【Azure】Azure Sentinel　第一回　概要編

こんにちは、システムソリューション営業本部の大友です。


今回から、Microsoft Azureの機能の1つである、Azure Sentinelについてお話ししていきます。

昨今、オンプレミスからクラウドネイティブ化が進む中でセキュリティの話題は必ず上がります。
しかしセキュリティ強化のためには、有識者の不足や対応する時間が無いなど様々な問題があります。

そんな問題に対するソリューションがAzure Sentinelです！

と、その前にQESではクラウドエンジニアも募集していますので
QESの仕事内容や転職にご興味のある方はこちらもご覧ください。

Azure Sentinelとは？

Microsoft公式の言葉を借りて説明すると、
「クラウドネイティブ型のセキュリティ情報イベント管理(SIEM)およびセキュリティ オーケストレーション自動応答(SOAR)ソリューション」
です。

分かりやすく説明すると、
「あらゆるログの収集、収集したログからアラートを検出し、調査、対処を自動で実施」
してくれるサービスになります。


例えば、Azureに限らずオンプレミスや複数のクラウドを社内で管理してませんか？
その場合対処までの経路がバラバラでとても扱いにくいですよね、でもAzure Sentinelはそれを一つにまとめることができます！

さらに社員の退勤後、不審なサインインがあるとします。
そのような気づきにくい事象にも、AIによりログの相関関係から自動で検出することができます！

今回は以下4つの機能を元に、Azure Sentinelの概要をお話します。

①ログの収集

Azure Sentinelでは様々なデータソースからログやアラートを収集することができます。
最初にも書きましたが、Azureに限らず別クラウドやオンプレミスなど、様々なデータソースから収集することで一括してセキュリティ管理をすることができます
接続設定の際も、コネクタが最初から用意されているためとても簡単です！
以下データソース例は代表的なものであり、詳細は公式ウェブサイトをご覧ください。

[Azure Iaas]

・イベントログ
・syslog
・パフォーマンス
・IISログ
・その他カスタムログなど

[Azure サービス]

・ファイアウォール
・Network Security Group(NSG)
・Cloud app security
・office 365など

[外部ソリューション]

・Citrix Analytics
・F5 BIG-IPなど


他にもたくさんのソースから選べます！

②脅威の検出

収集されたログから、様々な手法によりアラートを検出します。

手法はテンプレートの用意された簡単で有効なものから、カスタム性に富んだ上級者向けのものまであります。
現在利用可能な手法4つと、今後リリース予定の2つをご紹介します。

[分析]

収集したログデータからアラートルールを作成し脅威を検出します。

アラートルールには豊富な種類のテンプレートが存在し、要望に合わせたルールを素早く作成することができます。
さらにカスタムでテンプレートにないルールを独自で作成することも可能です。

[その他脅威検出システムの利用]

すでに存在する脅威検出システムと連携し、その脅威検出システムから検出されたものをもとにアラートを作成することができます。
例：Windows Defender ATP、Microsoft Cloud App Securityなど

[機械学習モデル]

Microsoftセキュリティチームの知見に基づき、異常なサインインを検知します。

[MLFusion]

複数の脅威システムと連携し得たソースから、アラート内容の関連性を機械学習で分析し、脅威となりえる箇所を特定します。
また、余計なアラートの発生を予防し、本当に重要なアラートを選別することができます。

また、上記以外にも[ユーザ分析]や[カスタム機能学習モデル]などカスタム性の高いアラート検出方法もリリースされる予定です。

③インシデントの調査

Azure Sentinelの調査では、ユーザビリティの高いUIを用いて調査することができます。
状態や重要度などでフィルター加工をしたり、関連すると思われる複数のアラートを結びつけることができます。

 

④自動対処

Logic Appsというサービスを用いて、特定の対処パターンを作成することができます。
テンプレートを用いたり、自分でアラートの対処方法を確定し、運用面での負担を軽減することができます。

Azure Sentinelのコスト

Azure Sentinelでは、本サービスの利用料とログを保存しておくLog Analyticsの利用料金が発生します。

さらに脅威への自動対処を行う場合、Logic Appsの利用料金も加算されます。
詳細な料金は以下になります。

[Azure Sentinel]

Azure Sentinelの利用料金は、取りこまれたデータ量及びLog Analyticsに保存されたデータ量によりGB単位で発生します

[Log Analytics]

Log Analyticsの利用料金は、保存する容量によって決定します。
選択したプランによって固定料金が課金されるため、毎月かかるコストを容易に計算することが可能です。

Azure Sentinelを利用するメリット

①あらゆるセキュリティデータを一括管理できる

データソースの多様性により、ハイブリッドクラウドや複数のクラウドの組み合わせでもセキュリティデータを収集することが可能です。

②分かりやすいUIと自動化により管理者の負担が軽減される

Azure Sentinelのデータソースの収集から、検出、調査、対処の一連の流れを、Azure上から容易に設定することが可能です。
さらに対処部分を自動化することによって、運用される管理者のルーティンワークを減らすことができます。

③高度な脅威検出システムが利用できる

Microsoft内で培った知見から作成された、高度な機械学習モデルを設定することができます。
さらにアラートの相関による誤検知を低減し、重要なアラートをより選別しやすくすることができるようになります。

まとめ

今回はAzure Sentinelについてご紹介しました。

次回は構築編になります。

実際に構築し、詳細なログの見え方や設定方法などをご紹介します！
最後までご覧頂きありがとうございました！

※このブログで参照されている、Microsoft、Windows、Microsoft Azure、Azure Sentinel、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。