新年あけましておめでとうございます。最近はセキュリティ周りのキャッチアップに迫られてえっちらほっちらと Defender 関連やら Microsoft Sentinel をキャッチアップしとります。どちらも脅威の検出、調査・対策の検討等々で大活躍する強力なツールなのは間違いないのですが、学習・検証用に Incident 等を作成するのは意外と面倒だったりします。
そんな悩みに対して応えるため、実はサンプルの Incident を発生させる機能が提供されています。以下の記事は Microsoft Defender for Cloud の記事ですが、Microsoft Sentinel の Incident 作成としても利用可能です。
learn.microsoft.com
上記の記事で記載されている内容を端的に表現すると「 echo みたいな無害なコマンドを他とかぶらない名前( asc_alerttest_662jfi039n )に変えて実行すれば Incident 作るぜ」というものです。Linux と Windows でややファイル操作が異なるものの、大枠の操作は一緒です。今回はこちらの利用感を軽くまとめてみたいと思います。
事前準備
当たり前の話ですが、以下は必須です。
- 仮想マシン、Log Analytics ワークスペースの作成、Microsoft Sentinel の有効化(※今回は CentOS の利用を想定
- 仮想マシンを当該 Log Analytics ワークスペースにつなぐ
Microsoft Sentinel 向けの Incident を作成してみる
これに関しては記事に記載がある通りですが、さっそく用意した CentOS の仮想マシンに SSH でつないで以下のコマンドを実施してみましょう。echo を記事で指定した通りのファイル名で実行していますが、オプション無を 1 回、オプション有を 6 回実行しています。
[xxxxxxxxx@centosvm01 ~]$ cp /bin/echo ./asc_alerttest_662jfi039n [xxxxxxxxx@centosvm01 ~]$ ./asc_alerttest_662jfi039n [xxxxxxxxx@centosvm01 ~]$ ./asc_alerttest_662jfi039n testing eicar pipe testing eicar pipe [xxxxxxxxx@centosvm01 ~]$ for i in `seq 1 5`;do ./asc_alerttest_662jfi039n testing eicar pipe; done testing eicar pipe testing eicar pipe testing eicar pipe testing eicar pipe testing eicar pipe [xxxxxxxxx@centosvm01 ~]$
コマンド実行後、通知設定をしていれば 5 分もしないうちに以下のメールが届きます(これ自体は Defender 側の機能ですが、Microsoft Sentinel 側で Incident が作成されたタイミングを認識するのにちょうどいいので)。
次に Microsoft Sentinel を開きます。何個の Incident があるかを確認してみましょう。開いてみると新規の Incident が 7 個作成されています。「実はオプション要らないのでは?」という疑問が頭をよぎることはさておき、severity が high の incident がコマンド実行回数分だけ作成されていることが分かります( closed になっている incident は私の環境で別途発生したものです)。
更に以下のコマンドを実行したところ新規に Incident が作成されたので、どうやら引数と関係なく Incident は作成されるようです。
Last login: Tue Jan 10 14:16:43 2023 from vm000001.internal.cloudapp.net [xxxxxxxxxx@centosvm01 ~]$ ./asc_alerttest_662jfi039n "Do I need to put something here?"
Microsoft Sentinel で Incident を深堀してみる
以下の様に Incident メニューから個別に一つ選んで View Full Details を押して詳細を見てみましょう。
ボタン押下後は以下の画面に遷移します。Incident の状態を New から Active/Closed にしたり、Incident の担当を割り当てたりは当然可能ですが、せっかくなので以下の Investigation のボタンを押してみましょう。
以下でご覧の通り、Incident に関連するエンティティ一覧が表示されます。タイトルには「テストアラートだから脅威じゃないよ」と英語で記載されています。
実際の脅威で有れば、ここから SOC チームのメンバーが「ユーザは誰か?」「どんな引数で実行したのか?」「いつ実行したのか?」等を確認しつつ、どの様な脅威なのかを分析し、運用チーム等とどの様な対応をするかを検討していきます。今回の Incident は実際の脅威ではないので、特に対応不要として Incident を Closed に変更して対応を終了します。
今回の機能は意外と知られていないので、Microsoft Defender for Cloud はもちろん Microsoft Sentinel を学習する際にも有用な機能だと思います。