2.7K Views
December 15, 24
スライド概要
2024.12.14 M365セキュリティ&ゼロトラスト勉強会 #20
祝20回 すとなり勉強会コラボSP / M365セキュリティ&ゼロトラスト勉強会 #20
https://www.youtube.com/watch?v=Kn5UAW1sHyQ
にて話した内容です。
秋田→東京。出版社の #情シス 勤務。#PowerBI 中心にQiitaに投稿。2024.1〜Microsoftセキュリティ関連の勉強会始めました。ラグビー好きです。
Microsoft Defender as SIEM Microsoft Sentinel がなくてもここまで出来る! 追加コストをかけずに Defender XDR のデータを活用しよう!
本日の内容 SIEM としての Defender XDR 使えそうなテーブル(データ) 基本的なアイディア(アーキテクチャ) 活用例
Microsoft Sentinel から見た Microsoft Defender XDR との統合
Microsoft Defender XDR から見た Microsoft Sentinel との統合
この範囲のデータだけでもすごくない?!
Microsoft Defender XDR と Microsoft Sentinel の SIEM としての比較 Microsoft Defender XDR Microsoft Sentinel データ ソース M365 の世界 あらゆるデータ ソース 課金 ユーザー ライセンス 従量課金 データ保持 30 日間(固定) 数年間(任意) クエリ KQL KQL Microsoft Defender XDR のデータだけ扱うのであれば、 (ライセンスは支払っているので)追加コストをかけずに SIEM として活用できる!
特に使えそうなテーブルはこの辺
特に使えそうなテーブルはこの辺
基本アーキテクチャ Defender XDR の情報を Microsoft Graph Security API で取得して何かする https://graph.microsoft.com/v1.0/security/runHuntingQuery Microsoft Graph Security API Azure Logic Apps Defender XDR 何かする
基本アーキテクチャ 「何かする」の具体的なイメージ 1. データ持ち出し検知 Logic Apps 1 2. リスト アイテム作成 データ持ち出し検知 Defender 3. 未応答のアイテムを取得 Logic Apps 2 上司に確認依頼を送付 4. 通知 5. 確認 上司 SPO List 9. 調査 IT/セキュリティ (調査用リスト) Logic Apps 3 8. 業務外のデータ 持ち出しを通知 リスト間の同期処理 6. アイテムの変更を検知 SPO List (上長回答用リスト)
基本アーキテクチャ Azure Logic Apps で Advanced hunting を実行するための権限を付与する https://qiita.com/narisho/items/cf60dd0c66e6d153ed44
基本アーキテクチャ Azure Logic Apps で Advanced hunting を実行する
活用例 ① USB 書出しを上司に確認する テーブル 説明 CloudAppEvents O365 や MDA に接続した SaaS のアクティビティ ログ。MDE で管理されたデバイスの USB 書出しログも含まれる。 IdentityInfo AD や Entra ID のユーザーに関する情報。上司(manager 属性)の情報も含まれる。
活用例 ② 組織で初めてメールされた宛先ドメインのメールを確認する テーブル EmailEvents EmailAttachmentInfo 説明 Exchange Online のメール送受信ログ。日時、件名、送信者、受信者、送信者 IP、リスク有無などを含む。 メールの添付ファイルの情報。ファイル名、ファイルタイプ、サイズ、ハッシュなどの情報を含む。
活用例 ③ リスクが大きい脆弱性をユーザーに自動通知する テーブル 説明 DeviceTvmSoftwareVulnerabilities OS、OS バージョン、ソフトウェア、ソフトウェア バージョン、CVE、脆弱性の緊急度などを含む。 DeviceTvmSoftwareVulnerabilitiesKB CVE のスコア、緊急度、脆弱性の説明、Exploit 公開有無などの情報を含む。
まとめ • Microsoft 365 のセキュリティ機能を使っていれば、Defender XDR にログが溜まっている -> 既に SIEM を持っているようなもの • Graph Security API と Azure Logic Apps を組み合わせて、 ほぼノーコストでセキュリティ対応の自動化を実現できる • Defender XDR の Advanced hunting のテーブルを見ながら、 ぜひアイディアを考えてみてください
ありがとうございます Sho Narita https://qiita.com/narisho https://x.com/narisho