Microsoft Sentinelの分析をサポート ～後編～
収集、分類したデバイス情報を分析し、
継続的なインシデント対応を自動化

前回ではForescoutが継続的に収集、分類したエンドポイントデバイス情報をMicrosoft Sentinelに受け渡し、Microsoft Sentinelが他の機器から同様に収集したデータを統合して集計することでその企業のシステムのセキュリティインシデントに関する傾向を視覚化出来るようになりました。

これにより、Microsoft Sentinelが視覚化した情報を基に分析を行い、異常なアクティビティなどのセキュリティインシデントの兆候を事前に察知することが出来る状態になりました。

今回はMicrosoft Sentinelが統合したデータを分析し、Forescoutとの連携によってインシデントの兆候の発見からそのインシデントに自動的に対処して行く様子を見て行くことにします。

ただし、先にお伝えしておきますが、一般的にSIEMソリューションはMicrosoft Sentinelに限らず、その性質上、導入後しばらくはどうしても誤検知が発生してしまうことがあります。 このような場合、通常はセキュリティ担当者が誤検知を確認し、疑いがかかったエンドポイントを開放する作業を手動で実施しなければなりません。 また、将来的な誤検知の数を減らすため、実績を記録して除外ルールを策定する作業も必要となるため、セキュリティ担当者の負担が増えてしまいます。

このような課題も今回の連携で解決出来る仕組みになっていますので合わせて見て行きたいと思います。

～ブログの続きは問い合わせの先にございますので、ぜひご覧ください！～

MicrosoftやForescout
セキュリティについてを気軽にご相談ください！

機能や使い方、セキュリティに関するご質問があれば、
こちらからお気軽にお問い合わせください！

STEP 1. Sentinelが収集した情報を分析

STEP 2．SentinelがForescoutに疑いのあるエンドポイントの隔離を指示

STEP 3. Forescoutが疑いのあるエンドポイントを隔離

STEP 4. Forescoutが隔離したエンドポイントの状態をSentinelに送信

STEP 5．Sentinelが隔離されたエンドポイントを分析、評価

STEP 6. SentinelがForescoutにアクションリクエストを送信

STEP 7-1. 疑いが晴れたエンドポイントに対してForescoutが隔離を解除

STEP 7-2. 問題のあるエンドポイントに対しては引き続き隔離

STEP 8. Forescoutが結果をSentinelに送信

STEP 9. Sentinelがアクションを記録

• 1.先回りしたインシデント対応
  システムのセキュリティインシデントの傾向を視覚化することにより、インシデント　発生の兆候を前もって知ることができ、発生を未然に防ぐことが可能になります。
   
• 2.セキュリティ担当者の負担を軽減
  疑いのあるエンドポイントの隔離から実績の記録までをすべてMicrosoft SentinelとForescoutが連携して自動で実施するため、セキュリティ担当者の運用上の負担を最小限に抑えることが可能です。
   
• 3.高精度な保護
  Miscosoft SentinelがForescoutから収集した豊富なデバイス情報をはじめ、様々な機器から収集した情報を統合して分析することで精度の高い検知が可能になり、Forescoutの制御機能との連携により、高い精度での保護が期待出来ます。また、それでも発生してしまう誤検知に関しては、段階調査や実績を記録してシステムの特性を学習することでカバーします。

以上、前半と後半の2回にわたって、Microsoft SentinelとForescoutが連携することにより、企業システムのセキュリティインシデントの傾向を視覚化し、さらには分析することにより、 疑いのあるエンドポイントの隔離から実績の記録までインシデントに対して高い精度で継続的かつ自動的に対処していく様子を見て来ました。

攻撃手法が多種、多様化する今日ですが、今後もその傾向は続くと見られており、今回ご紹介したような前もって分析して対処出来る機能を持ったソリューションが当然のように必要になって来ているかもしれません。

Forescoutは他にもいろいろなサードパーティ製品と連携することが出来るため、引き続き、皆様に発信していけたらと考えております。