 事前構成された Azure Firewall ハンティング クエリを使用したシームレスなハンティング
完全に統合されたソリューションが実際のシナリオでどのように見えるかを見てみましょう。
Azure Firewallによる攻撃と初期防御
会社の営業担当者が誤ってフィッシング メールを開き、マルウェアを含む PDF ファイルを開いてしまいました。マルウェアはすぐに悪意のある Web サイトに接続しようとしましたが、Microsoft の脅威インテリジェンス フィードを消費するため、ドメインを検出した Azure Firewall によってブロックされました。
Azure Sentinel 向け Azure Firewall ソリューションに基づくセキュリティ アナリストの回答
接続の試行により、Azure Sentinel で検出がトリガーされ、プレイブックの自動化プロセスが開始され、Teams チャネルを介してセキュリティ運用チームに通知されました。アナリストは、ボタンをクリックするだけで、コンピューターがインターネットと通信するのをブロックできました。その後、セキュリティ オペレーション チームは IT 部門に通知し、営業担当者のコンピュータからマルウェアを削除しました。しかし、プロアクティブなアプローチを取り、より深く調べたセキュリティ研究者は、Azure Firewall ハンティング クエリを活用し、「送信元 IP が複数の宛先に異常に接続する」クエリを実行しました。これにより、感染したコンピューター上のマルウェアが、より広範なネットワーク上の他の複数のデバイスと通信しようとし、それらのいくつかにアクセスしようとしたことが明らかになりました。これらのアクセス試行の 1 つが成功しました。これは、ネットワーク内の横方向の移動を防ぐための適切なネットワーク セグメンテーションがなく、新しいデバイスには既知の脆弱性があり、マルウェアが悪用して感染したためです。
結果
セキュリティ研究者は、その新しいデバイスからマルウェアを削除し、攻撃の軽減を完了し、その過程でネットワークの弱点を発見しました。
結論
脅威の防止と脅威の検出を統合することは、組織を適切に保護し、セキュリティ運用チームが脅威を監視して対応できるようにするための鍵です。
Azure Sentinel ワークスペースで Azure Firewall ソリューションを有効にするには、数回クリックするだけです。今すぐ始めましょう。
もっと詳しく知る
Azure Firewall ソリューションに加えて、RSA Conference 2021 でいくつかの新しい Azure Sentinel イノベーションを発表しました。新しい統合、機械学習機能、コラボレーション機能など、これらの発表の詳細については、 Azure Sentinel 発表ブログを参照してください。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments