Microsoft からリリースされている「Microsoft Sentinel」は、クラウド環境におけるセキュリティ運用の自動化ソリューションとして注目を集めています。この記事では、企業のセキュリティに課題を抱える情報システム部やセキュリティ担当者に向け、Microsoft Sentinel の機能から導入するメリットまで解説します。高度なセキュリティ対策のためにぜひお役立てください。

Microsoft Sentinel とは？

Microsoft Sentinel は、クラウドネイティブ型のスケーラブルなセキュリティ情報イベント管理（SIEM）およびセキュリティオーケストレーション（SOAR）ソリューションです。
SIEM機能で収集した、Microsoft 製品と多くの他社ベンダーのセキュリティ機器のログやイベントを、脅威インテリジェンスを利用してセキュリティの影響度を判断し、SOARによって自動的に応答します。Microsoft Sentinel を使用すると、脅威の可視化、攻撃の検出、脅威のハンティング、脅威への対応および自動化を行うことができます。

以下では、Microsoft Sentinel の管理・運用の構成要素であるSIEMとSOARについて解説します。

SIEM（セキュリティ情報イベント管理）

SIEM（Security Information and Event Management）とは、セキュリティ情報とイベントを統合的に管理するシステムで、高度なサイバー攻撃に対応します。

その仕組みは、ネットワーク機器やセキュリティ機器から、ログやイベントなどの情報を収集し、一連の攻撃フローとして表示する（相関分析）ことで脅威の進行を可視化し、危険なアクセスの検知からセキュリティ管理者による分析までを支援します。

例えば、UTMから「ネットワーク攻撃の検出」という深刻度:中のログが記録された場合、不正アクセスの可能性はありますが、単一のログだけでは具体的に何が起きているか判断できません。それに対して、SIEMはファイアウォールのログだけでなく、IPSやIDS、EDRなどのセキュリティ機器からの情報も収集して判定できます。このように、SIEMにより一連のアラートを可視化することで、実は深刻な不正アクセスが進行していたことが分かります。

SIEMはセキュリティインシデントを早期に検知して、被害を最小限に抑えるために重要な役割を果たしています。SIEMを導入することで、セキュリティインシデントに迅速に対応し、企業や組織の情報を守ることができます。

SOAR（セキュリティオーケストレーション自動応答）

SOARとは「Security Orchestration and Automation Response」を略した言葉です。SOARはセキュリティ管理者がSIEMの運用をする上で行う分析や対処、ワークフローを自動化する、いわばセキュリティ運用のRPAです。SIEMを運用するセキュリティ管理者は脅威情報を収集してSIEMに取り込んだり、検知した脅威をVirusTotalなどの外部ツールで悪意があるものか調査したり、さまざまな分析業務を行っていますが、SOARはこれらを自動化します。また、検知したアラートの内容を Microsoft Copilot for Security に問い合わせして文章で回答を得ることも自動化できます。このように、SOARはさまざまなテクノロジーの連携やワークフローを自動化するため、セキュリティ人材不足を補うためのソリューションとしても注目されています。

Microsoft Sentinel でできること

ここでは、Microsoft Sentinel がサイバー攻撃をどのように発見して、防御するかについて解説します。また、SIEM自体にも脅威を検出する仕組みが備わっており、脅威に対して速やかに対応可能です。
Microsoft Sentinel の利用の流れとしては以下のようになります。

1. セキュリティログの収集
2. 脅威の検出
3. インシデントの調査（分析）
4. ハンティング
5. SOARによる自動化

1.セキュリティログの収集（SIEM）

SIEMはほかのセキュリティ機器や各種システム、SaaSを統合して分析する基盤であるため、まずは分析対象であるほかのシステムからセキュリティイベントやアラート、通信データを「ログ」として取り込む必要があります。
SIEMで分析対象にするログは、主にセキュリティ機器が検知したアラートログおよびファイアウォールなどの外部ネットワークとの通信ログなどがあります。

これらの各種ログをクラウド上のデータ格納基盤である Log Analytics ワークスペースへ送信します。

収集できるログの範囲

Microsoft Sentinel はデータコネクタという機能を使って、多くのセキュリティ機器、ネットワーク、アプリケーション、SaaSサービスと接続することができます。データコネクタがない場合は、カスタムコネクタを作成することでログを取り込むことが可能です。また、オンプレミスのシステムはログ収集エージェントを使うことで収集できます。

