<p><!--META { "title": "Microsoft Sentinel KQLによる脅威ハンティング", "primary_category": "クラウド>Azure", "secondary_categories": ["セキュリティ", "KQL", "脅威ハンティング"], "tags": ["Microsoft Sentinel", "KQL", "Log Analytics", "脅威ハンティング", "Entra ID", "Azure CLI", "SIEM"], "summary": "Microsoft Sentinel KQLを活用した脅威ハンティングのアーキテクチャ、設定、運用、コスト、セキュリティ、落とし穴をクラウドアーキテクトの視点から解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"Microsoft Sentinel KQLを使った脅威ハンティングガイド。アーキテクチャから設定、コスト最適化、セキュリティまで、クラウドアーキテクト視点で詳細解説。今すぐ実践！","hashtags":["#Azure","#Sentinel"]}, "link_hints": ["https://learn.microsoft.com/ja-jp/azure/sentinel/overview","https://learn.microsoft.com/ja-jp/azure/sentinel/hunting","https://learn.microsoft.com/ja-jp/azure/sentinel/roles","https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/cost-optimization","https://azure.microsoft.com/ja-jp/pricing/details/monitor/"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft Sentinel KQLによる脅威ハンティング</h1> <p>クラウドネイティブなSIEM（Security Information and Event Management）およびSOAR（Security Orchestration, Automation, and Response）ソリューションであるMicrosoft Sentinelは、日々増大するサイバー脅威から組織を守る上で不可欠なツールです。特に、Kusto Query Language（KQL）を用いた脅威ハンティングは、既知の脅威検知ルールをすり抜ける高度な攻撃や、組織固有の異常な振る舞いを能動的に特定するために極めて有効です。本記事では、クラウドアーキテクトの視点から、Microsoft Sentinel KQLによる脅威ハンティングのアーキテクチャ、設定、運用、セキュリティ、コスト最適化、そして一般的な落とし穴について解説します。</p> <h2 class="wp-block-heading">アーキテクチャ</h2> <p>Microsoft Sentinelは、Azure Log Analytics Workspaceを基盤として、様々なデータソースからのログを取り込み、KQLによる分析を通じて脅威を特定します。脅威ハンティングのプロセスは、データ収集から高度な分析、視覚化、そして対応までを包含する一連のフローとして機能します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> flowchart TD A["データソース"]|ログを生成| --> B("データコネクタ")|収集・転送| B --> C("Log Analytics Workspace")|データ取り込み・保存| C -- KQLクエリ --> D["Microsoft Sentinel"]|脅威ハンティングエンジン| D -- KQLクエリ/ノートブック --> E("ハンター/アナリスト")|能動的な調査・分析| E --> F["ワークブック"]|結果の可視化| E --> G["プレイブック"]|自動化された対応| E --> H["Microsoft Defender XDR"]|追加のインサイト/連携| F --> I{"インシデント生成"}|検出・報告| I -- 対応策実行 --> G C -- 保存データ/履歴 --> J["長期アーカイブ"]|コスト効率の良い保持| subgraph 認証・認可 K["Azure Entra ID"]|ユーザー/グループ管理| -- RBAC/CA --> E end classDef default fill:#f9f,stroke:#333,stroke-width:2px; classDef component fill:#d9e,stroke:#333,stroke-width:2px; classDef actor fill:#add8e6,stroke:#333,stroke-width:2px; class A,J classDef default; class B,C,D,F,G,H classDef component; class E,K classDef actor; </pre></div> <p>このアーキテクチャでは、データソース（Azure AD、Microsoft 365 Defender、Firewall、サーバーログなど）からのログがデータコネクタを通じてLog Analytics Workspaceに集約されます。Log Analytics WorkspaceはKQLによる高速なデータ検索と分析を可能にし、Microsoft Sentinelの脅威ハンティングエンジンがこのデータに対してKQLクエリを実行します。熟練のハンターやセキュリティアナリストは、インタラクティブなKQLクエリやJupyter Notebooks（Azure Machine Learning ワークスペースと統合）を用いて、潜在的な脅威の特定と深掘りを行います。発見された結果はワークブックで可視化され、必要に応じてプレイブックによる自動対応や、Microsoft Defender XDRとの連携によるさらなる調査・対応が行われます。認証にはAzure Entra IDが利用され、Azure RBACと条件付きアクセスによってアクセスが制御されます。</p> <h2 class="wp-block-heading">設定手順</h2> <p>Microsoft Sentinelの導入と脅威ハンティング環境の整備は、Log Analytics Workspaceの作成、Sentinelのオンボーディング、データコネクタの構成、そして適切な権限設定が中心となります。</p> <h3 class="wp-block-heading">1. Log Analytics Workspaceの作成</h3> <p>KQLによる脅威ハンティングの基盤となるLog Analytics Workspaceを作成します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Azure CLI を使用したLog Analytics Workspaceの作成 # リソースグループとワークスペース名を環境に合わせて変更してください。 RESOURCE_GROUP="rg-sentinel-prod" WORKSPACE_NAME="la-sentinel-prod-westjp" LOCATION="japaneast" # ワークスペースをデプロイするAzureリージョン az monitor log-analytics workspace create \ --resource-group $RESOURCE_GROUP \ --workspace-name $WORKSPACE_NAME \ --location $LOCATION \ --sku PerGB2018 # 推奨される課金モデル。