Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure Sentinelに触れてみた

YuYu
March 07, 2021
Technology
0
310

Azure Sentinelに触れてみた

Azureが提供するSIEMであるAzure Sentinelがどういうものなのかちょっと触ってみました。未だとても使いこなせる気はしませんが、さわりの外周の薄っぺらい薄皮一枚ぐらいには触れられたのだろうか。

YuYu

March 07, 2021
Tweet

More Decks by YuYu

See All by YuYu
私の仕事はこんな仕事
localyouser
0
240
20210615a-Active Directoryバックアップ・リストア
localyouser
0
1.7k
LogAnalyticsによるブログアクセスの見える化
localyouser
0
580
Azure Filesとオンプレミスファイルサーバを連携させる
localyouser
0
1.1k
RHEL High Availability Add-On からLVMとの連携を確認する
localyouser
0
590
Azureリソース構成例:とにかくお安く2021
localyouser
0
200
Horizon Instant Cloneを少しばかり試す
localyouser
0
1.3k
ADFSによるSSO動作の詳細一例
localyouser
0
80
MGについて、健康ネタとしてまとめてみたよ。
localyouser
0
86

Other Decks in Technology

See All in Technology
The Role of Developer Relations in AI Product Success.
giftojabu1
0
120
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
200
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
110
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
220
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
940
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
300
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
いざ、BSC討伐の旅
nikinusu
2
780
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
180

Featured

See All Featured
Docker and Python
trallard
40
3.1k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Mobile First: as difficult as doing things right
swwweet
222
8.9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
93
16k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
What's new in Ruby 2.0
geeforr
343
31k
Statistics for Hackers
jakevdp
796
220k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Producing Creativity
orderedlist
PRO
341
39k
Being A Developer After 40
akosma
86
590k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Building Flexible Design Systems
yeseniaperezcruz
327
38k

Transcript

  1. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ -Azure Sentinelにちょっと触れた- 2021年3月7日 BLUECORE.NET管理人 ろーかるゆーざー

  2. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinelについて • いわゆるSIEMの一種らしい • SIEMとは:Security

    Information and Event Management の略 • アプリケーションやネットワークハードウェアによって生成されたセキュリティアラートのリアルタイム分析 を提供するもの・・・らしい。 • つまりは分析ツールと考えてよさそう。 • 分析した結果、これは対処すべきと分かったものについては自動応答で何らかのセキュ リティ対応を自動的に実行させたりとかもどうやら出来そう。 • ログ収集はLogAnalyticsが行う • LogAnalytics自体も分析は行える • LogAnalytics自体はDocumentStoreの一種であり、どんな列構成のデータ出会っても問答無 用で取り込み、KQLを使用した柔軟なクエリ発行により、データを多面的に分析することが可能。 • ただし、LogAnalyticsだけでSIEM的なことをやるには、自らKQL等を作り、ログ傾向とにら めっこしながら一から構成していかなければならない。 • Sentinelにはそうした自分で本来はやるべきタスクの一部を自動生成したり、もう少し 情報を把握しやすくしたり、そんな機能がオーバーレイ的に実装される。

  3. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinelと関連コンポーネントの関わり Azure AD Sign-in logs/Audit

    logs Azure Activity logs Azure ARC Event logs Azure Diagnostics Web Application Firewall logs LogAnalytics Azure Sentinel Security Administrator • まずはLogAnalyticsを構成する必要がある • LogAnalyticsの設定を行い、ログを取り込める状態にすることから始まる • ログクエリ画面から、指定したテーブルにログが蓄積していることなどは予め確 認しよう • データインジェストの容量等の確認はしておいた方が良いよ • AzureSentinelから、指定したLogAnalyticsとの関連付けを行う • 関連付けされたLogAnalyticsから読み出しが行われる • 概要画面にどの程度ログが取り込まれたかの確認が出来る

  4. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 全体の流れ • これが正解!と言うものはないのだけれど • こんな感じじゃないかなというものを挙げてみる

  5. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinel概要画面

  6. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ データコネクタを用いてデータ取り込みを可能にする

  7. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ データコネクタを指定する

  8. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ データコネクタの構成例

  9. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ブックによるセキュリティログの見える化

  10. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ブックの参照

  11. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ブックの表示例

  12. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  13. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  14. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  15. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 分析ルールの作成

  16. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティング機能

  17. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティング機能

  18. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティングされた結果の確認

  19. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ハンティング対象クエリを元に分析ルールを作成する

  20. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ インシデント検出-ケースオープン-クローズまで。

  21. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ インシデント管理

  22. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ 調査タスク

  23. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ インシデント調査

  24. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ ケースをクローズすると

  25. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ まとめ

  26. BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ BLUECORE.NET 趣味で自宅にITインフラ触ってる者だ Azure Sentinelを使ってみて • ぱっとサクッと作ってみる分にはおもしろい • セキュリティ大の苦手な私がある程度情報を把握出来るようになった

    • 予め準備されているブック・KQLの存在がデカい • 自動応答機能が使いこなせるようになるとだいぶ楽なのかな? • 微妙に機能が足りない気はする • 割と広く足を伸ばしてる(AWSとかも気にしてるのは分かる。ARCとかも) • だけど、どんなセキュリティアプライアンスもバッチリか?と言うとそうでもない気がする。 • プレビュー機能がSentinelの中でも色々混在してるので、どれを本番化したら良いものか、ちょっぴり迷う • 結局の所、どこまで自由自在にLogAnalyticsを扱えるか、プレイブックを扱えるかなのかなと言う気もする。 • SIEMの一形態として触れる分には良いと思った • 結局はある程度の作り込みが必要である・・と言う点については、他社のSIEMもあんまり変わらない気がする • 結局の所、セキュリティ専門家も交えて作り込んだ結果、その仕組みが使いやすいものになるかどうかによってSIEM の性能というのは決まるのかなとも思う。 • Azure Sentinelだから大丈夫とか、ログ分析ツールをカスタマイズしたものだからたいしたことないとかそういうこ とはない、あくまでその分析するロジック、結果配置などに左右されると考えられる。 (最初のとっかかりの触りやすさは多少の差が製品によって出るかもしれないけど)