セキュリティ オペレーション センター (SOC) は、人、プロセス、テクノロジを統合するorganization内の一元化された機能です。 SOC は、organizationの全体的なサイバーセキュリティ フレームワークを実装します。 SOC は、サイバーセキュリティ インシデントの監視、アラート、防止、検出、分析、対応を行う組織の取り組みを共同で行います。 SOC マネージャーが率いる SOC チームには、インシデント 対応者、レベル 1、2、3 の SOC アナリスト、脅威ハンター、インシデント対応マネージャーが含まれる場合があります。
SOC チームは、ネットワーク、デバイス、アプリケーション、動作、アプライアンス、インフォメーション ストアなど、organizationの IT インフラストラクチャ全体からテレメトリを使用します。 その後、チームはデータを共同で関連付けて分析し、データを管理する方法と実行するアクションを決定します。
Microsoft Sentinelに正常に移行するには、SOC が使用するテクノロジだけでなく、SOC のタスクとプロセスも更新する必要があります。 この記事では、MICROSOFT SENTINEL への移行の一環として SOC およびアナリスト プロセスを更新する方法について説明します。
アナリスト ワークフローを更新する
Microsoft Sentinelには、インシデントの割り当てから終了まで、一般的なアナリスト ワークフローにマップするさまざまなツールが用意されています。 アナリストは、使用可能なツールの一部またはすべてを柔軟に使用して、インシデントのトリアージと調査を行うことができます。 organizationがMicrosoft Sentinelに移行するにつれて、アナリストはこれらの新しいツールセット、機能、ワークフローに適応する必要があります。
Microsoft Sentinelのインシデント
Microsoft Sentinelでは、インシデントは、インシデントをトリガーするのに十分な忠実性Microsoft Sentinel判断するアラートのコレクションです。 そのため、Microsoft Sentinelでは、アナリストは最初に [インシデント] ページでインシデントをトリアージし、さらに詳しく説明する必要がある場合はアラートの分析に進みます。 SIEM のインシデント用語と管理領域をMicrosoft Sentinelと比較します。
アナリスト ワークフロー ステージ
次の表では、アナリスト ワークフローの主要なステージについて説明し、ワークフロー内の各アクティビティに関連する特定のツールを強調表示します。
| Assign | トリアージ | 調査 | 対応 |
|---|---|---|---|
|
インシデントを割り当てる: • [ インシデント ] ページで手動で •プレイブックやオートメーションルールを使用して、自動的に |
次を使用してインシデントをトリアージします 。 • [インシデント] ページの インシデント の詳細 • [インシデント] ページの [エンティティ] タブの エンティティ 情報 • Jupyter Notebook |
次を使用してインシデントを調査します 。 • 調査グラフ • ブックのMicrosoft Sentinel • Log Analytics クエリ ウィンドウ |
次を使用してインシデントに対応します 。 •プレイブックとオートメーションルール • Microsoft Teamsウォールーム |
次のセクションでは、用語とアナリスト ワークフローの両方を特定のMicrosoft Sentinel機能にマップします。
Assign
[インシデントのMicrosoft Sentinel] ページを使用してインシデントを割り当てます。 [ インシデント ] ページには、インシデント プレビューと、1 つのインシデントの詳細ビューが含まれています。
![[インシデント] ページMicrosoft Sentinelスクリーンショット。](media/migration-soc-processes/analyst-workflow-incidents.png#lightbox)
インシデントを割り当てるには:
- 手動。 [所有者] フィールドを関連するユーザー名に設定します。
- 自動的に。 Microsoft Teamsと Logic Apps、または自動化ルールに基づくカスタム ソリューションを使用します。
![[インシデント] ページで所有者を割り当てるスクリーンショット。](media/migration-soc-processes/analyst-workflow-assign-incidents.png#lightbox)
トリアージ
Microsoft Sentinelでトリアージ演習を実施するには、専門知識のレベルと調査中のインシデントの性質に応じて、さまざまなMicrosoft Sentinel機能から始めることができます。 一般的な出発点として、[インシデント] ページで [完全な詳細の表示] を選択します。 これで、インシデントを構成するアラートを調べたり、ブックマークを確認したり、エンティティを選択して特定のエンティティをさらにドリルダウンしたり、コメントを追加したりできます。
インシデント レビューを続行するための推奨されるアクションを次に示します。
- インシデントと関連エンティティ間のリレーションシップを視覚的に表現するには、[ 調査 ] を選択します。
- 特定のエンティティに対して詳細なトリアージ演習を実行するには、 Jupyter ノートブック を使用します。 この演習では、 インシデントトリアージ ノートブックを使用できます。
トリアージを迅速化する
トリアージを迅速化するには、次の機能を使用します。