詳細はコスト最適化で後述。 echo "Log Analytics Workspace '$WORKSPACE_NAME' が作成されました。" </pre> </div> <p>このコマンドは、<code>japaneast</code>リージョンに<code>la-sentinel-prod-westjp</code>という名前のLog Analytics Workspaceを作成します。<code>--sku PerGB2018</code>は、データ取り込み量に基づく課金モデルを指定します（<a href="https://azure.microsoft.com/ja-jp/pricing/details/monitor/">Microsoft Docs: Azure Monitor の価格</a>、<code>2024年5月1日</code>更新）。</p> <h3 class="wp-block-heading">2. Microsoft Sentinelのオンボーディング</h3> <p>作成したLog Analytics WorkspaceにMicrosoft Sentinelをオンボーディングします。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Azure CLI を使用したMicrosoft Sentinelのオンボーディング # 事前にLog Analytics Workspaceが存在している必要があります。 RESOURCE_GROUP="rg-sentinel-prod" WORKSPACE_NAME="la-sentinel-prod-westjp" az sentinel onboarding state update \ --resource-group $RESOURCE_GROUP \ --workspace-name $WORKSPACE_NAME \ --state Enabled echo "Microsoft Sentinel が Log Analytics Workspace '$WORKSPACE_NAME' にオンボーディングされました。" </pre> </div> <p>これにより、指定されたLog Analytics WorkspaceでSentinelの機能が有効になります（<a href="https://learn.microsoft.com/ja-jp/cli/azure/sentinel/onboarding/state?view=azure-cli-latest">Microsoft Docs: Azure CLI sentinel コマンド</a>、<code>2024年2月14日</code>更新）。</p> <h3 class="wp-block-heading">3. データコネクタの設定</h3> <p>脅威ハンティングに必要なログデータを取り込むために、データコネクタを設定します。例として、Azure ActivityログとMicrosoft 365 Defenderログの接続を挙げますが、これらは通常AzureポータルまたはAzure Resource Manager (ARM) テンプレートを通じて行われます。</p> <h3 class="wp-block-heading">4. アイデンティティと権限境界</h3> <p>Microsoft Sentinelのセキュリティ運用において、アイデンティティと権限管理は非常に重要です。</p> <ul class="wp-block-list"> <li><p><strong>Azure Entra ID</strong>: ユーザー、グループ、サービスプリンシパルの認証基盤として機能します。</p></li> <li><p><strong>Azure RBAC</strong>: Sentinelリソースへのアクセスを制御します。主要な組み込みロールは以下の通りです（<a href="https://learn.microsoft.com/ja-jp/azure/sentinel/roles">Microsoft Docs: Microsoft Sentinel のロールとアクセス許可</a>、<code>2024年3月13日</code>更新）。</p> <ul> <li><p><code>Microsoft Sentinel Reader</code>: Sentinelのデータと設定を閲覧できます。</p></li> <li><p><code>Microsoft Sentinel Contributor</code>: Sentinelリソースの作成、編集、削除（分析ルール、プレイブック、ワークブックなど）が可能です。</p></li> <li><p><code>Microsoft Sentinel Responder</code>: インシデントの管理（閲覧、更新、削除）が可能です。</p></li> <li><p><code>Log Analytics Contributor</code>: Log Analytics Workspace自体の管理（データ保持期間、データエクスポート設定など）に必要です。</p></li> </ul></li> <li><p><strong>条件付きアクセス (CA)</strong>: SentinelやAzureポータルへのアクセス時に多要素認証（MFA）やデバイス準拠などのセキュリティ要件を強制するために利用します。例えば、特定IP範囲からのアクセスのみ許可するポリシーを設定することで、管理アクセスを強化できます。</p></li> <li><p><strong>Microsoft Defender XDR</strong>: Sentinelと統合することで、エンドポイント、Microsoft 365、クラウドアプリからの詳細な信号を収集し、ハンティングの精度を高めることができます。</p></li> </ul> <h2 class="wp-block-heading">運用監視</h2> <p>脅威ハンティングの運用は、単発的なクエリ実行に留まらず、継続的な監視と改善が求められます。</p> <ul class="wp-block-list"> <li><p><strong>KQLクエリのパフォーマンス監視</strong>: 大規模なデータセットに対する複雑なクエリはパフォーマンスに影響を与える可能性があります。<code>extend</code>、<code>summarize</code>、<code>join</code>などの演算子の利用法を最適化し、<code>_LogOperation</code>テーブルなどでクエリの実行状況を監視します。</p></li> <li><p><strong>ハンティング活動のログ</strong>: Sentinelノートブックの実行履歴や、カスタム作成したハンティングクエリの実行結果は、監査および継続的な改善のために記録されるべきです。Microsoft Sentinelは内部的にハンティング活動を記録しており、<code>SentinelAudit</code>テーブルで確認できます。</p></li> <li><p><strong>SLAとバックアップ/DR</strong>: Log Analytics Workspaceは、データ取り込みとクエリ実行に関して高い可用性を提供します。Log Analyticsのデータ保持期間は、法令遵守およびインシデント調査要件に基づいて設定します。長期保持が必要なデータは、Log Analyticsのアーカイブ機能（<a href="https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/archive-logs">Microsoft Docs: Azure Monitor ログのアーカイブ</a>、<code>2024年3月7日</code>更新）や、Azure Data Explorerへのエクスポート機能を利用してコスト効率よく保存できます。