見出し画像

Microsoft Sentinelの脅威インテリジェンスを活用してみた

GO株式会社 IT戦略本部

はじめまして。GO株式会社 IT戦略部の中島です。
社内ITのクラウドサービス構築・運用全般とセキュリティ監視などを担当しています。

さて弊社のセキュリティ監視は、Microsoft Sentinel(以下Sentinel)を導入し活用しています。
本日は、最近弊社で実施したSentinelの脅威インテリジェンス活用に関してお話しようと思います!


セキュリティ監視これまで

本題に入る前に、弊社のこれまでのセキュリティ監視について簡単に振り返ろうと思います。

Sentinel導入前は、Microsoft Defender for Endpoint(以下MDE)のデフォルト設定での検知を中心に対応しており、積極的なセキュリティ監視ができていない状態でした。

この状況を改善するため、システム、運用両面から以下の対応をこの半年近くで実施してきました。

  • SentinelにMDEやMicrosoft Entra ID、その他各種SaaSのログを集約しシステム横断的なログ分析や検知を開始

  • 不自然なサインイン・挙動を捉えるための検知ルールを作成

  • IOC(攻撃者に関係するIPやドメイン等)を自動収集し、検知や遮断に活用

  • インシデントレスポンスの組織内ガイドラインを作成し、対応プロセスや対応順序を定義してフレームワーク化

改善を進めたことで、セキュリティリスクに対して積極的に対処できるようになりました。

Sentinelの脅威インテリジェンス

さて、基本的なセキュリティ監視は構築できてきた弊社ですが、最近はより高度な監視のためIOCを使った検知に力を入れようとしています!

そこで活用していこうとしているのがSentinelの脅威インテリジェンスです!

Sentinelには標準で脅威インテリジェンスが提供されており、手動または外部脅威インテリジェンスサービスとの連携(別途サービス契約が必要なものもあります)でIOCを取り込むことができます。
また、取り込んだIOCをすでに取り込んであるログ(例えば端末の通信ログ)とつきあわせることで、検知を行うこともできます。THE SIEMですね!

Sentinelの脅威インテリジェンス


弊社の場合すでにMicrosoft Defender Threat Intelligenceを連携していましたが、それ以外のソースからはIOCを取り込んでいない状態でした。
そこで、外部の脅威インテリジェンスプラットフォームからもIOCを取り込み、自社独自の脅威インテリジェンスとして活用していくことにしました。

今回はその取り組み第1弾として、ThreatFoxのIOCを取り込んでみたので実装内容について説明していきます!

ThreatFoxのIOCを取り込んでみた

今回の実装概要は以下となります。
Sentinelの脅威インテリジェンスに用意されているAPIを活用し、IOCを取り込んでいきます。
Logic Appsを2つに分けている理由については、後述します。

実装概要

まず1つ目のLogic AppsでThreatFoxからIOCを取得します。
ThreatFoxはIOCをAPIで公開しているので、Logic AppsのHTTPアクションを使って情報を取得するようにしました。

ThreatFoxからIOCを取得するHTTPアクション

ここからリクエスト後に返ってくる出力結果をJSONで解析し、その流れでSentinelに直接取り込むことも可能ですが、今後他の脅威インテリジェンスプラットフォームからもIOCを取り込む可能性があることから、汎用的なIOC取り込み用Logic Appsを間に作ることにしました。

以下のようにThreatFoxから取得したIOC情報を、取り込み用Logic AppsにPOSTします。

必要情報を2つ目のLogic AppsにPOST

ここからは2つ目の取り込み用Logic Appsの出番です。
取得したIOC情報をもとに、SentinelにIOCを取り込んでいきます。

Sentinelに取り込む(HTTP POST)にあたり、URIや要求本文の形式については公式ドキュメントからすぐ分かったのですが認証部分については工夫が必要でした。

結論、認証ではLogic Appsのマネージド IDを指定する必要がありました。
Logic AppsのマネージドIDを有効化し、マネージドIDに対して「Microsoft Sentinel 共同作成者」のロールを付与することでSentinelにPOSTを実行することができました。
マネージドIDの設定をしてしまえば、Logic Apps側のリクエストの認証設定は以下のシンプルな形でOKです。

HTTPアクションの認証設定

ここまでの流れで、無事Sentinelの脅威インテリジェンスにThreatFoxのIOCを取り込むことができました!

ThreatFoxのIOCが取り込まれた実際の画面

取り込みさえできてしまえば、この脅威インテリジェンスをソースとした検知ルールを作成すれば、あとは検知するのを待つだけです!

実際ThreatFoxのIOC取り込み開始後、数件検知されており成果が出ている状況です。

今後に向けて

今回の取り組みで、IOCをSentinelの脅威インテリジェンスに取りこむ汎用的な仕組みができたので、その他の外部脅威インテリジェンスプラットフォームからも鮮度の高いIOCを取りこみセキュリティ監視をより高度化していこうと思っています。
また現状はそれぞれのプラットフォームからAPIでIOCを取得していますが、生成AIの活用を進め、より効率的にIOCを収集することにもチャレンジしていこうと思っています!

おわりに

駆け足でしたが、Sentinelの脅威インテリジェンスの活用についてご説明させていただきました!大きな追加費用もかけず、さくっと今後の拡張含め設計・構築できたことはよかったと感じています。
Sentinelを使ってセキュリティ監視をしている方に少しでもお役に立てたら幸いです。

※掲載内容は、2024年4月25日時点の情報となります。
※記載されている会社名、サービス名、製品名は、一般に各社の登録商標または商標です。