行動分析を理解する
組織内の脅威とその潜在的な影響 (侵害されたエンティティまたは悪意のある内部関係者) を特定することは、時間がかかり、労力を要するプロセスです。 アラートを調べてドットを接続し、積極的にハンティングを行うと、最小限のリターンで費やされる膨大な時間と労力が増えます。 そして、発見を回避する高度な脅威の可能性。 ゼロデイ、標的型、高度な永続的な脅威などの不可解な脅威は、組織にとって最も危険であり、検出がさらに重要になる可能性があります。
Microsoft Sentinelのエンティティ動作機能により、アナリストのワークロードからの混乱と、その取り組みの不確実性が排除されます。 エンティティの動作機能は、忠実性が高く実用的なインテリジェンスを提供するため、調査と修復に集中できます。
Microsoft Sentinelは、接続されているすべてのデータ ソースからログとアラートを収集すると、組織のエンティティ (ユーザー、ホスト、IP アドレス、アプリケーションなど) のベースライン動作プロファイルを分析して構築します。 分析は、時間とピア グループの範囲内で実施されます。 Microsoft Sentinelは、さまざまな手法と機械学習機能を使用し、異常なアクティビティを特定し、資産が侵害されているかどうかを判断するのに役立ちます。 それだけではなく、特定の資産の相対的な機密性を見つけたり、資産のピア グループを識別したり、特定の侵害された資産の潜在的な影響 (その "影響範囲") を評価したりすることもできます。 これらの情報を利用して、調査やインシデント処理に効果的に優先順位を付けることができます。
アーキテクチャの概要
セキュリティ主導の分析
Microsoft は Gartner のパラダイムを UEBA ソリューションに採用しました。Microsoft Sentinel は、3 つの参照フレームに基づいた「アウトサイドイン」アプローチを提供します。
Data Sources: まず第一にAzureデータ ソースをサポートしていますが、Microsoft Sentinelは、脅威のシナリオに一致するデータを提供するために、サードパーティのデータ ソースを慎重に選択します。
Analytics: Microsoft Sentinel は機械学習 (ML) アルゴリズムを使用し、コンテキスト エンリッチメントの形式で証拠を明確かつ簡潔に示す異常なアクティビティを識別します。 次の例を参照してください。
Microsoft Sentinelは、ユーザーのベースライン プロファイルと比較して、セキュリティ アナリストがコンテキスト内の異常なアクティビティを明確に理解するのに役立つ成果物を示します。 ユーザー (またはホスト、またはアドレス) によって実行されたアクションは、次のようにコンテキストから評価されます。ここで、"true" の結果は特定された異常を示します。
地理的な場所、デバイス、環境をまたがって。
時間と頻度の変化範囲で(ユーザー自身の履歴との比較)。
ピアの動作と比較して。
組織の動作と比較して。
スコアリング
各アクティビティは、"調査の優先順位スコア" でスコア付けされます。 スコアは、ユーザーとそのピアの行動学習に基づいて、特定のユーザーが特定のアクティビティを実行する確率を決定します。 最も異常であると識別されたアクティビティが最高のスコアを受け取ります (スケールは 0 から 10)。