Microsoft からリリースされている「Microsoft Sentinel」は、クラウド環境におけるセキュリティ運用の自動化ソリューションとして注目を集めています。当社のお客様からもご相談をいただくことが増えてきました。この記事では、企業のセキュリティに課題を抱える情報システム部やセキュリティ担当者に向け、Microsoft Sentinel の機能から導入するメリットまで解説し、概要を理解いただくことを目的とします。高度なセキュリティ対策のためにぜひ役立ててください。
Microsoft Sentinel とは?
Microsoft Sentinel は、クラウドネイティブ型のスケーラブルなセキュリティ情報イベント管理(SIEM)および セキュリティ オーケストレーション(SOAR)ソリューションです。
SIEM 機能で収集した、マイクロソフト製品と多くの他社ベンダーのセキュリティ機器のログやイベントを、脅威インテリジェンスを利用してセキュリティの影響度を判断し、SOAR によって自動的に応答します。Microsoft Sentinel を使用すると、脅威の可視化、攻撃の検出、脅威のハンティング、脅威への対応および自動化が行えます。
以下では、Microsoft Sentinel の管理・運用の構成要素である SIEM と SOAR について解説します。
SIEM(セキュリティ情報イベント管理)
SIEM(Security Information and Event Management)とは、セキュリティ情報とイベントを統合的に管理するシステムで、高度なサイバー攻撃に対応します。
その仕組みは、ネットワーク機器やセキュリティ機器から、ログやイベントなどの情報を収集し、一連の攻撃フローとして表示する(相関分析)ことで脅威の進行を可視化し、危険なアクセスの検知からセキュリティ管理者による分析までを支援します。
例えば、UTM から「ネットワーク攻撃の検出」という深刻度:中のログが記録された場合、不正アクセスの可能性はありますが、単一のログだけでは具体的に何が起きているか判断できません。それに対して、SIEM はファイアウォールのログだけでなく、IPS や IDS、EDR などのセキュリティ機器からの情報も収集して判定できます。このように、SIEM により一連のアラートを可視化することで、実は深刻な不正アクセスが進行していたことがわかります。
SIEM はセキュリティインシデントを早期に検知して、被害を最小限に抑えるために重要な役割を果たしています。SIEM を導入することで、セキュリティインシデントに迅速に対応し、企業や組織の情報を守ることができます。
SOAR(セキュリティオーケストレーション自動応答)
SOAR とは「Security Orchestration and Automation Response」を略した言葉です。SOAR はセキュリティ管理者が SIEM の運用をする上で行う分析や対処、ワークフローを自動化する、いわばセキュリティ運用の RPA です。SIEM を運用するセキュリティ管理者は脅威情報を収集して SIEM に取り込んだり、検知した脅威を VirusTotal などの外部ツールで悪意があるものか調査したり、さまざまな分析業務を行っていますが、SOAR はこれらを自動化します。また、検知したアラートの内容を ChatGPT に問い合わせして文章で回答を得ることも自動化できます。このように、SOAR はさまざまなテクノロジーの連携やワークフローを自動化するため、セキュリティ人材不足を補うためのソリューションとしても注目されています。
Microsoft Sentinel でできること
ここでは、Microsoft Sentinel が、サイバー攻撃をどのように発見して、防御するかについて解説します。
また、SIEM 自体にも脅威を検出する仕組みが備わっており、脅威に対して速やかに対応可能です。
Microsoft Sentinel の利用の流れとしては以下のようになります。
- セキュリティログの収集
- 脅威の検出
- インシデントの調査(分析)
- ハンティング
- SOAR による自動化
1.セキュリティログの収集(SIEM)
SIEM は他のセキュリティ機器や各種システム、SaaS を統合して分析する基盤であるため、まずは分析対象である他のシステムからセキュリティイベントやアラート、通信データを「ログ」として取り込む必要があります。
SIEM で分析対象にするログは、主にセキュリティ機器が検知したアラートログおよびファイアウォールなどの外部ネットワークとの通信ログなどがあります。
これらの各種ログをクラウド上のデータ格納基盤である Log Analytics ワークスペースへ送信します。
収集できるログの範囲
Microsoft Sentinel はデータコネクタという機能を使って、130以上のメーカー製品の200を超えるセキュリティ機器、ネットワーク、アプリケーション、SaaS サービスと接続することができます。データコネクタがない場合は、カスタムコネクタを作成することでログを取り込むことが可能です。また、オンプレミスのシステムはログ収集エージェントを使うことで収集できます。
