Microsoft Sentinel脅威インテリジェンスを使用する

脅威インテリジェンスの作成と管理を合理化することで、脅威の検出と修復を加速します。 この記事では、Defender ポータルまたはAzure portalのMicrosoft Sentinelからアクセスする場合でも、管理インターフェイスで脅威インテリジェンス統合を最大限に活用する方法について説明します。

• 構造化された脅威情報式 (STIX) を使用して脅威インテリジェンス オブジェクトを作成する
• 脅威インテリジェンスを表示、キュレーション、視覚化して管理する

前提条件

• 脅威インテリジェンスを管理するには、ユーザー アカウントに割り当てられているMicrosoft Sentinel共同作成者以上のロールのアクセス許可が必要です。
• 脅威インテリジェンスをインポートおよびエクスポートするには、「STIX/TAXII を使用してMicrosoft Sentinelで脅威インテリジェンスをインポートおよびエクスポートする」で説明されているように、脅威インテリジェンス ソリューションをMicrosoft Sentinelにインストールし、関連するコネクタを有効にする必要があります。

管理インターフェイスにアクセスする

脅威インテリジェンスを操作する場所に応じて、次のいずれかのタブを参照してください。 管理インターフェイスにアクセスする方法は、使用するポータルによって異なりますが、作成タスクと管理タスクは、一度アクセスすると同じ手順になります。

脅威インテリジェンスを作成する

管理インターフェイスを使用して STIX オブジェクトを作成し、インジケータータグ付けやオブジェクト間の接続の確立など、他の一般的な脅威インテリジェンス タスクを実行します。

• 新しい STIX オブジェクトを作成するときにリレーションシップを定義します。
• 重複する機能を使用して、新しい TI オブジェクトまたは既存の TI オブジェクトからメタデータをコピーして、複数のオブジェクトをすばやく作成します。

サポートされている STIX オブジェクトの詳細については、「Microsoft Sentinelの脅威インテリジェンス」を参照してください。

新しい STIX オブジェクトを作成する

1. [Add new>TI object]\(新しいTI オブジェクトの追加\) を選択します。

   

2. [オブジェクトの種類] を選択し、[新しい TI オブジェクト] ページのフォームに入力します。 必須フィールドには、赤いアスタリスク (*) が付いています。

3. TI オブジェクトに対して、秘密度値または トラフィック ライト プロトコル (TLP) の評価を指定することを検討してください。 値が表す内容の詳細については、「 脅威インテリジェンスのキュレーション」を参照してください。

4. このオブジェクトと別の脅威インテリジェンス オブジェクトとの関係がわかっている場合は、 リレーションシップの種類 と ターゲット参照との接続を示します。

5. 個々のオブジェクトに対して [追加] を選択するか、同じメタデータを使用してさらに項目を作成する場合は [追加して複製 ] を選択します。 次の図は、重複する各 STIX オブジェクトのメタデータの共通セクションを示しています。

脅威インテリジェンスを管理する

インジェスト ルールを使用してソースから TI を最適化します。 リレーションシップ ビルダーを使用して既存の TI をキュレーションします。 管理インターフェイスを使用して、検索、フィルター、並べ替えを行い、脅威インテリジェンスにタグを追加します。

インジェスト ルールを使用して脅威インテリジェンス フィードを最適化する

TI フィードからのノイズを減らし、価値の高いインジケーターの有効性を拡張し、受信オブジェクトに意味のあるタグを追加します。 これらは、インジェスト ルールのユース ケースの一部にすぎません。 高値インジケーターの有効期間を延長する手順を次に示します。

1. [ インジェスト ルール ] を選択すると、新しいページ全体が開き、既存のルールが表示され、新しいルール ロジックが作成されます。

   

2. ルールのわかりやすい名前を入力します。 インジェスト ルール ページには、名前に関する十分なルールがありますが、ルールを編集せずに区別できる唯一のテキスト説明です。

3. [オブジェクトの種類] を選択します。 このユース ケースは、 Valid from プロパティの拡張に基づいています。これは、 Indicator オブジェクト型でのみ使用できます。

4. Source Equalsの条件を追加し、高い値のSourceを選択します。

5. Confidence Greater than or equalの条件を追加し、Confidenceスコアを入力します。

6. [アクション] を選択します。 このインジケーターを変更するため、[ Edit] を選択します。

7. Valid untilの [追加] アクションを選択し、Extend byし、日数単位で期間を選択します。

8. Extendedなど、これらのインジケーターに配置された高い値を示すタグを追加することを検討してください。 変更された日付は、インジェスト ルールによって更新されません。

9. ルールを実行する 注文 を選択します。 ルールは、最も低い順序の数値から最も高い順に実行されます。 各ルールは、取り込まれたすべてのオブジェクトを評価します。

10. ルールを有効にする準備ができたら、[ 状態] を [オン] に切り替えます。

11. [ 追加] を選択 してインジェスト ルールを作成します。

詳細については、「 脅威インテリジェンス インジェスト ルール」を参照してください。

リレーションシップ ビルダーを使用して脅威インテリジェンスをキュレーションする

脅威インテリジェンス オブジェクトをリレーションシップ ビルダーに接続します。 ビルダーには一度に最大 20 個のリレーションシップがありますが、複数のイテレーションを行い、新しいオブジェクトのリレーションシップ ターゲット参照を追加することで、より多くの接続を作成できます。

