「Microsoft Sentinel」とはマイクロソフトが提供する、インテリジェントなクラウドネイティブなSIEMソリューション
複数のサービスや製品のログを「Microsoft Sentinel」で統合管理することによりログから相関関係を分析し、高度なセキュリティ分析と脅威インテリジェンスを企業全体で実現し、アラートの検出、脅威の可視性、予防的な捜索、および脅威への対応といったソリューションを提供
出典:SI事例サイト
脅威インテリジェンスとは?
脅威インテリジェンスとは、攻撃者のIP・ドメイン・マルウェア情報(IOC)を収集し、既知の脅威を検出・防御するための情報です。Microsoft Sentinelは、脅威インテリジェンスを取り込み、自社のログと照合して既知の攻撃者や悪性IPとの関連を検出するSIEMです。外部やDefenderから得たIOCを自動的に分析・アラート化し、より高度な脅威検知と迅速な対応を実現します。
✅ 通常のログ検知(Analyticsルール)
- 自分の環境で発生しているログだけを見て、怪しいパターンを探す。
- 例)「同じアカウントが5分以内に10回ログイン失敗した」
→ これはログの動作パターンによる検知。
SigninLogs
| where ResultType != "0"
| summarize count() by UserPrincipalName, bin(TimeGenerated, 5m)
| where count_ >= 10
コメント