データコネクタで収集接続できるログの種類について、一部を紹介します。

Microsoft に関するログ

• Microsoft Defender for Cloud Apps
• Microsoft Defender for Identity
• Microsoft Defender for Endpoint
• Microsoft Defender for Office 365
• Microsoft Entra ID ほか

ネットワークセキュリティ機器のログ

• Palo Alto Networks（Firewall, Cortex Data Lake, Prisma Cloud CSPM）
• Fortinet
• Zscaler（Zscaler Internet Access, Zscaler Private Access）
• Trend Vision One Endpoint ほか

エンドポイントセキュリティ

• Trend Micro Apex One
• Symantec Endpoint Protection
• VMware Carbon Black Cloud
• CrowdStrike ほか

その他

• Okta
• Google Cloud Platform
• Rapid7
• Box ほか

2.脅威の検出

SIEMは分析基盤にさまざまなセキュリティログを収集して統合した後、そのログを分析して脅威を検出する必要があります。Microsoft Sentinel は、SIEMを使うセキュリティ管理者を支援する多くの機能を持っており、標的型攻撃を含む多くの脅威を迅速に検出し、セキュリティ被害を防ぎます。

Microsoft は、長年にわたりサイバー攻撃の研究と分析に多額の投資を行ってきました。Microsoft Sentinel では、Microsoft が持つ豊富な脅威情報（Threat Intelligence）を脅威サイバー攻撃の検出に役立てています。

脅威の検出方法

Microsoft Sentinel ではログを取り込んだ後、以下のようなさまざまな方法で脅威を検出します。検出した脅威は、関連する複数のアラートログをまとめて”インシデント”という単位で管理します。その中でも、分析ルールは特定の脆弱性の検出やセキュリティ機器向けなど、事前に多くのルールが用意されているため、難しい設定なしで検出ルールをそのまま適用可能です。分析ルールをテンプレートとして独自のルールを作成することもできます。

■ 分析ルール
Microsoft 提供のテンプレートや自由な条件を用いて、広範囲のログから複雑な攻撃パターンをじっくりとあぶり出す「標準的な検知エンジン」です。即時性よりも分析の「深さ」を重視しており、複数のログを組み合わせた高度な相関分析によって組織全体の脅威を網羅的に監視します。設定により5分～14日の期間ごとに、定期的に実行します。

■ 準リアルタイム（NRT）の分析ルール
ログの到着直後に毎分実行される「速さ重視の緊急アラート」であり、分析の複雑さよりも、一刻を争う重要な異変を即座に通知することに特化しています。特権アカウントの不正操作など、発生した瞬間に即応が必要な特定の脅威を逃さず捉えるための「最短ルート」として機能します。

■ 脅威インテリジェンス
Microsoft またはサードパーティーの脅威インテリジェンスを使って取り込んだログやアラートを評価します。

■ 異常ルール（アノマリ）
機械学習を使用して、異常なWebアクセスやログインのブルートフォースなどさまざまな種類の異常な動作を検出します。

■ UEBA
機械学習を使って、個人と組織のエンティティ（ユーザー、端末、IPアドレス、アプリケーションなど）から行動ベースラインを作成し、異常な行動を検出します。設定は、異常ルールと同じ場所から行います。

■ Fusion
機械学習によって複数のセキュリティ製品のアラートとイベントをインシデントに相関して、高度なマルチステージ攻撃を検出します。

■ ウォッチリスト
CSVなどから「退職者リスト」や「許可済みIP一覧」などを取り込み、膨大なログと自動で照合・抽出する機能です。検知ルールのプログラム（KQL）を書き換えなくても、リストの中身を更新するだけで「退職者の不正ログイン監視」や「スキャン用IPの除外（ホワイトリスト）」といった現場の判断を即座に反映できます。これにより、アナリストはノイズを減らし、重要度の高い異変だけを迷わず迅速に特定できるようになります。

■ カスタムルール
分析ルールをテンプレートにしてセキュリティ管理者自身がルールを定義することができます。１からルールを作ることも可能です。

これらを組み合わせてセキュリティログから脅威を探し出します。

3.インシデントの調査（分析）

インシデントは分析ルールとハンティングの結果に基づいて生成されます。生成されたインシデントは、それぞれ影響があるか分析して判断する必要があります。影響が大きい場合、適切な対処を行うことが必要になります。
Microsoft Sentinel では、インシデントに関連するエンティティ（ユーザー、端末、IPアドレス、アプリケーションなど）を時間軸で並べたり、個別のエンティティを線でつないだグラフィカルな図を表示したりすることで、インシデントの内容を可視化できます。可視化することで、セキュリティ管理者は脅威の全体像や追加の調査する範囲を判断することが容易になり、迅速な判断と対処が可能になります。
対処は、自動化ルールとプレイブックを組み合わせたSOARルールで自動的に対処したり、メールで管理者に通知したり、SOCの場合インシデント対処担当者に割り当てるなどのワークフローの作成が可能です。

