このブログ投稿は、Microsoft Intelligent Security Association のゲスト ブログ シリーズの一部です。 MISAの詳細をご覧ください。
平均的なセキュリティ オペレーション センター (SOC) には特定の問題点があり、セキュリティ環境が他にどのように変化しても、最も根深い問題の 1 つとして残ります。おそらく、頭の中で名前を付けることができます。圧倒的な量のセキュリティ アラートです。熟練したサイバーセキュリティ専門家の継続的な不足。ますます巧妙化する攻撃を検出して対応することができない。また、常にうまく連携するとは限らないツール (平均的なエンタープライズ SOC では 76) の急増。 1しかし、これらの課題には、セキュリティの専門家を悩ませる主な原因以外にも共通点があります。それらはすべて、セキュリティのオーケストレーション、自動化、および対応 (SOAR として知られている) によって軽減されます。 2このブログ投稿で、D3 Security の XGEN SOAR がMicrosoft Sentinelや他の何百ものツールと統合され、顧客が SOC アナリストの疲労とさまざまなツールセットを克服するのを支援する方法を学びます。
SOARとは?
基本から始めましょう。 SOAR は、セキュリティ情報およびイベント管理 (SIEM)、エンドポイントの検出と対応 (EDR)、ファイアウォールなどの他のセキュリティ システムと統合して、アラートを取り込み、コンテキスト インテリジェンスでアラートを強化し、修復アクションを調整する強力なツールのカテゴリです。環境全体で。 SOAR ツールはプレイブックを使用してワークフローを自動化および体系化し、平均応答時間 (MTTR) を加速し、一般的なインシデント タイプへの対応を標準化します。
D3 XGEN SOAR は、完全にベンダーにとらわれない SOAR ソリューションです。つまり、Sentinel を含む Microsoft ツールとの数十の緊密な統合を維持し、あらゆる環境のセキュリティ ワークフローに自動化をもたらすことができます。
Microsoft Sentinel のお客様が D3 のイベント パイプラインを使用して実際の脅威に集中し続ける方法
D3 XGEN SOAR を Microsoft ツールと統合することは、お客様にとって何を意味しますか?狭い例を 1 つ挙げて、D3 のイベント パイプライン (SOAR プラットフォームの中でもユニークな製品) がどのように Microsoft Sentinel イベントに作用して、セキュリティ アナリストの作業をより簡単にするかを見てみましょう。 3
D3 は、調査と対応のために Microsoft Sentinel イベントを取り込みます。しかし、SIEM オペレーターなら誰でも知っているように、SIEM やその他のアラート生成ツールを構成するのは微妙なバランスであり、圧倒的な量のノイズを発生させずにすべての重要なインシデントをキャプチャできます。そこで登場するのが D3 のイベント パイプラインです。
Microsoft Sentinel イベントが D3 に入ると、イベント パイプラインを通過します。これは、検出ツールからのすべての着信イベントまたはアラートに作用するグローバルな自動化されたプレイブックです。イベント パイプラインは、次の 3 つの段階で機能します。
- まず、着信イベントからのデータが正規化されます。 IP アドレス、ユーザー ID、URL などの成果物が抽出され、メタデータのタグ付けが実行されます。
- 次はトリアージ段階です。イベントは重複排除され、他のイベントと関連付けられます。アーティファクトは、統合された脅威インテリジェンス ソースに対してチェックされてリスクが判断され、MITRE ATT&CK 戦術、技術、および手順 (TTP) ラベルが適用されます。
- 最終段階では、Microsoft Sentinel イベントは誤検知として却下されるか、エスカレートされてアナリストに割り当てられます。却下およびエスカレーション ルールは、脅威インテリジェンス エンリッチメントからのリスク スコアやアーティファクト内の重要な資産の存在などの基準に基づいて、ユーザーが設定します。
D3 のイベント パイプラインを Microsoft Sentinel のインシデント調査に追加した結果、Microsoft Sentinel イベントの 90% 以上を人間のアナリストに到達する前に安全に除外できるようになり、真の脅威を適切に調査できるようになりました。
主な Microsoft 統合
