Microsoft Sentinel、GitHubリポジトリの脅威監視機能を追加

Microsoft Sentinelは、GitHubエンタープライズリポジトリのログを取り込み、悪意のある可能性のあるイベントを追跡するGitHub脅威モニタリングをサポートすると発表しました。

https://techcommunity.microsoft.com/t5/microsoft-sentinel-blog/microsoft-sentinel-continuous-threat-monitoring-for-github/ba-p/3037154

Microsoft Sentinelを使用して、エンタープライズライセンスのGitHubリポジトリ環境をMicrosoft Sentinelのワークスペースに接続し、GitHubの監査ログを取り込むことができます。新しいリポジトリの作成や削除、リポジトリのクローン数のカウントなどのイベントを追跡します。

Microsoft Sentinel(旧称:Azure Sentinel)は、クラウドネイティブSIEM(Security Information and Event Management)プラットフォームです。

人工知能(AI)を用いて膨大な量のデータを分析し、企業環境における潜在的な脅威となる行為を探し出します。

企業のGitHubリポジトリにおけるさまざまな活動を追跡し、不審なイベントを特定し、環境の異常を調査する能力を持つことは非常に重要です。

Microsoft Sentinel GitHubの脅威監視は、GitHubのエンタープライズライセンスでのみ動作し、疑わしいイベントでアラートを出すための分析ルールとデータを可視化するためのワークブックが1つ付属しています。

新しい分析ルールがトリガーとなってMicrosoft Sentinelのダッシュボードに表示されるアラートは以下の通りです。

  • リポジトリの作成:Microsoft Sentinelのワークスペースに接続されたGitHub環境にリポジトリが作成されるたびに表示
  • リポジトリの破棄:GitHub環境でリポジトリが破棄されるたびに表示
  • 支払い方法の削除:GitHub リポジトリに設定された支払い方法のアクションがあるたびに表示
  • OAuthアプリケーション:クライアントシークレットが削除されるたびに表示

このワークブックを使えば、セキュリティチームはGitHubリポジトリに追加されたメンバーや削除されたメンバー、新しく追加されたリポジトリ、各リポジトリがフォークやクローンされた回数なども記録することができます。

エンタープライズライセンスのGitHubリポジトリをMicrosoft Sentinelのワークスペースに接続するための詳しい手順は、Tech Communityのブログに掲載されています。

12月には、Apache Log4j 脆弱性検出ソリューションをパブリックプレビューに追加し、Log4Shell 脆弱性の悪用に関連するシグナルの検出と調査を支援しています。

https://docs.microsoft.com/en-us/azure/sentinel/whats-new#support-for-mitre-attck-techniques-public-preview

また、分析ルールをMITRE ATT&CK技術にマッピングすることで、検索結果の絞り込みをサポートしています。

マイクロソフトは、8月にSIEMプラットフォームを更新し、機械学習モデル「Fusion」を使用したランサムウェア攻撃の可能性を新たに検出しました。

コメントを残す

メールアドレスが公開されることはありません。