ITキーワード

Microsoft Sentinel とは?導入でできる4つの機能や導入メリットを解説

Microsoft からリリースされている「Microsoft Sentinel」 は、クラウド環境におけるセキュリティ運用の自動化ソリューションとして注目を集めています。当社のお客様からもご相談をいただくことが増えてきました。この記事では、企業のセキュリティに課題を抱える情報システム部やセキュリティ担当者に向け、Microsoft Sentinel の機能から導入するメリットまで解説します。高度なセキュリティ対策のためにぜひ役立ててください。

Microsoft Sentinel とは?

Microsoft Sentinel は、クラウドネイティブ型のスケーラブルなセキュリティ情報イベント管理(SIEM)および セキュリティ オーケストレーション(SOAR)ソリューションです。

そもそも Azure とは、Microsoft 社が提供するクラウドソーシングであり、多くの企業で採用されています。そして、Microsoft Sentinel は Azure のセキュリティに関するサービスです。

クラウドソーシングには、企業内にリソースを用意せずにすむというメリットがあります。また、導入時にスモールスタートできる点も魅力です。企業としてはクラウドの柔軟性の恩恵を享受できるクラウドソーシングサービスを選びたいものです。以下では、Azure Sentinel の管理・運用の構成要素である SIEM と SOAR について解説します。

SIEM(セキュリティ情報イベント管理)

SIEM とは「Security Information and Event Management」の略で「標的型攻撃」に対応します。標的型攻撃とは、特定の企業や官公庁、個人に狙いを定めて持続的に、場合によっては長期間に渡って行われる組織的なサイバー攻撃を指します。たとえば、企業宛にメール添付や不審な URL リンクなどを送りつけ、組織内に侵入したあと機密情報を盗み出したり、暗号化して脅迫したりといった攻撃があります。こうした攻撃はセキュリティ製品個別のアラートを見るだけでは見つけることが難しいことが多く、また攻撃者は一度検知されても何度も執拗に攻撃を繰り返すのです。

SIEM は、セキュリティ機器やソフトウェアの「ログ(特にセキュリティログ)」を収集・分析・紐付けし、通信や挙動を一覧化した上で、セキュリティ管理者による危険なアクセスの検知から分析(相関分析)までを支援します。また、SIEM 自体にも脅威を検出する仕組みが備わっており、脅威に対して速やかに対応可能です。

SOAR(セキュリティオーケストレーション自動応答)

SOAR とは「Security Orchestration and Automation Response」を略した言葉です。SOAR は セキュリティ管理者がSIEMの運用をする上で行う分析や対処を自動化する、いわばセキュリティ運用のRPAです。SIEMを運用するセキュリティ管理者は脅威情報を収集したり、検知した脅威が内部で拡散していないか調査したり、セキュリティ機器の設定変更をしたり様々な分析以外の業務を行っていますがこれらを自動化します。そのため、SOARは一般的に様々なテクノロジーの連携を円滑にサポートするため、セキュリティ人材不足を補うためのソリューションとして注目されています。

企業が直面するサイバー攻撃は日々巧妙化しています。そのため、セキュリティ機器の運用と分析には多くのマンパワーと専門性の高いスキルが必要です。

一方、SOAR はセキュリティ管理を自動化でき、サイバー攻撃の検知から分析・対策実行までに貢献します。結果として、セキュリティにかかわる人員を削減できます。

Microsoft Sentinel でできること

セキュリティ運用・管理に寄与する Microsoft Sentinel の機能について解説します。

1.セキュリティログの収集(SIEM)

セキュリティデータは「ログ」として蓄積されています。SIEM で分析対象にするログは、主にセキュリティ機器が検知したアラートログおよびファイアウォールなどの外部ネットワークとの通信ログなどになります。

収集できるログの範囲

接続できるログの種類について、3つのジャンルにわけて紹介します。ここで取り上げたもの以外にも、接続できるサービスは豊富です。また、オンプレミスのシステムであってもログ収集エージェントを使うことで収集ができます。

マイクロソフトに関するログ

  • Microsoft Defender for Cloud Apps(CASB)
  • Microsoft Defender for Identity
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365ほか多数

ネットワークセキュリティのログ

  • Palo Alto Networks
  • Fortinet
  • Zscaler
  • Trend Micro Deep Security

エンドポイントセキュリティ

  • Trend Micro
  • Symantec
  • McAfee

2.脅威の検出

標的型攻撃などを含む脅威を迅速に検出し、セキュリティ被害を防ぎます。技術の進歩に伴いセキュリティ攻撃の頻度は増え、手口の巧妙化がみられます。Microsoft は、長年にわたりサイバー攻撃に向きあってきました。Microsoft Sentinel では、Microsoft の豊富な実績を脅威の検出に役立てています。