DR（災害復旧）戦略としては、異なるリージョンにミラーリングされたLog Analytics WorkspaceとSentinelインスタンスを持つことが考えられますが、通常はデータを長期アーカイブすることで対応可能です。</p></li> </ul> <h2 class="wp-block-heading">セキュリティ</h2> <p>Microsoft Sentinel環境自体のセキュリティは、脅威ハンティングの効果を最大化するために不可欠です。</p> <ul class="wp-block-list"> <li><p><strong>RBACによる最小権限の原則</strong>: 前述の通り、各ユーザーやサービスプリンシパルにはその職務を遂行するために必要な最小限の権限のみを付与します。</p></li> <li><p><strong>プライベートリンク</strong>: Log Analytics WorkspaceへのアクセスをAzure Private Link経由にすることで、パブリックインターネットを経由せずにセキュアなネットワーク接続を確立し、データ漏洩のリスクを低減します（<a href="https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/private-link-security">Microsoft Docs: Azure Private Link と Azure Monitor</a>、<code>2024年3月19日</code>更新）。</p></li> <li><p><strong>データ暗号化</strong>: Log Analytics Workspace内のデータは、保存時および転送時に暗号化されます。顧客管理キー（CMK）を使用して、独自の暗号化キーをAzure Key Vaultで管理することも可能です。</p></li> <li><p><strong>監査とログ</strong>: Sentinelの構成変更やハンティング活動自体がログに記録され、不正な操作がないか監視されます。</p></li> </ul> <h2 class="wp-block-heading">コスト</h2> <p>Microsoft SentinelとLog Analytics Workspaceのコストは、主にデータ取り込み量とデータ保持期間によって決まります。コスト最適化は継続的な取り組みです。</p> <ul class="wp-block-list"> <li><p><strong>Log Analytics Workspaceの課金</strong>: データ取り込み量（GB/日）とデータ保持期間（日数）に基づきます（<a href="https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/cost-optimization">Microsoft Docs: Log Analytics の価格</a>、<code>2024年4月19日</code>更新）。</p> <ul> <li><strong>コミットメントティア（Reserved Capacity）</strong>: 月間のデータ取り込み量を事前にコミットすることで、従量課金よりも大幅な割引を受けられます。例えば、100GB/日、200GB/日などのコミットメントティアがあります。これは脅威ハンティングで大量のログを扱う場合に特に有効です。</li> </ul></li> <li><p><strong>Microsoft Sentinelの課金</strong>: Log Analytics Workspaceにイングレスされたデータ量に応じて課金されます。一般的に、最初の一定量（例: 100GB/日）まではLog Analyticsの料金に含まれ、それ以上からSentinel独自の料金が適用されます。</p></li> <li><p><strong>コスト最適化戦略</strong>:</p> <ul> <li><p><strong>データフィルタリング</strong>: 不要なログはデータソース側でフィルタリングするか、データコネクタで取り込み対象から除外します。例えば、特定のイベントIDや冗長なイベントログを取り込まないように設定します。</p></li> <li><p><strong>データ保持期間の最適化</strong>: コンプライアンス要件と脅威ハンティングの必要性に応じて、データの保持期間を必要最低限に設定します。</p></li> <li><p><strong>アーカイブ機能の活用</strong>: 長期保持が必要なデータは、Log Analyticsのアーカイブ機能を利用して、コストを抑えつつストレージに移動します。これは通常、アクティブなハンティングには利用されませんが、過去の調査や監査には有効です。</p></li> <li><p><strong>KQLクエリの効率化</strong>: 無駄なデータのスキャンを減らすことで、クエリ実行コストを間接的に削減できます。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">落とし穴</h2> <p>Microsoft Sentinel KQLによる脅威ハンティングには、いくつかの一般的な落とし穴が存在します。</p> <ul class="wp-block-list"> <li><p><strong>KQLクエリの非効率性</strong>: 複雑で最適化されていないKQLクエリは、実行に時間がかかり、コストも増大させます。特に<code>join</code>や<code>summarize</code>などの操作は、データの量と実行順序を考慮して慎重に使用する必要があります。</p></li> <li><p><strong>データ取り込みの遅延</strong>: データコネクタやLog Analytics Workspaceの設定によっては、ログの取り込みに遅延が発生し、リアルタイム性が求められる脅威ハンティングに影響を与える可能性があります。</p></li> <li><p><strong>アラート疲労</strong>: 脅威ハンティングで見つけた異常な挙動をすぐに自動アラート化すると、誤検知によるアラート疲労を引き起こす可能性があります。ハンティングの結果をアラートにする際は、まず分析ルールで正確性を検証することが重要です。</p></li> <li><p><strong>プロアクティブハンティングの不足</strong>: 既存の検出ルールに依存しすぎ、能動的なハンティングを怠ると、未知の脅威を見逃すリスクが高まります。定期的なハンティングセッションと新しい脅威インテリジェンスの適用が不可欠です。</p></li> <li><p><strong>権限管理の不備</strong>: 過剰な権限付与はセキュリティリスクを高めます。一方、必要な権限が不足していると、ハンティング活動が阻害される可能性があります。最小権限の原則を徹底し、定期的に権限を見直す必要があります。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>Microsoft SentinelとKQLによる脅威ハンティングは、現代のサイバーセキュリティ戦略において重要な役割を果たします。強固なアーキテクチャ、適切な設定、継続的な運用監視、厳格なセキュリティ対策、そしてコスト最適化を通じて、組織は未知の脅威を能動的に発見し、対応する能力を高めることができます。本記事で解説したアーキテクチャ、設定手順、運用、セキュリティ、コスト、そして落とし穴への理解と実践は、クラウド環境におけるセキュリティ耐性向上に大きく貢献するでしょう。クラウドアーキテクトとしては、これらの要素を統合的に設計し、セキュリティチームが効率的かつ効果的に脅威ハンティングを行える環境を構築することが求められます。</p>

