ある大企業の SOC が、サプライチェーン攻撃のリスク評価のために、外部の脅威フィードから取得した悪意のある IOC(IP・ドメイン・ハッシュ)を Microsoft Sentinel に取り込み、既存のログと自動照合して一致したイベントにアラートを発生させたいと考えています。この要件を実現するための最適な方法はどれか。
- A. データコネクタを使って取り込んだ後、分析ルールを一切作成せずに Sentinel のダッシュボードで目視確認する
- B. 脅威インテリジェンス データコネクタを使って STIX/TAXII フィードを取り込み、脅威インテリジェンス分析ルールで自動照合する
- C. プレイブックを作成して IOC リストをメールで受信するたびに手動でインポートする
- D. ウォッチリストに IOC を登録し、ハンティングクエリで手動照合する
解答と解説を見る
正解: B
Microsoft Sentinel は STIX/TAXII プロトコルに対応した脅威インテリジェンス データコネクタを備えており、外部の脅威フィードを ThreatIntelligenceIndicator テーブルに自動取り込みできます。次に、組み込みの「脅威インテリジェンス マッピング」分析ルールテンプレートを使うことで、取り込んだ IOC と他のログテーブルを自動照合してアラートを生成できます。Dのウォッチリスト+手動ハンティングは自動化されず運用コストが高くなります。Cのプレイブックを使った手動インポートは非効率であり自動照合もできません。Aはアラートが発生しないため実質的な脅威検出が機能しません。