Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure Sentinelに触れてみた

Azure Sentinelに触れてみた

Azureが提供するSIEMであるAzure Sentinelがどういうものなのかちょっと触ってみました。未だとても使いこなせる気はしませんが、さわりの外周の薄っぺらい薄皮一枚ぐらいには触れられたのだろうか。

localYouser

March 07, 2021
Tweet

More Decks by localYouser

Other Decks in Technology

Transcript

  1. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    -Azure Sentinelにちょっと触れた-
    2021年3月7日
    BLUECORE.NET管理人
    ろーかるゆーざー

    View full-size slide

  2. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    Azure Sentinelについて
    • いわゆるSIEMの一種らしい
    • SIEMとは:Security Information and Event Management の略
    • アプリケーションやネットワークハードウェアによって生成されたセキュリティアラートのリアルタイム分析
    を提供するもの・・・らしい。
    • つまりは分析ツールと考えてよさそう。
    • 分析した結果、これは対処すべきと分かったものについては自動応答で何らかのセキュ
    リティ対応を自動的に実行させたりとかもどうやら出来そう。
    • ログ収集はLogAnalyticsが行う
    • LogAnalytics自体も分析は行える
    • LogAnalytics自体はDocumentStoreの一種であり、どんな列構成のデータ出会っても問答無
    用で取り込み、KQLを使用した柔軟なクエリ発行により、データを多面的に分析することが可能。
    • ただし、LogAnalyticsだけでSIEM的なことをやるには、自らKQL等を作り、ログ傾向とにら
    めっこしながら一から構成していかなければならない。
    • Sentinelにはそうした自分で本来はやるべきタスクの一部を自動生成したり、もう少し
    情報を把握しやすくしたり、そんな機能がオーバーレイ的に実装される。

    View full-size slide

  3. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    Azure Sentinelと関連コンポーネントの関わり
    Azure AD
    Sign-in logs/Audit logs
    Azure
    Activity logs
    Azure ARC
    Event logs
    Azure Diagnostics
    Web Application Firewall logs
    LogAnalytics Azure Sentinel Security
    Administrator
    • まずはLogAnalyticsを構成する必要がある
    • LogAnalyticsの設定を行い、ログを取り込める状態にすることから始まる
    • ログクエリ画面から、指定したテーブルにログが蓄積していることなどは予め確
    認しよう
    • データインジェストの容量等の確認はしておいた方が良いよ
    • AzureSentinelから、指定したLogAnalyticsとの関連付けを行う
    • 関連付けされたLogAnalyticsから読み出しが行われる
    • 概要画面にどの程度ログが取り込まれたかの確認が出来る

    View full-size slide

  4. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    全体の流れ
    • これが正解!と言うものはないのだけれど
    • こんな感じじゃないかなというものを挙げてみる

    View full-size slide

  5. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    Azure Sentinel概要画面

    View full-size slide

  6. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    データコネクタを用いてデータ取り込みを可能にする

    View full-size slide

  7. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    データコネクタを指定する

    View full-size slide

  8. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    データコネクタの構成例

    View full-size slide

  9. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    ブックによるセキュリティログの見える化

    View full-size slide

  10. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    ブックの参照

    View full-size slide

  11. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    ブックの表示例

    View full-size slide

  12. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    分析ルールの作成

    View full-size slide

  13. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    分析ルールの作成

    View full-size slide

  14. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    分析ルールの作成

    View full-size slide

  15. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    分析ルールの作成

    View full-size slide

  16. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    ハンティング機能

    View full-size slide

  17. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    ハンティング機能

    View full-size slide

  18. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    ハンティングされた結果の確認

    View full-size slide

  19. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    ハンティング対象クエリを元に分析ルールを作成する

    View full-size slide

  20. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    インシデント検出-ケースオープン-クローズまで。

    View full-size slide

  21. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    インシデント管理

    View full-size slide

  22. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    調査タスク

    View full-size slide

  23. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    インシデント調査

    View full-size slide

  24. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    ケースをクローズすると

    View full-size slide

  25. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    まとめ

    View full-size slide

  26. BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    BLUECORE.NET
    趣味で自宅にITインフラ触ってる者だ
    Azure Sentinelを使ってみて
    • ぱっとサクッと作ってみる分にはおもしろい
    • セキュリティ大の苦手な私がある程度情報を把握出来るようになった
    • 予め準備されているブック・KQLの存在がデカい
    • 自動応答機能が使いこなせるようになるとだいぶ楽なのかな?
    • 微妙に機能が足りない気はする
    • 割と広く足を伸ばしてる(AWSとかも気にしてるのは分かる。ARCとかも)
    • だけど、どんなセキュリティアプライアンスもバッチリか?と言うとそうでもない気がする。
    • プレビュー機能がSentinelの中でも色々混在してるので、どれを本番化したら良いものか、ちょっぴり迷う
    • 結局の所、どこまで自由自在にLogAnalyticsを扱えるか、プレイブックを扱えるかなのかなと言う気もする。
    • SIEMの一形態として触れる分には良いと思った
    • 結局はある程度の作り込みが必要である・・と言う点については、他社のSIEMもあんまり変わらない気がする
    • 結局の所、セキュリティ専門家も交えて作り込んだ結果、その仕組みが使いやすいものになるかどうかによってSIEM
    の性能というのは決まるのかなとも思う。
    • Azure Sentinelだから大丈夫とか、ログ分析ツールをカスタマイズしたものだからたいしたことないとかそういうこ
    とはない、あくまでその分析するロジック、結果配置などに左右されると考えられる。
    (最初のとっかかりの触りやすさは多少の差が製品によって出るかもしれないけど)

    View full-size slide