flowchart TD
    A["データソース"]|ログを生成| --> B("データコネクタ")|収集・転送|
    B --> C("Log Analytics Workspace")|データ取り込み・保存|
    C -- KQLクエリ --> D["Microsoft Sentinel"]|脅威ハンティングエンジン|
    D -- KQLクエリ/ノートブック --> E("ハンター/アナリスト")|能動的な調査・分析|
    E --> F["ワークブック"]|結果の可視化|
    E --> G["プレイブック"]|自動化された対応|
    E --> H["Microsoft Defender XDR"]|追加のインサイト/連携|
    F --> I{"インシデント生成"}|検出・報告|
    I -- 対応策実行 --> G
    C -- 保存データ/履歴 --> J["長期アーカイブ"]|コスト効率の良い保持|

    subgraph 認証・認可
        K["Azure Entra ID"]|ユーザー/グループ管理| -- RBAC/CA --> E
    end

    classDef default fill:#f9f,stroke:#333,stroke-width:2px;
    classDef component fill:#d9e,stroke:#333,stroke-width:2px;
    classDef actor fill:#add8e6,stroke:#333,stroke-width:2px;
    class A,J classDef default;
    class B,C,D,F,G,H classDef component;
    class E,K classDef actor;

# Azure CLI を使用したLog Analytics Workspaceの作成


# リソースグループとワークスペース名を環境に合わせて変更してください。

RESOURCE_GROUP="rg-sentinel-prod"
WORKSPACE_NAME="la-sentinel-prod-westjp"
LOCATION="japaneast" # ワークスペースをデプロイするAzureリージョン

az monitor log-analytics workspace create \
    --resource-group $RESOURCE_GROUP \
    --workspace-name $WORKSPACE_NAME \
    --location $LOCATION \
    --sku PerGB2018 # 推奨される課金モデル。詳細はコスト最適化で後述。

echo "Log Analytics Workspace '$WORKSPACE_NAME' が作成されました。"

# Azure CLI を使用したMicrosoft Sentinelのオンボーディング


# 事前にLog Analytics Workspaceが存在している必要があります。

RESOURCE_GROUP="rg-sentinel-prod"
WORKSPACE_NAME="la-sentinel-prod-westjp"

az sentinel onboarding state update \
    --resource-group $RESOURCE_GROUP \
    --workspace-name $WORKSPACE_NAME \
    --state Enabled

echo "Microsoft Sentinel が Log Analytics Workspace '$WORKSPACE_NAME' にオンボーディングされました。"