Microsoft Sentinelのアイデンティティ攻撃グラフ

Microsoft Sentinel の Identity Attack Graph は、Azure における ID ベースの攻撃パスを視覚化し、攻撃者がどのように横方向に移動するかを明らかにします。これにより、セキュリティチームは、ID、権限、リソース、および潜在的な攻撃ベクトル間の関連性を理解することができます。このグラフは、グループを介した間接的なアクセスなど、複雑な ID の関連性に隠されがちなリスクを強調します。主なユースケースには、攻撃パスの検出、影響範囲の分析、過剰な権限を持つ ID の検出が含まれます。この機能は、アクセス レビューをサポートし、関連性を視覚化することでインシデント対応を効率化します。適切な設定には、Microsoft Sentinel とサブスクリプション レベルの Owner 権限が必要であり、手動での Azure Resource Graph コネクタのアクティベーションが不可欠です。グラフは検出を支援するため、アナリストは修復前に他のツールで調査結果を検証する必要があります。Graph Query Language (GQL) は、接続されたデータをクエリし、関連性を特定することで、調査を強化します。これにより、かつて手動でのデータ収集を必要とした作業が簡素化され、より迅速な分析が可能になります。このグラフは、リソースへの ID アクセスなどの関連性に焦点を当てることで、より迅速な脅威検出を可能にします。これにより、最終的に Azure 環境におけるセキュリティ体制が向上します。