4.ハンティング

ハンティングとは、セキュリティアナリストが能動的に組織内を調査して、未知の脅威や侵入の発見と迅速な対処を行うアクションです。Microsoft Sentinel 内に蓄積されている過去のログを遡って脅威が侵入していないか調査を行います。Microsoft Sentinel では、KQL というクエリ言語を利用してハンティングルールを作成します。Microsoft からあらかじめ定義されたハンティング用の KQL クエリが数多く用意されていますので、これを利用してすぐにハンティングを行うことができます。また、あらかじめ定義されたハンティングクエリは、クエリ内容が管理画面上に公開されているため、アナリストがそれをコピーして独自のハンティングクエリを作成することも可能です。ハンティングルールは保存しておいて、日次／週次など定期的に実行することができます。

ハンティングで検出した脅威はインシデントとして、エンティティや可視化機能を使って分析することになります。

5.SOARによる自動化

Microsoft Sentinel では、プレイブックという処理ワークフローを定義して、自動化ルールでトリガーや条件を指定することでプレイブックを実行し、自動化（SOAR）を実現します。
プレイブックは、さまざまなシステム間でノーコード／ローコードで連携ワークフローを作れる Azure Logic Apps で作成します。

プレイブックと自動化ルールでSOARを実施すると、例えば、ログインに関わるインシデントが生成された後、インシデントが発生した社員に Microsoft Teams で確認メッセージが自動で送信され、セキュリティ管理者にはインシデントの詳細と「ブロック」「無視」というボタンが含まれており管理者がブロックを選択すると、アラートに含まれているIPアドレスをファイアウォールでブロックし、Microsoft Entra ID（旧 Azure AD）で該当ユーザーを無効にする、といった対処が可能です。

ほかにも、セキュリティ管理者が日常的に対処している繰り返し起こるインシデントへの対処を自動化するなど、柔軟な設計が可能です。Microsoft Sentinel には、マイクロソフトが標準で用意している脅威検出プレイブックが多数あります。

Microsoft Sentinel を利用するメリット

Microsoft Sentinel の導入により、企業が得られるセキュリティ上のメリットについて解説します。

高度な脅威検知ができる

セキュリティ管理者は標的型攻撃などのサイバー脅威を未然に防ぐことができます。セキュリティ機器のアラートから脅威を探し出し、対処することで組織のセキュリティリスクを最小化できます。また、セキュリティ機器だけでなく、数多くのデバイスやアプリケーションと接続ができるため、広範な分析ができます。加えて、細かく分析ルールやハンティングクエリを作成することでセキュリティ管理者はより深い分析や高度な運用が可能です。
特に Microsoft 365 E5 やそのコンポーネントを一部でも導入している企業はゼロトラストアーキテクチャーに基づいたセキュリティ対策機能を効果的に運用できるためおすすめです。

セキュリティ運用の人的負担を減らせる

DXやクラウド活用による情報システムと情報資産の重要性は増しています。それに対して、サイバー攻撃者は組織化され、初期攻撃から侵害までの期間が短くなってきています。脅威の検出から対応まで、セキュリティの管理・運用には専門性の高い人材と生産性の高いセキュリティ運用が必要です。Microsoft Sentinel を導入すると、うまくすればSOAR機能により多くのセキュリティの分析から対処までのSOC運用の定型的な業務を自動化できます。そのため、セキュリティやインフラに対し高度な知識を持つ人材が少人数でも運用することができます。

Microsoft Sentinel の料金

Microsoft Sentinel の料金は、利用するログの量に対して課金されます。1日あたりのデータ取り込み量を事前に予約（コミットメント）するコミットメントティア方式と、保存されるデータ量（GB単位）に応じて課金される従量課金制の2つの体系があります。
コミットメントティア制では、コミットメントレベルで選択したレベル（1日あたりの利用量）に応じた料金が請求され、上限使用量の従量課金よりも割り引きが適用されます。従量課金制では、Microsoft Sentinel の Azure Monitor Log Analytics に保存されるデータ量に応じて課金されます。
Microsoft Sentinel は、SOAR機能の中心となるプレイブックが Azure Logic Apps を使用しているため、Azure Logic Apps の料金も必要です。
加えて、データ保持期間、データ復元、エクスポート、サポートレベルなどの有料オプションが選択可能です。