データコネクタで収集接続できるログの種類について、一部を紹介します。
マイクロソフトに関するログ
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- Azure Active Directory ほか
ネットワークセキュリティ機器のログ
- Palo Alto Networks(Firewall, Cortex Data Lake, Prisma Cloud CSPM)
- Fortinet
- Zscaler(Zscaler Internet Access, Zscaler Private Access)
- Trend Micro Deep Security ほか
エンドポイントセキュリティ
- Trend Micro Apex One
- Symantec Endpoint Protection
- VMware Carbon Black Cloud
- Trellix Mcafee ePO ほか
その他
- Akamai
- Okta
- Gitlab
- Apache
- Box ほか
2.脅威の検出
SIEM は分析基盤にさまざまなセキュリティログを収集して統合した後、そのログを分析して脅威を検出する必要があります。Microsoft Sentinel は、SIEM を使うセキュリティ管理者を支援する多くの機能を持っており、標的型攻撃などを含む脅威を迅速に検出し、セキュリティ被害を防ぎます。
マイクロソフトは、長年にわたりサイバー攻撃の研究と分析に多額の投資を行ってきました。Microsoft Sentinel では、マイクロソフトが持つの豊富な脅威情報(Threat Intelligence)を脅威サイバー攻撃の検出に役立てています。
脅威の検出方法
Microsoft Sentinel ではログを取り込んだ後、以下のようなさまざまな方法で脅威を検出します。検出した脅威は、関連する複数のアラートログをまとめて”インシデント”という単位で管理します。その中でも、分析ルールは特定の脆弱性の検出やセキュリティ機器向けなど、事前に多くのルールが用意されているため、難しい設定なしで検出ルールをそのまま適用可能です。分析ルールをテンプレートとして独自のルールを作成することもできます。
- 分析ルール
- マイクロソフトがあらかじめ作成したさまざまなセキュリティ機器やサービス向けの検出ルールです。
- 準リアルタイム(NRT)
- 可能な限り最短で検出できるよう毎分実行されるように設計された特別なルールセットです。
- 脅威インテリジェンス
- マイクロソフトまたはサードパーティの脅威インテリジェンスを使って取り込んだログやアラートを評価します。
- 異常ルール(アノマリ)
- 機械学習を使用して、異常なWebアクセスやログインのブルートフォースなどさまざまな種類の異常な動作を検出します。
- UEBA
- 機械学習を使って、個人と組織のエンティティ(ユーザー、端末、IP アドレス、アプリケーションなど)から行動ベースラインを作成し、異常な行動を検出します。設定は、異常ルールと同じ場所から行います。
- Fusion
- 機械学習によって複数のセキュリティ製品のアラートとイベントをインシデントに相関して、高度なマルチステージ攻撃を検出します。
- ウォッチリスト
- csv ファイルなどから特定の資産、退職者のアカウントなどを取り込み、容易に監視ルールを作成・変更することで、アナリストの迅速な対応を支援します。
- カスタムルール
- 分析ルールをテンプレートにしてセキュリティ管理者自身がルールを定義することができます。1からルールを作ることも可能です。
これらを組み合わせてセキュリティログから脅威を探し出します。
3.インシデントの調査(分析)
インシデントは分析ルールとハンティングの結果に基づいて生成されます。生成されたインシデントは、それぞれ影響があるか分析して判断する必要があります。影響が大きい場合、適切な対処を行うことが必要となります。
Microsoft Sentinel では、インシデントに関連するエンティティ(ユーザー、端末、IP アドレス、アプリケーションなど)を時間軸で並べたり、個別のエンティティを線でつないだグラフィカルな図を表示することで、インシデントの内容を可視化できます。可視化することで、セキュリティ管理者は脅威の全体像や追加の調査する範囲を判断することが容易になり、迅速な判断と対処が可能になります。
対処は、自動化ルールとプレイブックを組み合わせた SOAR ルールで自動的に対処したり、メールで管理者に通知したり、SOC の場合インシデント対処担当者に割り当てるなどのワークフローの作成が可能です。
4.ハンティング