脅威の検出方法

Microsoft Sentinel では様々な方法を使って脅威を検出します。

  • 既存の検知エンジン
  • アラートルール
  • マイクロソフトが収集した脅威情報との突き合わせ
  • 相関分析
  • 機械学習

これらを組み合わせてセキュリティログから脅威を探し出します。Microsoft から提供されるテンプレートもありますが、セキュリティ管理者が自身の組織に合わせたカスタムのアラートルールを作って運用することもできます。機械学習(AI)は不審なログインなど異常な行動を検知したりすることが出来ます。

3.インシデントの調査(ハンティング)

本来「インシデント」とは、アクシデントや事故のような意味で使われます。ただし、Microsoft Sentinel におけるインシデントとは「関連するアラートをまとめたグループ」です。脅威の対応を割り当てられたオーナーやステータス、重要度を管理可能です。

また、インシデントに紐付くアラートログが Microsoft Sentinel 内に蓄積されているため、過去のログを遡って脅威が侵入していないか調査ができます。さらに、アラートの関連性を詳しく調査することで脅威の本質を把握できるため、対処方法を見つけやすくなります。

4.インシデントへの自動対処(SOAR)

インシデントへ自動対処するには SOAR 機能である「Logic Apps」を使います。Logic Apps は、クラウドサービスと企業内に設置されたリソースの違いを問わず、システム同士を連携可能なツールです。インシデントに対処するためのタスクを自動的に作成し、事例は限られますが既存のテンプレートも利用可能です。

Microsoft Sentinel を利用するメリット

Microsoft Sentinel の導入により、企業が得られるセキュリティ上のメリットについて解説します。

高度な脅威検知ができる

セキュリティ管理者は標的型攻撃などのサイバー脅威を未然に防ぐことができます。セキュリティ機器のアラートから脅威を探し出し、対処することで組織のセキュリティリスクを最小化できます。
特に Microsoft 365 E5 やそのコンポーネントを一部でも導入している企業はゼロトラストアーキテクチャに基づいたセキュリティ対策機能を効果的に運用できるためお勧めです。

セキュリティ運用の人的負担を減らせる

脅威の検出から対応まで、セキュリティの管理・運用には専門性の高い人的負担が必要です。Microsoft Sentinel を導入すると、うまくすれば SOAR 機能により多くのセキュリティの分析から対処までの SOC 運用の大部分を自動化できます。そのため、セキュリティやインフラに対し高度な知識を持つ人材が少人数でも運用することができます。

Microsoft Sentinel を自社に導入するには?

Microsoft Sentinel の導入を決定したら、Microsoft の公式サイトを確認し、Microsoft Sentinel をオンボードにしましょう。オンボードとは、Microsoft Sentinel を有効にし、ログ取得のために各種ソリューションと接続することを指します。

まずは、マイクロソフトのセキュリティ製品のログを取り込んでみましょう。2022年2月現在、多数のマイクロソフトのセキュリティ製品のログの取り込みが無料となっているため簡単にお試しすることができます。

サービスを本番環境へ導入する際は、最適な運用をするためにログ収集や分析のためのルール設定、運用自動化のための SOAR 構築などに専門知識が必要です。高度な知識を持つ専任担当者がいない場合は、支援サービスを検討しましょう。

まとめ

Microsoft Sentinel は組織全体のセキュリティ対策レベルの向上に役立ちます。AI による高度な脅威検知が可能で、これまでセキュリティ管理にあてていた人的リソースを減らせます。なお、サービス導入にあたってはセキュリティに対する専門知識が必要です。

「SIEM 構築・運用支援サービス for Microsoft Sentinel」は、Microsoft Sentinel 導入に求められる一連の作業を網羅したサービスを提供します。運用自動化のための SOAR 構築を支援し、専任エンジニアによる導入後のレクチャーを実施します。導入後も継続的に SOAR ルールを追加・更新・最適化し、検出したアラートの調査を行ったり、導入した企業自身での運用をサポートします。

また、運用自体をアウトソースしたい場合は、当社 SOC によるお客様環境の Microsoft Sentinel を運用する「MSS for Microsoft Sentinel」も用意しています。

「SIEM 構築・運用支援サービス for Microsoft Sentinel」、「MSS for Microsoft Sentinel」について気になった方は、まず資料請求をお試しください。