- 簡単にフィルター処理するには、[ インシデント ] ページで、特定のエンティティに関連付けられている インシデントを検索 します。 [インシデント] ページのエンティティによるフィルター処理は、従来の SIEM インシデント キューのエンティティ列でフィルター処理するよりも高速です。
- トリアージを高速化するには、[ アラートの詳細 ] 画面を使用して、インシデント名と説明 (関連するユーザー名、IP アドレス、ホストなど) に重要なインシデント情報を含めます。 たとえば、インシデントの名前を動的に
Ransomware activity detected in DC01に変更できます。ここで、DC01は重要な資産であり、カスタマイズ可能なアラート プロパティを使用して動的に識別されます。 - 詳細な分析を行う場合は、[インシデント] ページでインシデントを選択し、[証拠] の下の [イベント] を選択して、インシデントをトリガーした特定のイベントを表示します。 イベント データは、生のイベントではなく、分析ルールに関連付けられたクエリの出力として表示されます。 ルール移行エンジニアは、この出力を使用して、アナリストが正しいデータを確実に取得できます。
- 詳細なエンティティ情報については、[インシデント] ページでインシデントを選択し、[エンティティ] でエンティティ名を選択して、エンティティのディレクトリ情報、タイムライン、分析情報を表示します。 エンティティをマップする方法について説明します。
- 関連するブックにリンクするには、[ インシデント プレビュー] を選択します。 ブックをカスタマイズして、インシデントに関する追加情報、または関連するエンティティとユーザー設定フィールドを表示できます。
調査
調査グラフを使用して、インシデントを深く調査します。 [インシデント] ページ で インシデントを選択し、[ 調査 ] を選択して 調査グラフを表示します。
調査グラフでは、次のことができます。
- 関連するデータを関連エンティティと関連付けることで、スコープを理解し、潜在的なセキュリティ脅威の根本原因を特定します。
- エンティティについて詳しく説明し、さまざまな拡張オプションを選択します。
- 生データから自動的に抽出されたリレーションシップを表示することで、さまざまなデータ ソース間の接続を簡単に確認できます。
- 組み込みの探索クエリを使用して調査範囲を拡張し、脅威の完全な範囲を表示します。
- 定義済みの探索オプションを使用して、脅威の調査中に適切な質問をするのに役立ちます。
調査グラフからブックを開いて、調査作業をさらにサポートすることもできます。 Microsoft Sentinelには、特定のユース ケースに合わせてカスタマイズできるブック テンプレートがいくつか含まれています。
対応
Microsoft Sentinel自動応答機能を使用して、複雑な脅威に対応し、アラートの疲労を軽減します。 Microsoft Sentinelは、Logic Apps プレイブックと自動化ルールを使用して自動応答を提供します。
![[Automation] ブレードの [プレイブック テンプレート] タブのスクリーンショット。](media/migration-soc-processes/analyst-workflow-playbooks.png#lightbox)
プレイブックにアクセスするには、次のいずれかのオプションを使用します。
- [Automation > プレイブック テンプレート] タブ
- Microsoft Sentinel コンテンツ ハブ
- Microsoft Sentinel GitHub リポジトリ
これらのソースには、さまざまな複雑さのユース ケースの大部分をカバーする、セキュリティ指向のプレイブックが幅広く含まれています。 プレイブックの作業を効率化するには、[ Automation > プレイブック テンプレート] のテンプレートを使用します。 テンプレートを使用すると、プレイブックをMicrosoft Sentinel インスタンスに簡単にデプロイし、organizationのニーズに合わせてプレイブックを変更できます。
SOC プロセスをMicrosoft Sentinel機能にマップするには、SOC プロセス フレームワークを参照してください。
SIEM の概念を比較する
この表を使用して、従来の SIEM の主な概念とMicrosoft Sentinel概念を比較します。
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| イベント | イベント | イベント | イベント |
| 関連付けイベント | 関連付けイベント | 注目すべきイベント | 通知 |
| インシデント | 攻撃 | 注目すべきイベント | インシデント |
| 犯罪の一覧 | タグ | [インシデント] ページ | |
| ラベル | SOAR のユーザー設定フィールド | タグ | タグ |
| Jupyter Notebooks | Jupyter Notebooks | ノートブックのMicrosoft Sentinel | |
| ダッシュボード | ダッシュボード | ダッシュボード | ブック |
| 相関ルール | 構成要素 | 相関ルール | 分析ルール |
| インシデント キュー | [犯罪] タブ | インシデント レビュー | インシデント ページ |
次の手順
移行後、Microsoft のMicrosoft Sentinel リソースを調べてスキルを拡張し、Microsoft Sentinelを最大限に活用します。
また、統合された脅威保護のために、Microsoft Defender XDRとMicrosoft Defender for Cloud と共にMicrosoft Sentinelを使用して、脅威保護を強化することも検討してください。 詳細な脅威分析を深く掘り下げながら、Microsoft Sentinelが提供する幅広い可視性を活用できます。
詳細については、以下を参照してください: