行動分析を理解する

組織内の脅威とその潜在的な影響 (侵害されたエンティティか悪意のある内部関係者か) を特定することは、常に時間がかかり、労力を要するプロセスでした。 アラートを調べてドットを接続し、積極的にハンティングを行うと、最小限のリターンで費やされる膨大な時間と労力が増えます。 そして、発見を回避する高度な脅威の可能性。 ゼロデイ、標的型、高度な永続的な脅威などの不可解な脅威は、組織にとって最も危険であり、検出がさらに重要になる可能性があります。

Microsoft Sentinel のエンティティ動作機能を使用すると、アナリストのワークロードの問題や、その取り組みによる不確実性が排除されます。 エンティティの動作機能は、忠実性が高く実用的なインテリジェンスを提供するため、調査と修復に集中できます。

Microsoft Sentinel は、接続されているすべてのデータ ソースからログとアラートを収集すると、組織のエンティティ (ユーザー、ホスト、IP アドレス、アプリケーションなど) のベースライン動作プロファイルを分析して構築します。 分析は、時間とピア グループの範囲内で実施されます。 Microsoft Sentinel では、さまざまな手法と機械学習機能を使用し、異常なアクティビティを特定し、資産が侵害されたかどうかを判断するのに役立ちます。 それだけではなく、特定の資産の相対的な機密性を見つけたり、資産のピア グループを識別したり、特定の侵害された資産の潜在的な影響 (その "影響範囲") を評価したりすることもできます。 これらの情報を利用して、調査やインシデント処理に効果的に優先順位を付けることができます。

アーキテクチャの概要

セキュリティ主導の分析

Microsoft は UEBA ソリューションに Gartner のパラダイムを採用しました。Microsoft Sentinel では、次の 3 つの参照フレームに基づく "外部" アプローチが提供されています。

ユース ケース: Microsoft Sentinel は、戦術、手法、サブ技術の MITRE ATT&CK フレームワークに沿ったセキュリティ調査に基づいて、関連する攻撃ベクトルとシナリオに優先順位を付けます。 優先順位付けでは、さまざまなエンティティがキル チェーン内の被害者、加害者、またはピボット ポイントとして識別されます。 Microsoft Sentinel では、各データ ソースが提供できる最も価値の高いログに特に焦点を当てています。

データ ソース: Microsoft Sentinel は、何よりもまず Azure データ ソースをサポートしていますが、脅威のシナリオに適したデータを提供するために、サードパーティのデータ ソースを慎重に選択します。

解析学： Microsoft Sentinel は機械学習 (ML) アルゴリズムを使用し、コンテキスト エンリッチメントの形式で証拠を明確かつ簡潔に示す異常なアクティビティを識別します。 次の例を参照してください。

Microsoft Sentinel は、セキュリティ アナリストがコンテキストにおいて、また、ユーザーのベースライン プロファイルと比較して、異常なアクティビティを明確に理解するのに役立つ成果物を提示します。 ユーザー (またはホスト、またはアドレス) によって実行されたアクションは、次のようにコンテキストから評価されます。ここで、"true" の結果は特定された異常を示します。

• 地理的な場所、デバイス、環境をまたがって。

• 時間と頻度の変化範囲で（ユーザー自身の履歴との比較）。

• ピアの動作と比較して。

• 組織の動作と比較して。

スコアリング

各アクティビティは、"調査の優先順位スコア" でスコア付けされます。 スコアは、ユーザーとそのピアの行動学習に基づいて、特定のユーザーが特定のアクティビティを実行する確率を決定します。 最も異常であると識別されたアクティビティが最高のスコアを受け取ります (スケールは 0 から 10)。