Microsoft Defender as SIEM

2.6K Views

December 15, 24

スライド概要

2024.12.14 M365セキュリティ&ゼロトラスト勉強会 #20

祝20回 すとなり勉強会コラボSP / M365セキュリティ&ゼロトラスト勉強会 #20
https://www.youtube.com/watch?v=Kn5UAW1sHyQ

にて話した内容です。

profile-image
スライド一覧

秋田→東京。出版社の #情シス 勤務。#PowerBI 中心にQiitaに投稿。2024.1〜Microsoftセキュリティ関連の勉強会始めました。ラグビー好きです。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

ダウンロード(pdf - 1.58MB)

関連スライド

slide-thumbnail

【JPPC2022】レポートをつくる、その先の運用を考える🤔 Power BI Report Ops須藤明洋
user-img Akihiro Suto 9.4K
slide-thumbnail

BTCONJP_Entra IDへの認証基盤統合からCopilot for Securityの活用まで
認証基盤 パスワードレス sso entraid copilotforsecurity security
user-img Akihiro Suto 6K
slide-thumbnail

BI08_セマンティックモデルを覗き見る
user-img Akihiro Suto 2.5K
slide-thumbnail

猫でも分かるUnreal Engineの学び方 - 超初心者向け編 - 2023 v1.0
ue4 ue5 ue-beginner
user-img エピック ゲームズ ジャパン 1.3M
slide-thumbnail

Unreal Engine5 Lumenの仕組みと肝心なところ
ue5 ue-rendering ue-lumen
user-img エピック ゲームズ ジャパン 1.1M
slide-thumbnail

最新の6.0で学ぶ!初めてのひとのためのSpring Security
java spring security
user-img tada 1M
各ページのテキスト
1.

Microsoft Defender as SIEM Microsoft Sentinel がなくてもここまで出来る! 追加コストをかけずに Defender XDR のデータを活用しよう!

2.

本日の内容 SIEM としての Defender XDR 使えそうなテーブル(データ) 基本的なアイディア(アーキテクチャ) 活用例

3.

Microsoft Sentinel から見た Microsoft Defender XDR との統合

4.

Microsoft Defender XDR から見た Microsoft Sentinel との統合

5.

この範囲のデータだけでもすごくない?!

6.

Microsoft Defender XDR と Microsoft Sentinel の SIEM としての比較 Microsoft Defender XDR Microsoft Sentinel データ ソース M365 の世界 あらゆるデータ ソース 課金 ユーザー ライセンス 従量課金 データ保持 30 日間(固定) 数年間(任意) クエリ KQL KQL Microsoft Defender XDR のデータだけ扱うのであれば、 (ライセンスは支払っているので)追加コストをかけずに SIEM として活用できる!

7.

特に使えそうなテーブルはこの辺

8.

特に使えそうなテーブルはこの辺

9.

基本アーキテクチャ Defender XDR の情報を Microsoft Graph Security API で取得して何かする https://graph.microsoft.com/v1.0/security/runHuntingQuery Microsoft Graph Security API Azure Logic Apps Defender XDR 何かする

10.

基本アーキテクチャ 「何かする」の具体的なイメージ 1. データ持ち出し検知 Logic Apps 1 2. リスト アイテム作成 データ持ち出し検知 Defender 3. 未応答のアイテムを取得 Logic Apps 2 上司に確認依頼を送付 4. 通知 5. 確認 上司 SPO List 9. 調査 IT/セキュリティ (調査用リスト) Logic Apps 3 8. 業務外のデータ 持ち出しを通知 リスト間の同期処理 6. アイテムの変更を検知 SPO List (上長回答用リスト)

11.

基本アーキテクチャ Azure Logic Apps で Advanced hunting を実行するための権限を付与する https://qiita.com/narisho/items/cf60dd0c66e6d153ed44

12.

基本アーキテクチャ Azure Logic Apps で Advanced hunting を実行する

13.

活用例 ① USB 書出しを上司に確認する テーブル 説明 CloudAppEvents O365 や MDA に接続した SaaS のアクティビティ ログ。MDE で管理されたデバイスの USB 書出しログも含まれる。 IdentityInfo AD や Entra ID のユーザーに関する情報。上司(manager 属性)の情報も含まれる。

14.

活用例 ② 組織で初めてメールされた宛先ドメインのメールを確認する テーブル EmailEvents EmailAttachmentInfo 説明 Exchange Online のメール送受信ログ。日時、件名、送信者、受信者、送信者 IP、リスク有無などを含む。 メールの添付ファイルの情報。ファイル名、ファイルタイプ、サイズ、ハッシュなどの情報を含む。

15.

活用例 ③ リスクが大きい脆弱性をユーザーに自動通知する テーブル 説明 DeviceTvmSoftwareVulnerabilities OS、OS バージョン、ソフトウェア、ソフトウェア バージョン、CVE、脆弱性の緊急度などを含む。 DeviceTvmSoftwareVulnerabilitiesKB CVE のスコア、緊急度、脆弱性の説明、Exploit 公開有無などの情報を含む。

16.

まとめ • Microsoft 365 のセキュリティ機能を使っていれば、Defender XDR にログが溜まっている -> 既に SIEM を持っているようなもの • Graph Security API と Azure Logic Apps を組み合わせて、 ほぼノーコストでセキュリティ対応の自動化を実現できる • Defender XDR の Advanced hunting のテーブルを見ながら、 ぜひアイディアを考えてみてください

17.

ありがとうございます Sho Narita https://qiita.com/narisho https://x.com/narisho