Microsoft Sentinel UEBAでAWS検知を強化

Introduction

Microsoft は、より高度な行動分析によって AWS の脅威検知を強化するため、Microsoft Sentinel UEBA を拡張しています。ハイブリッド環境やマルチクラウド環境を管理するセキュリティ運用チームにとって、これは重要な更新です。AWS CloudTrail イベントに調査を迅速化し、検知品質を向上させる組み込みコンテキストが付与されるようになったためです。

複雑な KQL クエリ、静的なしきい値、または手動で維持するベースラインに依存する代わりに、Defender は事前計算された UEBA インサイトを使って、AWS アクティビティ内の不審な挙動をより迅速に特定できます。

AWS 向け Microsoft Sentinel UEBA の新機能

Microsoft は、AWS、GCP、Okta、さらに多くの認証ログを含むマルチクラウドおよび ID データ ソース全体で、UEBA サポートを拡張しました。AWS に関する主な強化点は次のとおりです。

• CloudTrail イベントの取り込み時に適用される AWS 向け行動エンリッチメントの拡充
• 以下のような バイナリ インサイト:
  • 初回の地理情報
  • 一般的でない ISP
  • 異常なアクション
  • 通常と異なる操作量
• AWS アクティビティを対象とした BehaviorAnalytics テーブル のサポート。ユーザー、デバイス、アクティビティのインサイトを提供
• Microsoft の機械学習モデルによる 6 つの組み込み AWS 異常検知を含む Anomalies テーブル
• ユーザー エンティティ ページやインシデント グラフで UEBA 異常を表示するための Defender ポータル統合

Microsoft はこのアプローチを binary feature stacking と呼んでおり、アナリストは単純な true/false の行動指標を組み合わせることで、通常の AWS 運用に紛れ込みがちな攻撃者のアクティビティをすばやく見つけられます。

この更新がセキュリティ チームに重要な理由

AWS の調査では、挙動が本当に不審かどうかを判断するために、生の CloudTrail ログとカスタム ロジックに依存することが少なくありません。このプロセスは、特に変化の速いクラウド環境では、時間もコストもかかります。

Sentinel UEBA により、管理者とアナリストは次の利点を得られます。

• AWS アラートのトリアージを高速化
• 手動で設計した KQL ベースラインへの依存を低減
• 人間と非人間 ID の両方に対するコンテキストを強化
• ハイブリッド環境およびマルチクラウド環境全体で、より一貫した異常検知を実現

この更新は、アラート疲れを軽減しながら、異常なサインイン、IAM 権限変更、これまで見られなかったユーザー エージェントなど、リスクの高い AWS アクションの可視性を高めたい SOC チームに特に有効です。

主な実装の詳細

AWS の行動コンテキストは、主に 2 つのテーブルに表示されます。

BehaviorAnalytics

これは、UEBA でエンリッチされた AWS アクティビティの主要な調査画面です。EventSource、ActivityType、ActionType などのフィールドに加え、UserInsights、DeviceInsights、ActivityInsights といった動的なインサイト フィールドが含まれます。

Anomalies

このテーブルには、AWS 向けに事前学習された Microsoft の異常検知が含まれます。レコードには次が含まれます。

• MITRE ATT&CK マッピング
• AnomalyScore
• AnomalyReasons
• 関連する行動エンリッチメント

IT 管理者とセキュリティ管理者が次に行うべきこと

• Sentinel で現在の AWS CloudTrail 検知を確認する
• 重いベースライン ロジックに依存している分析ルールを特定する
• BehaviorAnalytics テーブルと Anomalies テーブルで UEBA エンリッチメントをテストする
• Defender ポータルのハンティング ワークフローを使ってユーザー異常をより迅速に調査する
• 事前計算された AWS の行動コンテキストを活用できるよう SOC プレイブックを更新する

Microsoft 環境とあわせて AWS を保護している組織にとって、この更新は検知エンジニアリングを簡素化し、対応効率を高めるのに役立ちます。