#PR17

もうセキュリティはやりたくない!! 第2弾

～Microsoft Security Graph API を活用した

サイバー攻撃対策の自動化～

武藤健史

日本マイクロソフト株式会社

クラウド&ソリューション事業本部

モダンワークプレイス統括本部

セキュリティ技術営業部

テクノロジーソリューションプロフェッショナル

山本築

本情報の内容 (添付文書、リンク先などを含む) は、Microsoft Tech Summit 2018 開催日 (2018年11月5~7日) 時点のものであり、予告なく変更される場合があります

もうセキュリティはやりたくない

アラート多すぎる・・・毎年増えるセキュリティ製品

アラートの意味が分からない・・・

楽できるセキュリティをご紹介します！

1. Microsoft Security Graph API

3. セキュリティの自動化

2. Takeshi Security Center

1. Microsoft Security Graph API

3. セキュリティの自動化

2. Takeshi Security Center

悪質な添付ファイル

端末感染 攻撃者サーバーとの接続

漏洩したIDの不正利用

ユーザアカウントの乗っ取り

横方向移動 特権アカウントの乗っ取り

ドメイン乗っ取り

機密情報へのアクセス

データ摂取・改ざん永続化

+

Azure ATPOffice 365 ATP Windows Defender ATP

Azure Information ProtectionAzure AD Identity Protection 条件付きアクセス

Cloud App Security

メールサンドボックス エンドポイントセキュリティ IDのふるまい検知

Azure ADのふるまい検知 リソースアクセス制御 情報保護

シャドーIT検知

悪質な添付ファイル

端末感染 攻撃者サーバーとの接続

漏洩したIDの不正利用

ユーザアカウントの乗っ取り

横方向移動 特権アカウントの乗っ取り

ドメイン乗っ取り

機密情報へのアクセス

データ摂取・改ざん永続化

+

Azure ATPOffice 365 ATP Windows Defender ATP

Azure Information ProtectionAzure AD Identity Protection 条件付きアクセス

Cloud App Security

エンドポイントセキュリティ IDのふるまい検知

Azure ADのふるまい検知 リソースアクセス制御 情報保護

シャドーIT検知

Coming Soon Coming Soon

メールサンドボックス

Microsoft Security Graph API

AlertsSecurity Profiles

Host | User | File | App | IPActions Configurations

Insights and relationships

OAuth 2.0 and OpenID Connect 1.0

Azure Information

Protection

Azure AD Identity

ProtectionWindows

Defender ATP IntuneAzure Security

Center

Cloud Application

SecurityOffice 365 ATPEcosystem

Partners

Other Microsoft Graph ServicesOffice 365 | Intune | Active Directory | More…

Users Groups Mail Files Calendar

Azure ATP

Infra Identity Device/OS Cloud App Data

1. Microsoft Security Graph API

3. セキュリティの自動化

2. Takeshi Security Center

Takeshi Security Center (Public Preview)

Takeshi Security Center

Office 365

ATP

Azure AD

Identity

ProtectionIntune

Windows

Defender ATP

Microsoft Security Graph API

Azure ATP

Azure

Information

Protection

Cloud App

Security

…

脅威レベルが “HIGH” の全てのアラートを取得する

• GET https://graph.microsoft.com/v1.0/security/alerts?$filter=Severity eq 'High’

全てのユーザのプロフィールを取得

• GET https://graph.microsoft.com/v1.0/users

特定のユーザのカレンダーのイベント情報を取得する

• GET https://graph.microsoft.com/v1.0/users/{User

ID}/events?$select=subject,body,bodyPreview,organizer,attendees,start,end,location

OneDriveへのアクセスを制限

• POST graph.microsoft.com/v1.0/security/actions?$ref

{ “id”:”7f590b04-0cb3-478f-88ca-974a8bb5a46f”,

vendorInformation/provider”:”MCAS”,

“name”:”restrictAccess”,

“cloudService”:”OneDrive”

}

Microsoft Security Graph APIの活用例

全てのアラートを取得する

GET https://graph.microsoft.com/v1.0/security/alerts

{ "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Security/alerts",

"value": [ {

"azureSubscriptionId": null,

"riskScore": null,

"tags": [],

"id": "02064FE6-F5F0-43FF-BA16-79C21F6D8D43",

"azureTenantId": "00000001-0001-0001-0001-000000000001",

"activityGroupName": null,

"assignedTo": null,

"category": "impossibleLoginVelocity",

"closedDateTime": null,

"comments": [],

"confidence": 0,

"createdDateTime": "2018-09-20T10:05:05Z",

"description": "The user Aldo Muller (aldom@M365x594651.onmicrosoft.com)¥" performed an impossible travel activity. The user was active from 87.252.63.13 in United Kingdom and

