この 3 部構成のシリーズの第 2 部では、 Microsoft Azure Sentinelへの長期的な移行中に一般的に使用される、サイド バイ サイドのセキュリティ情報およびイベント管理 (SIEM) 構成の 5 種類について説明しました。パート 3 では、オンプレミスの SIEM と並行して運用しながらデータと検出を移行するためのベスト プラクティスと、Azure Sentinel の強力な自動化機能を最大限に活用して一般的なタスクを合理化する方法について説明します。
ここに記載されている情報は、多数のお客様の移行を支援しながら蓄積してきた経験と、IT インフラストラクチャを保護するために Microsoft 独自のセキュリティ オペレーション センター (SOC) によって得られた経験から得られたものです。通常、Azure Sentinel への移行は、データ、検出ルール、最後にワークフローの自動化という 3 つのフェーズで行われます。
Azure Sentinel へのデータの移行
セキュリティ オペレーション (SecOps) チームが Azure Sentinel に初めてログインすると、組み込みのデータ コネクタが事前に読み込まれていることがわかります。これにより、組織全体からデータを簡単に取り込むことができます。それでも、選択することはあなたの利益になります。移行は、セキュリティ ニーズを再評価し、不要になったコンテンツを残す機会を提供します。ユースケースを総合的に考えてから、それらをサポートするために必要なデータをマッピングします。従来の SIEM からの可視性に長引くギャップを特定し、それらを埋める方法を決定する必要があります。
ほとんどの SecOps チームは、クラウド データを Azure Sentinel に取り込むことから始めます。簡単な最初のステップとして、 Microsoft Azure アクティビティ ログとMicrosoft Office 365 監査ログはどちらも無料で取り込み、Azure とOffice 365のアクティビティをすぐに確認できます。また、 Microsoft Defender製品、 Azure Security Center 、 Microsoft Cloud App Security 、 Azure Information Protectionからアラートをすべて無料で取り込むこともできます。
多くのセキュリティ チームは、Azure Sentinel を使用してそれらを相互に関連付けながら、組織全体のセキュリティ製品から強化されたデータを取り込むことを選択しています。これにより、コストがかかる可能性があるデータ ソースから生ログを取り込む必要がなくなります。 Azure Sentinel で検出を移行し、ユース ケースを構築するときは、主要な優先順位に関連するデータの価値を必ず確認してください。
検出ルールの移行
移行の重要なタスクには、 既存の検出ルールを変換して Azure Sentinel にマップすることが含まれます。これは、Kusto クエリ言語(KQL) を採用し、 Microsoft Defender for EndpointやMicrosoft Application Insightsなどの他の Microsoft ソリューションで簡単に使用できます。
Azure Sentinel には、次の 4 つの組み込みルール タイプがあります。
- アラートのグループ化:エンティティの一致、スケジュールされたルールによってトリガーされるアラート、および特定のエンティティの一致という 3 つのアラート グループ化オプションを使用して、特定の時間枠内で最大 150 個のアラートをグループ化することにより、アラートの疲れを軽減します。
- エンティティ マッピング: SecOps エンジニアが、調査中に追跡するエンティティを定義できるようにします。 エンティティ マッピングにより、アナリストは直感的な調査グラフを利用して、時間と労力を削減することもできます。
- 証拠の概要:プレビュー ペイン内の特定のインシデントに関連付けられたイベント、アラート、およびブックマークを表示します。エンティティと戦術もインシデント ペインに表示されるため、重要な詳細のスナップショットが提供され、迅速なトリアージが可能になります。
- KQL:要求は Log Analytics データベースに送信され、構文の読み取り、作成、自動化を容易にするデータ フロー モデルを使用してプレーン テキストで記述されます。他のいくつかの Microsoft サービスもAzure Log AnalyticsまたはAzure Data Explorerにデータを保存するため、これにより、クエリまたは関連付けに必要な学習曲線が短縮されます。