ハンティングとは、セキュリティアナリストが能動的に組織内を調査して、未知の脅威や侵入の発見と迅速な対処を行うアクションです。Microsoft Sentinel 内に蓄積されている過去のログを遡って脅威が侵入していないか調査を行います。Microsoft Sentinel では、KQL というクエリ言語を利用してハンティングルールを作成します。マイクロソフトからあらかじめ定義されたハンティング用の KQL クエリが数多く用意されていますので、これを利用してすぐにハンティングを行うことができます。また、あらかじめ定義されたハンティングクエリは、クエリ内容が管理画面上に公開されているため、アナリストがそれをコピーして独自のハンティングクエリを作成することも可能です。ハンティングルールは保存しておいて、日次/週次など定期的に実行することができます。
ハンティングで検出した脅威はインシデントとして、エンティティや可視化機能を使って分析することになります。
5.SOAR による自動化
Microsoft Sentinel では、プレイブックという処理ワークフローを定義して、自動化ルールでトリガーや条件を指定することで プレイブックを実行し、自動化(SOAR)を実現します。
プレイブックは、さまざまなシステム間でノーコード/ローコードで連携ワークフローを作れる Azure Logic Apps で作成します。
プレイブックと自動化ルールで SOAR を実施すると、例えば、ログインにかかわるインシデントが生成された後、インシデントが発生した社員に Microsoft Teams で確認メッセージが自動で送信され、セキュリティ管理者にはインシデントの詳細と「ブロック」「無視」というボタンが含まれており管理者がブロックを選択すると、アラートに含まれている IP アドレスをファイアウォールでブロックし、Microsoft Entra ID(旧 Azure AD)で該当ユーザーを無効にする、といった対処が可能です。
ほかにも、セキュリティ管理者が日常的に対処している繰り返し起こるインシデントへの対処を自動化したりするなど、柔軟な設計が可能です。Microsoft Sentinel には、マイクロソフトが標準で用意している脅威検出プレイブックが多数あります。
Microsoft Sentinel を利用するメリット
Microsoft Sentinel の導入により、企業が得られるセキュリティ上のメリットについて解説します。
高度な脅威検知ができる
セキュリティ管理者は標的型攻撃などのサイバー脅威を未然に防ぐことができます。セキュリティ機器のアラートから脅威を探し出し、対処することで組織のセキュリティリスクを最小化できます。また、セキュリティ機器だけでなく、数多くのデバイスやアプリケーションと接続ができるため、広範な分析ができます。加えて、細かく分析ルールやハンティングクエリを作成することでセキュリティ管理者はより深い分析や高度な運用が可能です。
特に Microsoft 365 E5 やそのコンポーネントを一部でも導入している企業はゼロトラストアーキテクチャに基づいたセキュリティ対策機能を効果的に運用できるためお勧めです。
セキュリティ運用の人的負担を減らせる
DX や クラウド活用による情報システムと情報資産の重要性は増しています。それに対して、サイバー攻撃者は組織化され、その攻撃手法は巧妙になってきています。脅威の検出から対応まで、セキュリティの管理・運用には専門性の高い人材 と生産性の高いセキュリティ運用が必要です。Microsoft Sentinel を導入すると、うまくすれば SOAR 機能により多くのセキュリティの分析から対処までの SOC 運用の定型的な業務を自動化できます。そのため、セキュリティやインフラに対し高度な知識を持つ人材が少人数でも運用することができます。
Microsoft Sentinel の料金
Microsoft Sentinel の料金は、利用するログ量に対して課金されます。1か月の利用上限まで固定金額となる方式と従量課金制の2つの体系があります。
固定金額制では、コミットメントレベルで選択したレベル(1日あたりの利用量)に応じた固定料金が請求され、上限使用量の従量課金よりも割引が適用されます。従量課金制では、Microsoft Sentinel の Microsoft Monitor Log Analytics に保存されるデータ量単位で課金されます。
Microsoft Sentinel は、SOAR 機能の中心となるプレイブックが Azure Logic Apps を使用しているため、Azure Logic Apps の料金も必要です。
加えて、データ保持期間、データ復元、エクスボート、サポートレベルなどの有料オプションが選択可能です。
ただし、Microsoft 365 と Azure のアクティビティログや Microsoft 365 監査ログ、Microsoft Defender for Cloud、Microsoft 365 Defender、Microsoft Defender for Office 365、Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Cloud Apps 等のセキュリティアラートの取り込みについては無料で利用可能です。
Microsoft Sentinel を自社に導入するには?