D3 と Microsoft Sentinel の統合は、D3 XGEN SOAR と Microsoft ツール間の 33 の統合の 1 つにすぎません。これらの統合のうち 22 は、Azure スイートからのものです。一般的なセキュリティ操作のユース ケースの主要な統合には、 Microsoft Defender for Endpoint 、 Microsoft 365 、およびAzure Active Directory (Azure AD) が含まれます。
エンドポイントの Microsoft Defender
Microsoft Defender ユーザーは、イベントのフェッチ、エンドポイント データによるインシデントの強化、感染したホストの検疫など、D3 から 26 の異なるアクションを調整できます。これにより、脅威が制御不能になる前に、エンドポイントのセキュリティ インシデントに対して迅速かつ確実に対応する自動化されたプロセスが作成されます。
マイクロソフト 365
フィッシングは依然としてほとんどのサイバー攻撃の入り口であり、電子メールはサイバーセキュリティ インシデント対応の重要な部分となっています。潜在的なフィッシング メールが検出されると、D3 はメールと添付ファイルを取得し、アーティファクトを解析し、脅威インテリジェンスと過去のインシデントに対するアーティファクトのレピュテーションをチェックし、そのメールが真の脅威であるかどうかを判断します。そうである場合、D3 は会社の受信トレイ全体で電子メールの他のインスタンスを見つけて削除できます。
Azure アクティブ ディレクトリ
「ID は新しい境界である」という言葉を聞いたことがあるかもしれませんが、これは、セキュリティ インシデントの際に Azure AD で迅速に対応できることの重要性を強調しています。 Azure AD (およびオンプレミス AD) を使用している企業は、ユーザーとグループの情報で D3 インシデントを強化し、D3 からユーザーとグループを管理し、パスワードのリセットの強制やサインイン セッションの取り消しなどの修復アクションを迅速に調整できます。
MSSP のセキュリティ オーケストレーション
マネージド セキュリティ サービス プロバイダー (MSSP) は、D3 と Microsoft の共同ソリューションから、SOC と同様の利点を得ることができますが、規模は大きくなります。 4 D3 では、MSSP がクライアントのすべてのツールに直接アクセスできるとは限らないこと、またはクライアントが使用するすべてのツールでアラートの管理だけを行っている場合、そのツールのエキスパートになりたくない可能性があることに気付きました。代わりに、クライアントは MSSP に D3 へのアクセスを許可し、そこから単一のインターフェイスからすべての検出ツールからのアラートを管理できます。
これにより、D3 は、Azure システムやその他の Microsoft ツールに依存するクライアントを持つ MSSP にとって便利な運用ハブになります。 MSSP は、Microsoft Sentinel、Microsoft Defender for Endpoint、Microsoft 365 などとの D3 の統合を利用して、クライアントのツールに完全にアクセスする必要なく、アラートを処理し、応答アクションを調整することさえできます。 5イベント パイプラインは、このシナリオでも貴重なツールであり、リソースを追加することなく、MSSP がはるかに大量のアラートを処理できるようにします。
一緒により良い: Microsoft と D3 XGEN SOAR のユースケース
ユース ケース 1: ハイブリッド環境全体の調査とオーケストレーション
システムとサーバーを Microsoft Azure などのクラウド サービスに移行する企業が増えていますが、多くの企業はハイブリッド環境を維持しており、オンプレミスでホストされているシステムもあります。このハイブリッド モデルでは、セキュリティに関する問題が生じます。これは、会社が 2 セットのセキュリティ ツール (クラウドとオンプレミスで 1 つずつ) を管理しなければならないためです。
D3 は、Microsoft Sentinel、Azure スタック内の 21 の他のツール、および数百のオンプレミス ツールと統合して、ハイブリッド環境全体のための単一のセキュリティ オペレーション (SecOps) インターフェイスを作成できます。 Microsoft Sentinel と D3 の共同ユーザーは、脅威インテリジェンスでアラートを強化し、MITRE ATT&CK 手法を特定し、自動化されたプレイブックを実行してインシデントに対応するなど、クラウドとオンプレミスのシステム全体で同時に行うことができます。
