Microsoft Sentinel 向けの Incident を作成してみる

これに関しては記事に記載がある通りですが、さっそく用意した CentOS の仮想マシンに SSH でつないで以下のコマンドを実施してみましょう。echo を記事で指定した通りのファイル名で実行していますが、オプション無を 1 回、オプション有を 6 回実行しています。

[xxxxxxxxx@centosvm01 ~]$ cp /bin/echo ./asc_alerttest_662jfi039n
[xxxxxxxxx@centosvm01 ~]$ ./asc_alerttest_662jfi039n 

[xxxxxxxxx@centosvm01 ~]$ ./asc_alerttest_662jfi039n testing eicar pipe
testing eicar pipe
[xxxxxxxxx@centosvm01 ~]$ for i in `seq 1 5`;do  ./asc_alerttest_662jfi039n testing eicar pipe; done
testing eicar pipe
testing eicar pipe
testing eicar pipe
testing eicar pipe
testing eicar pipe
[xxxxxxxxx@centosvm01 ~]$ 

コマンド実行後、通知設定をしていれば 5 分もしないうちに以下のメールが届きます（これ自体は Defender 側の機能ですが、Microsoft Sentinel 側で Incident が作成されたタイミングを認識するのにちょうどいいので）。

次に Microsoft Sentinel を開きます。何個の Incident があるかを確認してみましょう。開いてみると新規の Incident が 7 個作成されています。「実はオプション要らないのでは？」という疑問が頭をよぎることはさておき、severity が high の incident がコマンド実行回数分だけ作成されていることが分かります（ closed になっている incident は私の環境で別途発生したものです）。

更に以下のコマンドを実行したところ新規に Incident が作成されたので、どうやら引数と関係なく Incident は作成されるようです。

Last login: Tue Jan 10 14:16:43 2023 from vm000001.internal.cloudapp.net
[xxxxxxxxxx@centosvm01 ~]$ ./asc_alerttest_662jfi039n "Do I need to put something here?"

Microsoft Sentinel で Incident を深堀してみる

以下の様に Incident メニューから個別に一つ選んで View Full Details を押して詳細を見てみましょう。

ボタン押下後は以下の画面に遷移します。Incident の状態を New から Active/Closed にしたり、Incident の担当を割り当てたりは当然可能ですが、せっかくなので以下の Investigation のボタンを押してみましょう。

以下でご覧の通り、Incident に関連するエンティティ一覧が表示されます。タイトルには「テストアラートだから脅威じゃないよ」と英語で記載されています。

実際の脅威で有れば、ここから SOC チームのメンバーが「ユーザは誰か？」「どんな引数で実行したのか？」「いつ実行したのか？」等を確認しつつ、どの様な脅威なのかを分析し、運用チーム等とどの様な対応をするかを検討していきます。今回の Incident は実際の脅威ではないので、特に対応不要として Incident を Closed に変更して対応を終了します。

今回の機能は意外と知られていないので、Microsoft Defender for Cloud はもちろん Microsoft Sentinel を学習する際にも有用な機能だと思います。