1. [ Add new>TI リレーションシップ] を選択します。

2. 脅威アクターや攻撃パターンなどの既存の TI オブジェクトから始めます。このパターンでは、1 つのオブジェクトがインジケーターなどの 1 つ以上の既存のオブジェクトに接続されます。

3. 次の表と STIX 2.1 参照リレーションシップの概要テーブルに記載されているベスト プラクティスに従って、リレーションシップの種類を追加します。

   リレーションシップの種類	説明
   の重複 派生元 に関連する	すべての STIX ドメイン オブジェクトに対して定義されている共通リレーションシップ (SDO) 詳細については、共通リレーションシップに関する STIX 2.1 リファレンスに関するページを参照してください。
   ターゲット	Attack patternターゲットのThreat actorIdentity
   使用目的	Threat actor 使用 Attack pattern
   属性付き	Threat actor 属性付き Identity
   示す	Indicator Attack pattern または を示します。Threat actor
   偽装	Threat actor 偽装 Identity

4. リレーションシップ ビルダーを使用する方法の例として、次の図を使用します。 この例では、Defender ポータルのリレーションシップ ビルダーを使用して、脅威アクターと攻撃パターン、インジケーター、ID の間を接続する方法を示します。

   

5. 共通プロパティを構成してリレーションシップ を 完了します。

管理インターフェイスで脅威インテリジェンスを表示する

管理インターフェイスを使用して、Log Analytics クエリを記述せずに、取り込まれたソースから脅威インテリジェンスを並べ替え、フィルター処理、検索します。

1. 管理インターフェイスから、[検索する内容] メニュー を 展開します。

2. STIX オブジェクトの種類を選択するか、既定の All オブジェクト型のままにします。

3. 論理演算子を使用して条件を選択します。

4. 詳細情報を表示するオブジェクトを選択します。

次の図では、複数のソースを使用して OR グループに配置して検索し、複数の条件を AND 演算子でグループ化しました。

Microsoft Sentinelこのビューには、最新バージョンの脅威 intel のみが表示されます。 オブジェクトの更新方法の詳細については、「 脅威インテリジェンス ライフサイクル」を参照してください。

IP とドメイン名のインジケーターは、追加の GeoLocation と WhoIs データでエンリッチされるため、インジケーターが見つかった調査にさらにコンテキストを提供できます。

次に例を示します。

脅威インテリジェンスにタグを付け、編集する

脅威インテリジェンスのタグ付けは、オブジェクトを簡単に見つけられるようにグループ化する簡単な方法です。 通常、特定のインシデントに関連するタグを適用できます。 ただし、オブジェクトが特定の既知のアクターまたは既知の攻撃キャンペーンからの脅威を表す場合は、タグの代わりにリレーションシップを作成することを検討してください。

1. 管理インターフェイスを使用して、脅威インテリジェンスを並べ替え、フィルター処理、検索します。
2. 操作するオブジェクトを見つけたら、同じ型の 1 つ以上のオブジェクトを選択して複数選択します。
3. [ タグの追加] を選択し、1 つ以上のタグで一度にタグを付けます。
4. タグ付けは自由形式であるため、organizationでタグの標準の名前付け規則を作成することをお勧めします。

脅威インテリジェンスを、Microsoft Sentinelで直接作成した場合も、TIP や TAXII サーバーなどのパートナー ソースから作成した場合でも、一度に 1 つのオブジェクトを編集します。 管理インターフェイスで作成された脅威 intel の場合、すべてのフィールドを編集可能です。 パートナー ソースから取り込まれた脅威 Intel の場合、タグ、 有効期限、 信頼度、 取り消しなどの特定のフィールドのみが編集可能です。 いずれの場合も、最新バージョンの オブジェクトのみが管理インターフェイスに表示されます。

脅威 intel の更新方法の詳細については、「脅威 インテリジェンスを表示する」を参照してください。

クエリを使用して脅威インテリジェンスを見つけて表示する

この手順では、ソース フィードや取り込み方法に関係なく、クエリを使用して脅威インテリジェンスを表示する方法について説明します。

脅威インジケーターは、Microsoft Sentinel ThreatIntelligenceIndicator テーブルに格納されます。 この表は、分析、ハンティング、ブックなど、他のMicrosoft Sentinel機能によって実行される脅威インテリジェンス クエリの基礎です。

詳細については、「 脅威インテリジェンスを表示する」を参照してください。

ブックを使用して脅威インテリジェンスを視覚化する

専用のMicrosoft Sentinel ブックを使用して、脅威インテリジェンスに関する重要な情報をMicrosoft Sentinelで視覚化し、ビジネス ニーズに応じてブックをカスタマイズします。