たとえば、フィッシング攻撃でエンドポイントが感染した可能性がある場合、D3 を使用するアナリストは、Azure AD でユーザーのアクセスを無効にし、Microsoft Sentinel にクエリを実行して追加のデータを取得し、Microsoft 365 メールボックス全体でフィッシング メールのインスタンスをさらに検索し、メールを隔離することができます。 Microsoft Defender for Endpoint を使用して影響を受けるエンドポイント。 6
D3 SOAR を Azure ツールとオンプレミス ツールの両方と統合すると、作業とリスクを半分に減らすことができます。ハイブリッド環境全体を監視して対応できるため、環境間を移動するインシデントを見失うことはなく、ツールを切り替えることなく常に対応全体を実行できます。
ユース ケース 2: 侵害された資格情報
従業員の資格情報が危険にさらされたり、ハッキングされたり、漏洩したりすると、脅威インテリジェンス プラットフォームによって提供されるリストに現れる可能性があります。セキュリティ チームは、侵害された資格情報を学習し、資格情報を従業員の他の情報と照合し、資格情報が使用される可能性のあるマシンを特定し、不正アクセスを防止するための措置を講じる能力を合理化する方法を必要としています。 D3 は、AD (Azure またはオンプレミス)、脅威インテリジェンス プラットフォーム、およびその他のツールと統合して、このプロセスを調整します。
D3 は、統合された脅威インテリジェンス プラットフォームから漏えいした資格情報のリストを取り込むことができます。従業員の資格情報がリストに含まれている場合、D3 は Active Directory にクエリを実行して、従業員がアクセスできるマシンのリストなど、従業員に関連する他の情報と資格情報を照合できます。 D3 は、Active Directory からユーザーのログイン履歴を取得して異常なアクティビティを探し、必要に応じてユーザーを一時的に非アクティブ化し、パスワードの変更を調整できます。
空は限界です
これらは、D3 ユーザーが Microsoft のツールとシステム全体で調整できるユース ケースのほんの一部です。 30 を超える統合と数百のコマンドにより、洗練されたユーザーが D3 と Microsoft の機能を組み合わせて達成できることには、非常に高い上限があります。それでも怖がらせないでください。一般的なインシデント タイプ向けのコードレスですぐに使えるプレイブックを使用すると、技術に詳しくないユーザーでも共同ソリューションのメリットをすぐに実感できます。
D3 セキュリティについて
D3 Security の XGEN SOAR プラットフォームは、500 以上の統合ツールにわたる自動化とオーケストレーションを、イベント ボリュームを 90% 以上削減する自動化されたイベント パイプラインと組み合わせます。 2 D3 のコードレス プレイブックは、セキュリティ オペレーション、インシデント対応、脅威ハンティングのワークフローを誰でも簡単に構築、変更、スケーリングできるようにしながら、エンリッチメントと修復タスクを自動化します。
30 を超えるマイクロソフトとの統合により、D3 Security は 2020 年から Microsoft Intelligent Security Association (MISA) のメンバーになっています。こちらの Azure Marketplace ページにアクセスしてください。 D3 が Microsoft とどのように連携しているかについては、D3 のテクノロジ パートナー ページで詳しく知ることができます。 5
もっと詳しく知る
MISA の詳細については、MISA の Web サイトにアクセスしてください。ここでは、MISA プログラム、製品の統合について学び、MISA メンバーを見つけることができます。 ビデオ プレイリストにアクセスして、マイクロソフト製品とのメンバー統合の強みについて学びましょう。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
1セキュリティ リーダーは、資産の可視性についてまだ何も分かっていませんが、インサイトの欠如が制御の失敗を引き起こしています , Panaseer. 2022年。
2XGEN SOAR プラットフォーム、D3 セキュリティ。
3XGEN SOAR イベント パイプライン、D3 セキュリティ。
4MSSP のセキュリティ自動化とオーケストレーション、D3 セキュリティ。
5Microsoft Azure Sentinel 統合、D3 セキュリティ。
フィッシング攻撃に対する6D3 XGEN SOAR 、D3 セキュリティ。
Comments