Azure Sentinel は機械学習分析を使用して、忠実度が高く実用的なインシデントを生成するため、既存の検出の一部が不要になる可能性があります。
覚えて:
- すべてのルールをやみくもに移行しないでください。量ではなく質を重視。
- 利用可能なリソースを活用します。 Azure Sentinel のすべての組み込みルールを確認して、ユース ケースにすばやく対応できるすぐに使えるルールを特定します。 SOC Prime Threat Detection Marketplaceなどのコミュニティ リソースをご覧ください。
- 接続されたデータ ソースを確認し、データ接続方法を確認します。データ収集の会話を再検討して、検出する予定のユース ケース全体でデータの深さと幅を確保します。
- ビジネスの優先度と有効性の観点から、ルールの移行を正当化するユース ケースを選択します。
- 過去 6 ~ 12 か月間にアラートをトリガーしなかったルールを確認します。
- 日常的に無視している低レベルの脅威やアラートを排除します。
- 検証プロセスを準備します。テスト シナリオを定義し、テスト スクリプトを作成します。
自動化の最大化
ワークフローを自動化すると、SecOps チームがアラートを一般的なインシデントにグループ化し、その優先度を変更できるようになるため、一般的なタスクと重要なタスクの両方を合理化できます。また、Azure Sentinel の自動化されたプレイブックにより、ServiceNow などのサード パーティのチケット発行ソリューションと簡単に統合できます。
しかし、自動化はバックグラウンドでタスクを実行することだけではありません。調査内から、チームは自動化されたプレイブックを使用して追加情報を収集したり、修復アクションを適用したりできます。アナリストがより短い時間でより多くのことを達成できるように支援します。また、時間をかけて自由に反復および改良し、応答の完全自動化に移行できます。 GitHub プレイブックを参照して、新しいアイデアを得たり、最も一般的な自動化フローについて学んでください。
従来の SIEM の廃止
最優先事項と定義済みのユース ケースを常に把握しておくことで、レガシー SIEM を廃止し、Azure Sentinel に完全に移行する準備が整ったときの感覚を養うことができます。私たちの経験に基づいて、古い SIEM をオフにする準備ができていると感じているお客様は、最初に次の基本的なチェックリストを完了する必要があります。
テクノロジー
- 重要なデータを確認する:ソースとアラートが Azure Sentinel で利用できることを確認します。
- すべての記録をアーカイブする:過去のインシデントとケースの重要な記録 (オプションの生データ) を保存して、機関の履歴を保持します。
プロセス
- プレイブック: Azure Sentinel の調査とハンティング プロセスを更新します。
- メトリック: Azure Sentinel からすべての主要なメトリックを完全に取得できることを確認します。 カスタム ワークブックを作成するか、組み込みのワークブック テンプレートを使用して、データ ソースに接続するとすぐに洞察を得ることができます。
- ケース:現在のすべてのケースが新しいシステムに転送されていることを確認します (必要なソース データを含む)。
人々
- SOC アナリスト:チームの全員が Azure Sentinel のトレーニングを受けており、従来の SIEM から離れることに抵抗がないことを確認してください。
もっと詳しく知る
Azure Sentinel に完全に移行することで、リアルタイムの脅威分析と、クラウドネイティブ SIEM の運用に伴う簡単なスケーラビリティの恩恵を受けながら、組織はインフラストラクチャ、ライセンス、およびスタッフの時間を大幅に節約できる可能性があります。
この 3 部構成のシリーズが、移行プロセスに関する疑問の解決に役立つことを願っています。シリーズの第 1 部と第 2 部は、次の場所で読むことができます。
- パート 1: オンプレミス SIEM から Azure Sentinel への移行の準備
- パート 2: 従来の SIEM から Azure Sentinel へのサイド バイ サイド移行を管理する方法
移行プロセスの完全な概要と追加リソースへのリンクについては、ホワイト ペーパーをダウンロードしてください: Azure Sentinel Migration Fundamentals .
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments