Microsoft Azure のユースケース

更新

Microsoft Azure ロゴ | 進化の歴史と意味、PNG

はじめに

このドキュメントではRecorded Future Microsoft Azure のThreat Intelligenceディードおよびエンリッチメント モジュールとして統合することでサポートされる、すぐに使用できるユースケースについて説明します。 この統合により、Microsoft Azure ユーザーは Recorded Future を組み込んで次のことが可能になります。

  • Threat防止- Microsoft Defender ATP の信頼性の高いインテリジェンスを使用して、組織に影響を及ぼす前に脅威をブロックします。
  • 脅威検知- Azure Sentinel でこれまで検出されなかった脅威をプロアクティブに特定し、リスクを軽減します。
  • アラート トリアージ- 自信を持って優先順位を付け、Azure Sentinel アラートをより効率的に解決します。

以下のユースケースはすぐに使用できますが、Azure との統合により、お客様のニーズを満たす柔軟性が提供されます。統合のインストールおよび構成方法の詳細については、ここにあるインストール ガイドを参照してください。

ユースケース

Threat防止

Recorded Future Threat Intelligence Microsoft Defender Advanced Threat Protector にフィードすることで、攻撃が発生する前に阻止します。 予防統合では、以下に示すセキュリティ コントロール フィードのみを活用してください。

mceclip0.png

コマンドとコントロール

前述のように、コマンド アンド コントロール活動は、攻撃の最終段階で実行される最も有害な活動です。このアクティビティにインジケーターが関連付けられている場合、それらはデータの流出、分散型サービス拒否、再起動、またはシャットダウンに使用される可能性があります。予防のため、過去 7 日以内にRecorded Futureネットワーク トラフィック分析によって感染したマシンまたは脅威アクター / 敵対者制御下にあるマシンと C2 通信を行っていることが確認された IP を、次のリスク リストを使用してブロックすることをお勧めします。

  • セキュリティ制御フィード: コマンドと制御 IP

武器化されたドメインとURL

Recorded Future ドメイン分析は、ドメイン登録、IP アドレスの解決、証明書のプロビジョニング、メール サーバーの構成、URL の伝播まで、ドメインの兵器化ライフサイクル全体を観察して、悪意のあるアクティビティのリスクを評価します。インターネットには、無料、匿名、監視されていないサービスにより、仮想アクター / 敵対者が規模の経済を享受できるポケットが存在します。 武器化されたドメインとURLのデータセットは、サービスプロバイダーで実際に活動しているドメインとURLを識別し、それらをBad Actor脅威モデルに接続して、URLが実際に使用される前に悪意のあるリスクがあるドメインのセットと、悪意があると検証されたドメインとURLのセットを提示します。

  • セキュリティ制御フィード: 兵器化されたドメイン
  • セキュリティ制御フィード: 武器化された URL

異議

Recorded Future Threat Intelligence を Microsoft Azure Sentinel にフィードして、環境内の脅威を検出します。以下では、さまざまな目標を達成するために Azure Sentinel 内で有効にするさまざまなリスク リストについて説明します。

画像.png

コマンドとコントロール

コマンド アンド コントロール活動は、攻撃の最終段階で実行される最も有害な活動です。このアクティビティにインジケーターが関連付けられている場合、それらはデータの流出、分散型サービス拒否、再起動、またはシャットダウンに使用される可能性があります。IP、ドメイン、URL を含むログ情報ソースがある場合は、以下をすべて有効にすることをお勧めします。

  • IP - 現在のC&Cサーバー
  • IP - アクティブに通信しているC&Cサーバー
  • ドメイン - C&C DNS名
  • URL - C&C URL

COVID-19(新型コロナウイルス感染症

現在の世界的なパンデミックに世間の注目が集まっていることから、COVID-19 はフィッシングの餌として利用されています。当社のセキュリティ インテリジェンス プラットフォームは、COVID-19 に乗じてフィッシング詐欺として利用されているドメインを自動的に識別します。当社はこれらのドメインを許可リストと照合し、悪意の技術的証拠がないかドメインを評価し、ルアーであると判断された少数のドメインについて明確に説明します。関連性を確保するため、これらのドメインは過去 30 日以内に確認されています。これらの URL の検出は、COVID-19 に関連する潜在的なフィッシング活動を示しています。

  • ドメイン - 最近のCOVID-19関連ドメインのルアー:悪意のある

フィッシング

フィッシングは、攻撃者が侵入する最も一般的な手段です。このリストには、既知のフィッシング サイトをホストしていることが確認された IP が含まれています。以下のリスク リストで提供されている IP に対して警告を発することにより、フィッシング活動の積極的な検知が可能になります。

  • IP - フィッシングホスト
  • ドメイン - 最近のフィッシング詐欺: 悪意のある

回避型マルウェア

脅威アクターは、作成または入手したマルウェアがウイルス対策ソフトウェアに検出されないようにするために、「配布禁止」スキャナーに頼ることがよくあります。 マルウェアを販売する「予想アクター」は通常、検知率の証拠として広告にスキャン結果へのリンクを含めます。 Recorded Future のハーベスターを使用すると、これらの非配布スキャナー リンクから利用可能なハッシュのインデックス作成とアラート作成が可能になります。リスク リストで提供されるハッシュは、通常、従来のウイルス対策ソフトウェアによる検知を回避します。 検知 を有効にすると、これまでは環境内で検出できなかったマルウェアを検出できるようになります。

  • ハッシュ - 地下ウイルス実験場で観察

スコアベースの犯罪行為

このアプローチはユースケースにはあまり適していませんが、 Threat Intelligenceを初めて使用する人にとっては素晴らしい出発点となります。 柔軟性を実現するために、スコアに基づく 2 つの異なるアプローチをサポートしています。

IP、ドメイン、URL のデフォルトのリスク リストには、リスク スコアが 65 を超える、悪意のある、または非常に悪意があると識別されたものが含まれます。これらのリスク リストを有効にすると、より多様な脅威をより広範囲にカバーできますが、誤検知率が高くなる可能性があります。時間の経過とともにアラートに対応すると、リスク リストに基づいて、環境内で誤検知である可能性が高いインジケーターの種類があることに気付く場合があります。長期的にはユースケースに基づいたアプローチに進化させる方が有利になる可能性があるため、環境内で検証されたインシデントに関連付けられたリスク ルールを追跡することをお勧めします。

  • IP - デフォルトのリスクリスト
  • ドメイン - デフォルトのリスクリスト
  • URL - デフォルトのリスクリスト

90 を超えるリスク リストには、リスク スコアが 90 を超え、非常に悪質であると識別されたすべての IP が含まれます。指標は主にコマンド アンド コントロール アクティビティに関連していることが確認されているため、組織にとって非常に高いリスクであると考えられます。このリスク リストにはThreat Intelligenceにおける最悪のリスクが網羅されています。 自然な流れとしては、時間の経過とともにより多くのリスク リストを追加して Sentinel の統合を進め、より低いリスク スコアしきい値で特定の用途を達成することです。

  • IP - 90以上(非常に悪質)リスクリスト
  • ドメイン - 90以上(非常に悪質)リスクリスト
  • URL - 90以上(非常に悪質)リスクリスト

アラートトリアージ

Azure Sentinel ではさまざまな方法でアラートを生成できますが、その多くはThreat Intelligenceとは無関係です。 アラートのトリアージ プロセスにThreat Intelligenceを導入すると、セキュリティ オペレーション センターのアナリストが次のステップについてより正確な意思決定をより迅速に行うことができます。 たとえば、1 分以内に SSH ログイン試行が何度も失敗すると、外部 IP からのブルート フォース攻撃のアラートが発生します。Recorded Future オンデマンド エンリッチメントが証拠としてリスク ルール「過去の SSH/辞書攻撃者」を返す場合、セキュリティ運用アナリストは、問題の IP が過去にブルート フォース アクティビティに関連付けられていたことを確認できます。これにより、アラートが真陽性であるかどうかを検証する時間が短縮されます。さらに、この情報を 1 つの画面に表示することで、プラットフォーム間を行き来する必要性が軽減されます。IP、ハッシュ、ドメイン、URL、 Vulnerability (CVE ID) のエンリッチメントでは、次のフィールドがサポートされます。

  • Intelligence Cardリンク
  • 指標の重要度レベル
  • 指標リスクスコア
  • 指標証拠の詳細
  • 指標リスクルール
  • 指標リスクルールの概要

画像__2_.png

 

シグマルールの展開

MS Sentinel 統合用の Recorded Future には、Recorded Future の Insikt チームによって作成されたシグマ ルールを取得して KQL に変換するノートブックが含まれています。変換後、これらのルールを使用して Log Analytics ワークスペースに対話的にクエリを実行するか、Sentinel Analytic ルールを作成して防御に基づいてアラート/インシデントを生成するかを選択できます。 設定方法の詳細については、ここをクリックしてください

 

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

このセクションの記事

もっと見る