95.177.104.2 in Finland within 55 minutes. Additional risks in this user session: 95.177.104.2 was used for the first time in 268 days by this user. 191d5be7-f855-4d22-b8d0-bdb8ba7ccd7a was accessed

for the first time in 268 days by this user.",

"detectionIds": [],

"eventDateTime": "2018-09-20T10:05:00Z",

"feedback": null,

"lastModifiedDateTime": "2018-09-20T10:05:05Z",

"recommendedActions": [],

"severity": "medium",

"sourceMaterials": [],

"status": "newAlert",

"title": "Impossible travel activity",

"vendorInformation": {

"provider": "Cloud Application Security",

"providerVersion": "3.0",

"subProvider": "",

"vendor": "Microsoft"

},

"cloudAppStates": [],

"fileStates": [],

"hostStates": [],

"malwareStates": [],

"networkConnections": [],

"processes": [],

"registryKeyStates": [],

"triggers": [],

"userStates": [ {

"aadUserId": null,

アラート ID

アラートタイトル

アラートを生成したセキュリティソリューション

脅威レベル

1. Microsoft Security Graph API

3. セキュリティの自動化

2. Takeshi Security Center

Security Orchestration Automation＆Response

SOAR

セキュリティ製品間の連携 手動 →自動調査＆対処

Microsoft Security Graph API を活用して作成をした、Takeshi Security Centerを例としながらセキュリティの自動化をお見せします！

攻撃します！！

攻撃シナリオ

攻撃者

マクロ付きWORD ドキュメント

ユーザ

キーロガー

攻撃者サーバー

ID / PASS

DEMO

サイバー攻撃

Security Orchestration Automation＆Response

SOAR

セキュリティ製品間の連携 手動 →自動調査＆対処

Security Orchestration Automation＆Response

SOAR

セキュリティ製品間の連携 手動 →自動調査＆対処

攻撃シナリオ

攻撃者

マクロ付きWORD ドキュメント

ユーザ

キーロガー

攻撃者サーバー

ID / PASS

Windows Defender ATP

Cloud App Security

Azure AD Identity Protection

Takeshi Security Center～Orchestration編～

DEMO

まとめ～Orchestration編～

セキュリティ製品間の連携するメリット

インシデント検知の

相関

リアルタイムでの

把握

Security Orchestration Automation＆Response

SOAR

セキュリティ製品間の連携 手動 →自動調査＆対処

従来の手動でのインシデント対応

インシデント発生 原因調査 ネットワーク分離 オンサイト対応 端末回収 新しい端末支給

インシデント対応に時間がかかる

パスワード変更

Microsoft 365を活用した Automation＆Response

Windows

Defender ATP

Azure AD

Identity Protection

Office 365 ATP Intune

Cloud App Security

Azure Information

Protection

端末のネットワーク分離

アンチウイルススキャンの実施

調査パッケージの収集

アプリ実行制御

プロセス停止

ファイル検疫

ファイルブラックリスト化

アカウントロックアウト

パスワードリセット

アクセス制御

アクセス拒否

二要素認証追加

パスワード変更の強制

AI / 機械学習を活用した自動調査・対処

企業のリスク重要レベルに合わせた自動対処

AI / 機械学習を活用した自動調査・対処

企業のリスク重要レベルに合わせた自動対処

Takeshi Security Center～ Automation＆Response編～

DEMO①

攻撃シナリオ

攻撃者

マクロ付きWORD ドキュメント

ユーザ

キーロガー

攻撃者サーバー

ID / PASS

Windows Defender ATP

Cloud App Security

Azure AD Identity Protection

AI / 機械学習を活用した自動調査・対処

企業のリスク重要レベルに合わせた自動対処

悪質な添付ファイル

端末感染 攻撃者サーバーとの接続

漏洩したIDの不正利用

ユーザアカウントの乗っ取り

横方向移動 特権アカウントの乗っ取り

ドメイン乗っ取り

機密情報へのアクセス

データ摂取・改ざん永続化

+

DEMO

Microsoft 365 Security Center

まとめ～Automation＆Response編～

リソースの削減アラート対処の

優先順位決め

手動→自動調査＆対処のメリット

自動化とは

Security Orchestration

SOAR

セキュリティ製品間の連携

Mean Time To Identify

(MTTI)

Mean Time To Remediation(MTTR)

自動化

Automation＆Response

手動 →自動調査＆対処

次世代SoCへの移行方法

Azure Information

Protection

Azure AD Identity

ProtectionWindows

Defender ATP IntuneAzure Security

Center

Cloud Application

SecurityOffice 365 ATPEcosystem

PartnersAzure ATP

Infra Identity Device/OS Cloud App Data

Step 1: 脅威をより可視化

ローカルオペレータ

セキュリティアナリスト

ログ

アラート

Network

IDS / IPS /

Firewall

Other Microsoft Graph ServicesOffice 365 | Intune | Active Directory | More…

Microsoft Graph Security API

Step 3: 企業の重要リスクレベルにあわせた自動対処の実装

Step 4: ネットワークログをクラウドに移行

次世代 Security Operation Center

Step 2: M365 Security Centerの自動調査・対処をフル活用

© 2018 Microsoft Corporation. All rights reserved.

本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。