Zenn
Microsoft (有志)Publicationへの投稿
💡

Sentinel で不正な振る舞いを検出してインシデント作成する

k.sato
に公開
Azure
Security
Microsoft
Microsoft Sentinel
tech

はじめに

Microsoft Sentinel には UEBA (ユーザーとエンティティの行動分析) 機能が備わっていますが、これらの機能によって直接インシデントが生成されるわけではありません。本記事では、不正な振る舞いを検出し、インシデントとして扱うための方法について整理します。

組み込みの異常検出ルールの活用

Sentinel には既定で有効化されている異常検出ルールがあり、検出結果は Anomalies テーブルに記録されます。Anomalies テーブルを検索し、条件に合致した場合にインシデント化するカスタム分析ルールを作成できます。

以下のように分析ルールを設定すれば、インシデント作成が可能です。

https://learn.microsoft.com/ja-jp/azure/sentinel/anomalies-reference
https://learn.microsoft.com/ja-jp/azure/sentinel/work-with-anomaly-rules

BehaviorAnalytics の利用

UEBA を有効化している場合、各エンティティの振る舞いが BehaviorAnalytics テーブルに記録されます。通常とは異なる振る舞いが検出されるとスコアが付与されるため、一定期間のスコアを集計し、閾値を超えた場合にインシデントを生成するカスタム分析ルールを作成することが可能です。

以下のように分析ルールを設定すれば、インシデント作成が可能です。閾値や集計期間については環境によって最適解が異なると思いますので、適宜カスタマイズください。

https://learn.microsoft.com/ja-jp/azure/sentinel/identify-threats-with-entity-behavior-analytics

標準偏差を用いた異常検出

機械学習を使わずに、KQL で標準偏差を計算し、過去の傾向と異なる振る舞いを検出することもできます。コンテンツ ハブで「Anomaly」と検索すると、標準偏差を利用したテンプレートがいくつか提供されているので、これらを参考にカスタマイズして利用できます。

まとめ

本記事では、Microsoft Sentinel の UEBA 機能を活用した振る舞い検知の方法について解説しました。組み込みの異常検出ルールや BehaviorAnalytics テーブル、KQL を用いた標準偏差による異常検出など、さまざまなアプローチで不正な振る舞いを検出し、必要に応じてカスタム分析ルールでインシデント化する手法を紹介しています。これらの機能を組み合わせることで、より効果的なセキュリティ監視が可能となります。

Microsoft (有志)
Microsoft (有志)Publication

Microsoft Azureをはじめとする最新技術情報をお届けします。 ※このPublicationは日本マイクロソフトまたは米Microsoft所属社員による個人の見解であり、所属する組織の公式見解ではありません。 ※Publicationに参加希望の社員は @07JP27までご連絡ください。

Discussion