Microsoft Sentinelで提供されている脅威インテリジェンス ブックを見つける方法と、ブックを編集してカスタマイズする方法の例を次に示します。

1. Azure portalから、[Microsoft Sentinel] に移動します。

2. 脅威インテリジェンス データ コネクタを使用して、脅威インジケーターをインポートしたワークスペースを選択します。

3. [Microsoft Sentinel] メニューの [脅威の管理] セクションで、[ブック] を選択します。

4. "脅威インテリジェンス" というタイトルのブックを見つけます。 ThreatIntelligenceIndicator テーブルにデータがあることを確認します。

   

5. [保存] を選択し、ブックを格納するAzure場所を選択します。 ブックを何らかの方法で変更し、変更を保存する場合は、この手順が必要です。

6. 次に、[ 保存されたブックの表示 ] を選択して、表示と編集のためにブックを開きます。

7. テンプレートによって提供される既定のグラフが表示されます。 グラフを変更するには、ページの上部にある [編集 ] を選択して、ブックの編集モードを開始します。

8. 脅威の種類別に脅威インジケーターの新しいグラフを追加します。 ページの下部までスクロールし、[クエリの 追加] を選択します。

9. Log Analytics ワークスペースの [ログ クエリ] テキスト ボックスに次のテキストを追加します。

   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

   前の例で使用した次の項目の詳細については、Kusto のドキュメントを参照してください。

   • summarize 演算子
   • count() 集計関数

10. [ 視覚化 ] ドロップダウン メニューで、[ 横棒グラフ] を選択します。

11. [ 編集の完了] を選択し、ブックの新しいグラフを表示します。

    

ブックには、Microsoft Sentinelのすべての側面に関する分析情報を提供する強力な対話型ダッシュボードが用意されています。 ブックを使用して多くのタスクを実行できます。提供されるテンプレートは優れた出発点です。 多数のデータ ソースを組み合わせてテンプレートをカスタマイズしたり、新しいダッシュボードを作成したりして、データを一意の方法で視覚化できるようにします。

Microsoft Sentinelブックは、Azure Monitor ブックに基づいているため、広範なドキュメントやその他のテンプレートを使用できます。 詳細については、「Azure Monitor ブックを使用して対話型レポートを作成する」を参照してください。

GitHub には、Azure Monitor ブック用の豊富なリソースもあり、さらに多くのテンプレートをダウンロードして独自のテンプレートを投稿できます。

脅威インテリジェンスをエクスポートする

Microsoft Sentinelを使用すると、脅威インテリジェンスを他の宛先にエクスポートできます。 たとえば、 脅威インテリジェンス - TAXII データ コネクタを使用して脅威インテリジェンスを取り込んだ場合は、双方向インテリジェンス共有のために脅威インテリジェンスをソース プラットフォームにエクスポートし直すことができます。 エクスポート機能により、脅威インテリジェンスを配布するための手動プロセスまたはカスタム プレイブックの必要性が軽減されます。

脅威インテリジェンスをエクスポートするには:

1. Defender ポータルでMicrosoft Sentinelする場合は、[脅威インテリジェンス] > [Intel Management] を選択します。 Azure portalでMicrosoft Sentinelする場合は、[脅威の管理] > [脅威インテリジェンス] を選択します。

2. 1 つまたは複数の STIX オブジェクトを選択し、ページの上部にあるツール バーで [ エクスポート を選択します。 例:

   • Defender ポータル
   • Azure portal

   

3. [ エクスポート ] ウィンドウの [ エクスポート TI ] ドロップダウンから、脅威インテリジェンスをエクスポートするサーバーを選択します。

   サーバーが一覧にない場合は、「 脅威インテリジェンスの有効化 - TAXII Export データ コネクタ」の説明に従って、最初にエクスポート用のサーバーを構成する必要があります。 Microsoft Sentinelは現在、TAXII 2.1 ベースのプラットフォームへのエクスポートのみをサポートしています。

4. [エクスポート] を選択します。

   重要

   脅威インテリジェンス オブジェクトをエクスポートすると、システムは一括操作を実行します。 この一括操作が失敗することがある既知の問題が存在します。 この場合、[エクスポート] サイド パネルを開くと、一括操作履歴ビューから失敗したアクションを削除するように求める警告が表示されます。 システムは、失敗した操作を削除するまで後続の操作を一時停止します。

エクスポート履歴にアクセスするには:

1. Intel 管理 (Defender ポータル) または脅威インテリジェンス ページ (Azure portal) でエクスポートされた項目に移動します。
2. [ エクスポート ] 列で、[ エクスポート履歴の表示 ] を選択して、そのアイテムのエクスポート履歴を表示します。

関連コンテンツ

詳細については、次の記事を参照してください。

• Microsoft Sentinelの脅威インテリジェンス。
• Microsoft Sentinelを STIX/TAXII 脅威インテリジェンス フィードに接続します。
• どの TIP、TAXII フィード、エンリッチメントをMicrosoft Sentinelと簡単に統合できるかを確認します。

KQL の詳細については、「Kusto 照会言語 (KQL) の概要」を参照してください。

その他のリソース：

• KQL クイック リファレンス
• 学習リソースのKusto 照会言語