ただし、Microsoft 365 や Azure のアクティビティログ、Microsoft 365 監査ログに加え、Microsoft Defender XDR（旧 Microsoft 365 Defender）ファミリーに含まれる各製品（Endpoint, Office 365, Identity, Cloud Appsなど）や Microsoft Defender for Cloud からのセキュリティアラートの取り込みについては、一部無料であったりデータ取り込み料金の優待や無料特典が適用されたりする枠組みがあります。
エコシステム全体でのコスト最適化が図れる点は、Microsoft 製品を利用する大きなメリットの一つです。最新の特典対象については、Microsoft の公式情報をご参照ください。

Microsoft Sentinel を自社に導入するには？

Microsoft Sentinel の導入を決定したら、Azure ポータルから Microsoft Sentinel をオンボード（有効化）します。

使用する Log Analytics ワークスペースを作成または選択したら、Microsoft Sentinel の利用開始になります。現在は Microsoft Defender XDR との統合が進んでおり、Azure ポータルだけでなく Microsoft Defender ポータルからも一元的にセキュリティ運用を行うことが可能です。 組織の運用スタイルに合わせて、柔軟に管理画面を選択できる点も大きな特長です。有効化の後は、「Microsoft Sentinel でできること」のセクションで説明した各機能（データ収集や分析ルールなど）を順次設定していきます。

Microsoft Sentinel を効果的にセキュリティ運用するMSS

ここまでで Microsoft Sentinel のメリットや有効性を説明してきました。しかし、Microsoft Sentinel のセキュリティ運用をするノウハウや人的リソースが不足しているという組織もあるかと思います。そのような組織向けに、当社では Microsoft Sentinel のセキュリティ監視サービス「マネージドセキュリティサービス Microsoft Sentinel 」を提供しています。当社のセキュリティ監視センター（SOC）から、お客さま環境にある Microsoft Sentinel を24時間365日体制でセキュリティアナリストが監視を行うサービスです。

200以上の接続先に対応

MSS for Microsoft Sentinel Advancedでは、Microsoft Sentinel データコネクタで接続可能な200を超える各種セキュリティ機器、アプリケーション、認証ログ、アプリケーションを監視対象とします。検知対象となる機器／サービスに対して、当社基準に基づき推奨する分析ルールを適用および運用します。
当社からお客さま所有のテナントに保存されているログを直接監視するため、ログデータの外部送信はありません。

24時間365日のセキュリティ監視サービス

当社のセキュリティ監視センター（SOC）から、お客さま環境の Microsoft Sentinel を24時間365日セキュリティアナリストが監視します。Microsoft Sentinel の分析ルールにマッチしたインシデントが検出された場合には、休日夜間であってもセキュリティアナリストが必要な調査を行いインシデントの影響度を判定します。
多くのお客さまのセキュリティ監視を実施している経験豊富なセキュリティアナリストのノウハウを活用することで、お客さまのセキュリティ運用における人材不足を補います。

インシデントへの対処

Microsoft 365 E5 Security 製品の機能を利用して、影響度の高いインシデントの抑制を行います。抑制は、アカウントの無効化、ネットワーク隔離、プロセスの停止、Microsoft 365 アプリケーションのアクセス無効化などがあります。抑制対応は、24時間365日行います。また、お客さまのご依頼をもとにオンデマンドでハンティング実施を代行することで自組織内に潜伏している脅威に対しても対処することが可能です。

まとめ

Microsoft Sentinel は組織全体のセキュリティ対策レベルの向上に役立ちます。分析ルールとAIによる高度な脅威検知、SOARによる自動化が可能で、高度なセキュリティ対策が実現できます。

「マネージドセキュリティサービス Microsoft Sentinel」は Microsoft Sentinel で不足するセキュリティ運用のノウハウと人材を網羅した監視サービスを提供します。ソフトバンクに蓄積された技術と知見を利用できるだけでなく、導入後も継続的に分析ルールを見直すことで、Microsoft Sentinel で高度なセキュリティ運用を行います。

Microsoft Sentinel の導入検討や、Microsoft Sentinel の運用について課題をお持ちの企業さまは、ぜひお問い合わせください。

関連サービス

同じカテゴリーの記事をみる