Save 37% off PRO during our Black Friday Sale! »

Azure Sentinelに触れてみた

Azure Sentinelに触れてみた

Azureが提供するSIEMであるAzure Sentinelがどういうものなのかちょっと触ってみました。未だとても使いこなせる気はしませんが、さわりの外周の薄っぺらい薄皮一枚ぐらいには触れられたのだろうか。

F507086e15832a4344df6b10cdc5b179?s=128

localYouser

March 07, 2021
Tweet

Transcript

  1. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ -Azure Sentinelにちょっと触れた- 2021年3月7日 BLUECORE.NET管理人 ろーかるゆーざー

  2. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinelについて • いわゆるSIEMの一種らしい • SIEMとは:Security

    Information and Event Management の略 • アプリケーションやネットワークハードウェアによって生成されたセキュリティアラートのリアルタイム分析 を提供するもの・・・らしい。 • つまりは分析ツールと考えてよさそう。 • 分析した結果、これは対処すべきと分かったものについては自動応答で何らかのセキュ リティ対応を自動的に実行させたりとかもどうやら出来そう。 • ログ収集はLogAnalyticsが行う • LogAnalytics自体も分析は行える • LogAnalytics自体はDocumentStoreの一種であり、どんな列構成のデータ出会っても問答無 用で取り込み、KQLを使用した柔軟なクエリ発行により、データを多面的に分析することが可能。 • ただし、LogAnalyticsだけでSIEM的なことをやるには、自らKQL等を作り、ログ傾向とにら めっこしながら一から構成していかなければならない。 • Sentinelにはそうした自分で本来はやるべきタスクの一部を自動生成したり、もう少し 情報を把握しやすくしたり、そんな機能がオーバーレイ的に実装される。
  3. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinelと関連コンポーネントの関わり Azure AD Sign-in logs/Audit

    logs Azure Activity logs Azure ARC Event logs Azure Diagnostics Web Application Firewall logs LogAnalytics Azure Sentinel Security Administrator • まずはLogAnalyticsを構成する必要がある • LogAnalyticsの設定を行い、ログを取り込める状態にすることから始まる • ログクエリ画面から、指定したテーブルにログが蓄積していることなどは予め確 認しよう • データインジェストの容量等の確認はしておいた方が良いよ • AzureSentinelから、指定したLogAnalyticsとの関連付けを行う • 関連付けされたLogAnalyticsから読み出しが行われる • 概要画面にどの程度ログが取り込まれたかの確認が出来る
  4. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 全体の流れ • これが正解!と言うものはないのだけれど • こんな感じじゃないかなというものを挙げてみる

  5. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinel概要画面

  6. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ データコネクタを用いてデータ取り込みを可能にする

  7. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ データコネクタを指定する

  8. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ データコネクタの構成例

  9. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ブックによるセキュリティログの見える化

  10. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ブックの参照

  11. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ブックの表示例

  12. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  13. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  14. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  15. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  16. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティング機能

  17. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティング機能

  18. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティングされた結果の確認

  19. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティング対象クエリを元に分析ルールを作成する

  20. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ インシデント検出-ケースオープン-クローズまで。

  21. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ インシデント管理

  22. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 調査タスク

  23. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ インシデント調査

  24. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ケースをクローズすると

  25. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ まとめ

  26. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinelを使ってみて • ぱっとサクッと作ってみる分にはおもしろい • セキュリティ大の苦手な私がある程度情報を把握出来るようになった

    • 予め準備されているブック・KQLの存在がデカい • 自動応答機能が使いこなせるようになるとだいぶ楽なのかな? • 微妙に機能が足りない気はする • 割と広く足を伸ばしてる(AWSとかも気にしてるのは分かる。ARCとかも) • だけど、どんなセキュリティアプライアンスもバッチリか?と言うとそうでもない気がする。 • プレビュー機能がSentinelの中でも色々混在してるので、どれを本番化したら良いものか、ちょっぴり迷う • 結局の所、どこまで自由自在にLogAnalyticsを扱えるか、プレイブックを扱えるかなのかなと言う気もする。 • SIEMの一形態として触れる分には良いと思った • 結局はある程度の作り込みが必要である・・と言う点については、他社のSIEMもあんまり変わらない気がする • 結局の所、セキュリティ専門家も交えて作り込んだ結果、その仕組みが使いやすいものになるかどうかによってSIEM の性能というのは決まるのかなとも思う。 • Azure Sentinelだから大丈夫とか、ログ分析ツールをカスタマイズしたものだからたいしたことないとかそういうこ とはない、あくまでその分析するロジック、結果配置などに左右されると考えられる。 (最初のとっかかりの触りやすさは多少の差が製品によって出るかもしれないけど)