#PR17
もうセキュリティはやりたくない!! 第2弾
~Microsoft Security Graph API を活用した
サイバー攻撃対策の自動化~
武藤健史
日本マイクロソフト株式会社
クラウド&ソリューション事業本部
モダンワークプレイス統括本部
セキュリティ技術営業部
テクノロジーソリューションプロフェッショナル
山本築
本情報の内容 (添付文書、リンク先などを含む) は、Microsoft Tech Summit 2018 開催日 (2018年11月5~7日) 時点のものであり、予告なく変更される場合があります
悪質な添付ファイル
端末感染 攻撃者サーバーとの接続
漏洩したIDの不正利用
ユーザアカウントの乗っ取り
横方向移動 特権アカウントの乗っ取り
ドメイン乗っ取り
機密情報へのアクセス
データ摂取・改ざん永続化
+
Azure ATPOffice 365 ATP Windows Defender ATP
Azure Information ProtectionAzure AD Identity Protection 条件付きアクセス
Cloud App Security
メールサンドボックス エンドポイントセキュリティ IDのふるまい検知
Azure ADのふるまい検知 リソースアクセス制御 情報保護
シャドーIT検知
悪質な添付ファイル
端末感染 攻撃者サーバーとの接続
漏洩したIDの不正利用
ユーザアカウントの乗っ取り
横方向移動 特権アカウントの乗っ取り
ドメイン乗っ取り
機密情報へのアクセス
データ摂取・改ざん永続化
+
Azure ATPOffice 365 ATP Windows Defender ATP
Azure Information ProtectionAzure AD Identity Protection 条件付きアクセス
Cloud App Security
エンドポイントセキュリティ IDのふるまい検知
Azure ADのふるまい検知 リソースアクセス制御 情報保護
シャドーIT検知
Coming Soon Coming Soon
メールサンドボックス
Microsoft Security Graph API
AlertsSecurity Profiles
Host | User | File | App | IPActions Configurations
Insights and relationships
OAuth 2.0 and OpenID Connect 1.0
Azure Information
Protection
Azure AD Identity
ProtectionWindows
Defender ATP IntuneAzure Security
Center
Cloud Application
SecurityOffice 365 ATPEcosystem
Partners
Other Microsoft Graph ServicesOffice 365 | Intune | Active Directory | More…
Users Groups Mail Files Calendar
Azure ATP
Infra Identity Device/OS Cloud App Data
Takeshi Security Center (Public Preview)
Takeshi Security Center
Office 365
ATP
Azure AD
Identity
ProtectionIntune
Windows
Defender ATP
Microsoft Security Graph API
Azure ATP
Azure
Information
Protection
Cloud App
Security
…
脅威レベルが “HIGH” の全てのアラートを取得する
• GET https://graph.microsoft.com/v1.0/security/alerts?$filter=Severity eq 'High’
全てのユーザのプロフィールを取得
• GET https://graph.microsoft.com/v1.0/users
特定のユーザのカレンダーのイベント情報を取得する
• GET https://graph.microsoft.com/v1.0/users/{User
ID}/events?$select=subject,body,bodyPreview,organizer,attendees,start,end,location
OneDriveへのアクセスを制限
• POST graph.microsoft.com/v1.0/security/actions?$ref
{ “id”:”7f590b04-0cb3-478f-88ca-974a8bb5a46f”,
vendorInformation/provider”:”MCAS”,
“name”:”restrictAccess”,
“cloudService”:”OneDrive”
}
Microsoft Security Graph APIの活用例
{ "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Security/alerts",
"value": [ {
"azureSubscriptionId": null,
"riskScore": null,
"tags": [],
"id": "02064FE6-F5F0-43FF-BA16-79C21F6D8D43",
"azureTenantId": "00000001-0001-0001-0001-000000000001",
"activityGroupName": null,
"assignedTo": null,
"category": "impossibleLoginVelocity",
"closedDateTime": null,
"comments": [],
"confidence": 0,
"createdDateTime": "2018-09-20T10:05:05Z",
"description": "The user Aldo Muller ([email protected])¥" performed an impossible travel activity. The user was active from 87.252.63.13 in United Kingdom and
95.177.104.2 in Finland within 55 minutes. Additional risks in this user session: 95.177.104.2 was used for the first time in 268 days by this user. 191d5be7-f855-4d22-b8d0-bdb8ba7ccd7a was accessed
for the first time in 268 days by this user.",
"detectionIds": [],
"eventDateTime": "2018-09-20T10:05:00Z",
"feedback": null,
"lastModifiedDateTime": "2018-09-20T10:05:05Z",
"recommendedActions": [],
"severity": "medium",
"sourceMaterials": [],
"status": "newAlert",
"title": "Impossible travel activity",
"vendorInformation": {
"provider": "Cloud Application Security",
"providerVersion": "3.0",
"subProvider": "",
"vendor": "Microsoft"
},
"cloudAppStates": [],
"fileStates": [],
"hostStates": [],
"malwareStates": [],
"networkConnections": [],
"processes": [],
"registryKeyStates": [],
"triggers": [],
"userStates": [ {
"aadUserId": null,
アラート ID
アラートタイトル
アラートを生成したセキュリティソリューション
脅威レベル
攻撃シナリオ
攻撃者
マクロ付きWORD ドキュメント
ユーザ
キーロガー
攻撃者サーバー
ID / PASS
Windows Defender ATP
Cloud App Security
Azure AD Identity Protection
Microsoft 365を活用した Automation&Response
Windows
Defender ATP
Azure AD
Identity Protection
Office 365 ATP Intune
Cloud App Security
Azure Information
Protection
端末のネットワーク分離
アンチウイルススキャンの実施
調査パッケージの収集
アプリ実行制御
プロセス停止
ファイル検疫
ファイルブラックリスト化
アカウントロックアウト
パスワードリセット
アクセス制御
アクセス拒否
二要素認証追加
パスワード変更の強制
攻撃シナリオ
攻撃者
マクロ付きWORD ドキュメント
ユーザ
キーロガー
攻撃者サーバー
ID / PASS
Windows Defender ATP
Cloud App Security
Azure AD Identity Protection
悪質な添付ファイル
端末感染 攻撃者サーバーとの接続
漏洩したIDの不正利用
ユーザアカウントの乗っ取り
横方向移動 特権アカウントの乗っ取り
ドメイン乗っ取り
機密情報へのアクセス
データ摂取・改ざん永続化
+
自動化とは
Security Orchestration
SOAR
セキュリティ製品間の連携
Mean Time To Identify
(MTTI)
Mean Time To Remediation(MTTR)
自動化
Automation&Response
手動 →自動調査&対処
次世代SoCへの移行方法
Azure Information
Protection
Azure AD Identity
ProtectionWindows
Defender ATP IntuneAzure Security
Center
Cloud Application
SecurityOffice 365 ATPEcosystem
PartnersAzure ATP
Infra Identity Device/OS Cloud App Data
Step 1: 脅威をより可視化
ローカルオペレータ
セキュリティアナリスト
ログ
アラート
Network
IDS / IPS /
Firewall
Other Microsoft Graph ServicesOffice 365 | Intune | Active Directory | More…
Microsoft Graph Security API
Step 3: 企業の重要リスクレベルにあわせた自動対処の実装
Step 4: ネットワークログをクラウドに移行
次世代 Security Operation Center
Step 2: M365 Security Centerの自動調査・対処をフル活用