Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure Sentinelに触れてみた

YuYu
March 07, 2021
Technology
0
240

Azure Sentinelに触れてみた

Azureが提供するSIEMであるAzure Sentinelがどういうものなのかちょっと触ってみました。未だとても使いこなせる気はしませんが、さわりの外周の薄っぺらい薄皮一枚ぐらいには触れられたのだろうか。

YuYu

March 07, 2021
Tweet

More Decks by YuYu

See All by YuYu
私の仕事はこんな仕事
localyouser
0
210
20210615a-Active Directoryバックアップ・リストア
localyouser
0
1.4k
LogAnalyticsによるブログアクセスの見える化
localyouser
0
570
Azure Filesとオンプレミスファイルサーバを連携させる
localyouser
0
960
RHEL High Availability Add-On からLVMとの連携を確認する
localyouser
0
550
Azureリソース構成例:とにかくお安く2021
localyouser
0
180
Horizon Instant Cloneを少しばかり試す
localyouser
0
1.2k
ADFSによるSSO動作の詳細一例
localyouser
0
71
MGについて、健康ネタとしてまとめてみたよ。
localyouser
0
68

Other Decks in Technology

See All in Technology
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
200
コンテナセキュリティの基本と脅威への対策
kyohmizu
3
760
Building Dashboards as a Hobby
egmc
0
100
VSCodeの拡張機能を作っている話
ebarakazuhiro
1
370
DevOpsDays History and my DevOps story
kawaguti
PRO
9
2.5k
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
240
require(ESM)とECMAScript仕様
uhyo
1
230
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
300
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
300
ここが嬉しいABAC ここが辛いよABAC #再解説+補足編
masahirokawahara
1
270
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
120
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
0
160

Featured

See All Featured
Building Effective Engineering Teams - LeadDev
addyosmani
28
1.8k
The Brand Is Dead. Long Live the Brand.
mthomps
49
28k
jQuery: Nuts, Bolts and Bling
dougneiner
59
7.1k
Code Reviewing Like a Champion
maltzj
514
39k
Bash Introduction
62gerente
604
210k
Why Our Code Smells
bkeepers
PRO
331
56k
The Power of CSS Pseudo Elements
geoffreycrofte
60
5k
How to name files
jennybc
65
93k
Scaling GitHub
holman
457
140k
The Mythical Team-Month
searls
216
42k
A better future with KSS
kneath
231
16k
Producing Creativity
orderedlist
PRO
337
39k

Transcript

  1. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ -Azure Sentinelにちょっと触れた- 2021年3月7日 BLUECORE.NET管理人 ろーかるゆーざー

  2. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinelについて • いわゆるSIEMの一種らしい • SIEMとは:Security

    Information and Event Management の略 • アプリケーションやネットワークハードウェアによって生成されたセキュリティアラートのリアルタイム分析 を提供するもの・・・らしい。 • つまりは分析ツールと考えてよさそう。 • 分析した結果、これは対処すべきと分かったものについては自動応答で何らかのセキュ リティ対応を自動的に実行させたりとかもどうやら出来そう。 • ログ収集はLogAnalyticsが行う • LogAnalytics自体も分析は行える • LogAnalytics自体はDocumentStoreの一種であり、どんな列構成のデータ出会っても問答無 用で取り込み、KQLを使用した柔軟なクエリ発行により、データを多面的に分析することが可能。 • ただし、LogAnalyticsだけでSIEM的なことをやるには、自らKQL等を作り、ログ傾向とにら めっこしながら一から構成していかなければならない。 • Sentinelにはそうした自分で本来はやるべきタスクの一部を自動生成したり、もう少し 情報を把握しやすくしたり、そんな機能がオーバーレイ的に実装される。

  3. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinelと関連コンポーネントの関わり Azure AD Sign-in logs/Audit

    logs Azure Activity logs Azure ARC Event logs Azure Diagnostics Web Application Firewall logs LogAnalytics Azure Sentinel Security Administrator • まずはLogAnalyticsを構成する必要がある • LogAnalyticsの設定を行い、ログを取り込める状態にすることから始まる • ログクエリ画面から、指定したテーブルにログが蓄積していることなどは予め確 認しよう • データインジェストの容量等の確認はしておいた方が良いよ • AzureSentinelから、指定したLogAnalyticsとの関連付けを行う • 関連付けされたLogAnalyticsから読み出しが行われる • 概要画面にどの程度ログが取り込まれたかの確認が出来る

  4. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 全体の流れ • これが正解!と言うものはないのだけれど • こんな感じじゃないかなというものを挙げてみる

  5. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinel概要画面

  6. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ データコネクタを用いてデータ取り込みを可能にする

  7. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ データコネクタを指定する

  8. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ データコネクタの構成例

  9. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ブックによるセキュリティログの見える化

  10. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ブックの参照

  11. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ブックの表示例

  12. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  13. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  14. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  15. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  16. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティング機能

  17. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティング機能

  18. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティングされた結果の確認

  19. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティング対象クエリを元に分析ルールを作成する

  20. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ インシデント検出-ケースオープン-クローズまで。

  21. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ インシデント管理

  22. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 調査タスク

  23. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ インシデント調査

  24. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ケースをクローズすると

  25. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ まとめ

  26. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinelを使ってみて • ぱっとサクッと作ってみる分にはおもしろい • セキュリティ大の苦手な私がある程度情報を把握出来るようになった

    • 予め準備されているブック・KQLの存在がデカい • 自動応答機能が使いこなせるようになるとだいぶ楽なのかな? • 微妙に機能が足りない気はする • 割と広く足を伸ばしてる(AWSとかも気にしてるのは分かる。ARCとかも) • だけど、どんなセキュリティアプライアンスもバッチリか?と言うとそうでもない気がする。 • プレビュー機能がSentinelの中でも色々混在してるので、どれを本番化したら良いものか、ちょっぴり迷う • 結局の所、どこまで自由自在にLogAnalyticsを扱えるか、プレイブックを扱えるかなのかなと言う気もする。 • SIEMの一形態として触れる分には良いと思った • 結局はある程度の作り込みが必要である・・と言う点については、他社のSIEMもあんまり変わらない気がする • 結局の所、セキュリティ専門家も交えて作り込んだ結果、その仕組みが使いやすいものになるかどうかによってSIEM の性能というのは決まるのかなとも思う。 • Azure Sentinelだから大丈夫とか、ログ分析ツールをカスタマイズしたものだからたいしたことないとかそういうこ とはない、あくまでその分析するロジック、結果配置などに左右されると考えられる。 (最初のとっかかりの触りやすさは多少の差が製品によって出るかもしれないけど)