Microsoft Sentinel の導入を決定したら、Azure ポータルから Microsoft Sentinel をオンボード(有効化)します。
使用する Log Analytics ワークスペースを作成または選択したら、Microsoft Sentinel の利用開始になります。以降は「Microsoft Sentinel でできること」のセクションで説明した各機能を設定していきます。
Microsoft Sentinel を効果的にセキュリティ運用するMSS for Microsoft Sentinel
ここまでで Microsoft Sentinel のメリットや有効性を説明してきました。しかし、Microsoft Sentinel のセキュリティ運用をするノウハウや人的リソースが不足しているという組織もあるかと思います。そのような組織向けに、当社では Microsoft Sentinel のセキュリティ監視サービス MSS for Microsoft Sentinel を提供しています。当社のセキュリティ監視センター(SOC)から、お客様環境にある Microsoft Sentinel を24時間365日体制でセキュリティアナリストが監視を行うサービスです。
200以上の接続先に対応
MSS for Microsoft Sentinel Advanced では、Microsoft Sentinel データコネクタで接続可能な 200 を超える各種セキュリティ機器、アプリケーション、認証ログ、アプリケーションを監視対象とします。検知対象となる機器/サービスに対して、当社基準に基づき推奨する分析ルールを適用および運用します。
当社からお客様所有のテナントに保存されているログを直接監視するため、ログデータの外部送信はありません。
24時間365日のセキュリティ監視サービス
当社のセキュリティ監視センター(SOC)から、お客様環境の Microsoft Sentinel を24時間365日セキュリティアナリストが監視します。Microsoft Sentinel の分析ルールにマッチしたインシデントが検出された場合には、休日夜間であってもセキュリティアナリストが必要な調査を行いインシデントの影響度を判定します。
多くのお客様のセキュリティ監視を実施している経験豊富なセキュリティアナリストのノウハウを活用することで、お客様のセキュリティ運用における人材不足を補います。
インシデントへの対処
Microsoft 365 E5 Security 製品の機能を利用して、影響度の高いインシデントの抑制を行います。抑制は、アカウントの無効化、ネットワーク隔離、プロセスの停止、Microsoft 365 アプリケーションのアクセス無効化などがあります。抑制対応は、24 時間 365 日行います。また、お客様のご依頼をもとオンデマンドでハンティング実施を代行することで自組織内に潜伏している脅威に対しても対処することが可能です。
まとめ
Microsoft Sentinel は組織全体のセキュリティ対策レベルの向上に役立ちます。分析ルールと AI による高度な脅威検知、SOAR による自動化が可能で、高度なセキュリティ対策が実現できます。
MSS for Microsoft Sentinel Advanced は Microsoft Sentinel で不足するセキュリティ運用のノウハウと人材を網羅した監視サービスを提供します。SBテクノロジーに蓄積された技術と知見を利用できるだけでなく、導入後も継続的に分析ルールを見直すことで、Microsoft Sentinel で高度なセキュリティ運用を行います。
「MSS for Microsoft Sentinel Advanced」、「MSS for Microsoft Sentinel」について気になった方は、まず資料請求をお試しください。
