Azure Sentinel オンボードから分析ルール設定

2020-10-25Azure,Sentinel

Azure SentinelはAzure上で提供されるセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションになります。

• • • Azure Sentinel概要(公式サイト)

ざっくり言うと、マイクロソフト社が持つナレッジを元にセキュリティイベントを検出し、検出時のアクションまで一元的に行えるサービスになります。

例えば分析の機能では、マイクロソフト社が提供するクエリを使って、Azure Monitor(Log Analytics)を通じて収集したログを解析し脅威を検出、併せてプレイブック(Logic App)を利用して処理を行う事が一元的に設定できます。

今回は、Azure Sentinelワークスペース作成、コネクタの接続、デフォルトで定義されたテンプレートを使った分析ルール作成までの一番基本部分を試してみました。

• • • Azure Sentinelで設定する項目(分析ルール作成)
      • Azure Sentinel用のAzure Monitor(Log Analyticsワークスペース)作成
      • Azure Sentinelのワークスペース作成
      • Azure Sentinelのコネクタ接続
      • 分析ルールを作成

Azure Sentinelの各種機能やプレイブックについては順次試していきたいと思います。

※Azure Sentinelの課金についてはAzure Monitor(Log Analyticsワークスペース)に対してとAzure Sentinelに対しての課金両方発生します。

Azure Sentinelの流れ

最初に簡単にAzure Sentinelですが大まかには以下の流れを整理するとこんな感じになります。

• • データ収集
    • メニューとしてはデータコネクタ 
    • AADやアクティビティログと言ったAzureだけではなく、イベントログと言ったOSのログからPalo等のNW機器と言った様々なデータソースからLog Analyticsにデータ収集する
  • 検知
    • メニューとしては分析
    • 収集データに対してクエリ(デフォルトで準備されているのもあります。)を実行し合致するイベントがあった時にアラートを作成する
  • 調査
    • メニューとしてはインシデント
    • 影響範囲を特定する
  • 対処
    • メニューとしてはオートメーション(プレイブック)
    • Logic Appで構成され検知したアラートに対しての処理を行う

Azure Poratlを使ってAzure Sentinelワークスペースを作成する

Azure Sentinel ワークスペース作成では、Azure Monitor(Log Analyticsワークスペース)と関連付けを行います。

１)Azure PoratalでAzure Sentinelのメニューを選択します。概要画面で追加を選択します。

２)サブスクリプション内のAzure Monitor(Log Analyticsワークスペース)が表示されますので、Azure Sentinelで使用するAzure Monitor(Log Analyticsワークスペース)を指定します。

なお、アクテビティログ等の場合は、診断設定等で利用しているAzure Monitor(Log Analyticsワークスペース)を指定する事が必要です。

これで設定は完了です。Azure Sentinel ワークスペースの作成が完了するとニュースとガイドのページが表示されます。

これでAzure Sentinelのワークスペース作成は完了です。

Azure Sentinelでのコネクタ設定

Azure Sentinelでコネクタ設定を行います。今回は接続先はAzure アクティビティを選択しています。

なお、コネクタ設定は基本的にAzure Poratal上のポチポチで終わりますが、接続先により設定項目が異なります。また、Azure Active DirectoryのようにP1等別途ライセンスが要求されるものもありますので、実際の設定画面で確認してみた方が良いかと思います。

１)Azure Sentinelの画面でデータコネクタを選択します。

コネクタリストが表示されますので、Azure アクティビティを選択します。

Azure アクティビティのコネクタが表示されますので、コネクタページを開くをクリックします。

２)Azureアクティビティのコネクタページが表示されます。構成にあるAzureアクテビティログの構成をクリックします。

３)Azureのアクテビティログのページが表示されますので、設定対象のサブスクリプションを選択します。

４)サブスクリプションが表示されますので、接続をクリックします。

これでコネクタ設定は完了です。Azure Monitor(Log Analyticsワークスペース)なので、10分程度待つとログ収集が開始されます。

Azure Sentinelで組み込みの分析ルールで設定

今回は、確認しやすいようにSuspicious Resource deploymentで試してみました。(リソースをデプロイすれば検出可能なので、こちらでまず試してみました。)

１)Azure Sentinelのメニューで分析を選択します。

　規則のテンプレートを選択します。テンプレートが表示されまうので、データソースでAzureアクテビティを選択し規則のテンプレートを絞ります。

　Suspicious Resource deploymentを選択します。

２)Suspicious Resource deploymentのルールが表示されますので、ルールの作成をクリックします。

３)分析ルールウィザードが開始します。ルールのロジックを設定をクリックします。(全般のタブの内容は変更せず進めます。)

４)ルールロジックの設定します。

• • • 設定内容
      • エンティティのマップ：Azure Sentinel で認識して処理できるようにする
      • クエリのスケジュール設定：ルールのクエリを実行する頻度(今回はSucheduledのルールなので)
      • アラートのしきい値：ルールのクエリで得られた数値がいくつ以上ならアラートにするか
      • イベントのグループ化：アラートのしきい値を超えた場合に1個づつアラートにするか、サマリ(規定はこっち)するかの選択
      • 抑制：アラート発生後一定期間このクエリが実行されないようにする

なおルールロジックの設定についての詳細はマイクロソフト社公式のサイトに記載がございますのでこちらを参照願います。

エンティティのマップを設定し追加すると自動的にルールのクエリが更新されます。今回はリソース関連なのでResourceを選択し追加してみました。

５)インシデントの設定(プレビュー)を行います。今回はそのまま次へ進みます。

※この項目ではアラートルールのグループ化の詳細設定が出来ます。

６)プレイブックの設定が出来ます。今回はプレイブックの設定を行わないのでそのまま次へ進みます。

レビューで確認画面が表示されますので、内容に問題が無ければそのまま作成します。

設定が完了すると、分析画面にルールが表示されます。

また実際にリソースの作成等を行うと、インシデント画面でインシデントが発生している事が確認出来ます。

今回は一番の基本的な部分の設定を行いましたが、Azure Sentinelではもっと色々な事が出来ます。今後も色々試して行きたい所です。

Sentinelでアラート発生時にメール送信や自動アラートクローズはこちら。