編集部からのお知らせ
新着記事まとめPDF「ランサムウェア」
注目の記事まとめPDF「Chrome OS」

「Azure Sentinel」の機能と特徴--マイクロソフトのSIEM製品 - (page 2)

Simon Bisson (Special to TechRepublic) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ)

2019-05-24 07:30

セキュリティデータを表示および分析

 Azure Sentinelにストリーミングされたデータはすぐにダッシュボードに取り込まれ、Azureの既存のセキュリティツールや分析ツールが、表やチャートとともに表示される。また、すべてのインシデントがケースごとにまとめられ、関連するアラートが単一のビューに表示される。Azure Sentinelがこのようなアプローチを採用したのは、無関係と思われるアラートのせいで表示される情報が多すぎるように見えてしまう事態を減らすためだ。イベントのチャートは24時間分が表示されるため、ユーザーは当日と前日の状況を比較できる。悪意あるイベントソースや流出データが盗み出された場所を表示するマップビューを使用して、調査を開始するべきケースを絞り込める。

 組み込みのダッシュボードは、Azureのアクティビティと「Azure Active Directory」、およびユーザーのオンプレミスサーバーをサポートする。また、各種アプリケーションや「Office 365」の情報を表示するほか、ファイアウォールなどのセキュリティアプライアンスおよびセキュリティサービスを含めて、サードパーティー製ハードウェアからの情報を提供する。たとえば、Azure Sentinelには2つの異なる「Azure AD」ダッシュボードがあり、一方でサインインを、もう一方で監査ログを調べられる。提供されるインサイトはどちらも重要なもので、1つは攻撃が行われている可能性を、もう1つはグループの移動や特権の獲得が予期せず行われたアカウントを教えてくれる。

 ネットワークを出入りするデータの流れを監視すれば、セキュリティ侵害があったかどうかをすばやく確認できる。Azure Sentinelでは、調査を必要とする異常な動作を通知する機械学習ベースのシステムを使用して、関連するイベントやアラートを特定できる。異常検出は重要な機能であり、Microsoftが開発したモデルを使用することで、新しい攻撃手段や長期にわたって少しずつ行われるデータ漏えいを特定できる。異常が検出された場合、ユーザーは該当する期間のネットワークアクティビティを調査する必要がある。

Azure Sentinelの機械学習ベースのシステムは、調査を必要とする異常な動作を通知してくれる。
Azure Sentinelの機械学習ベースのシステムは、調査を必要とする異常な動作を通知してくれる。
提供:Microsoft

セキュリティ機能をカスタマイズ

Azure Sentinelにはダッシュボード作成ツールがあり、独自の視覚化機能を追加したり、クエリを作成してグラフやチャートのソースとして使用したりできる。クエリはMicrosoftのクエリ言語であるKustoで書かれているため、Azure Data Explorerなどのツールを使用して、新しいクエリの作成とテストができる。Kustoを使えば、構造化データと非構造化データが混在している環境でも動作するクエリを作成できるため、さまざまな形式のログを解析し、1つのビューにまとめて表示するのに最適だ。

 Azure SentinelのGitHubコミュニティーで新しい検出機能を見つけ、新しいデータソースに追加することもできる。これらの機能はMicrosoft社内で開発されたもので、Azure Sentinelがアラートの生成に使用するルールの基盤となっている。このルールをユーザー独自の基礎として使用し、新しいソースや新しいログファイル形式をサポートするように調整することも可能だ。

Azure Sentinelを使って脅威を検出

 Azure Sentinelがシステムの監視を始めたら、脅威を検出する準備は完了だ。ただし、分析するデータが大量にある場合、デフォルトのクエリとダッシュボードですべてを検出することはできない。その場合は、「検出クエリ」を使うことで調べられる。手始めにサンプルクエリが用意されているほか、既存のクエリの変更や独自のクエリの作成に使用できるクエリ言語もある。興味深いデータがある場合は、ブックマークしておけば、後でケースを作成するのに役立つ。検出プロセスを段階ごとにノートブックに記録し、分析分野の知見を得ることも可能だ。Azure Sentinelのノートブックを他の調査担当者に渡せば、その担当がクエリを再生し、その脅威の内容や検出方法を確認できる。MicrosoftのIncident Responseチームでは、今後もGitHubを通じて新しいノートブックを提供していく予定だ。

 現在、Azure Sentinelのプレビュー版は無料で利用できる(SLA[サービス品質保証]もない)が、一部の機能は利用に料金がかかる。Azure Monitor、機械学習のカスタマイズ、「Logic Apps」を使用したワークフローなどだ。

 Microsoftはこれまで、あまり目立たない形でセキュリティ製品のラインアップを拡充してきた。Azure Sentinelは、コンシューマーからクラウドまでを網羅する一連のツールの最新版だ。Microsoftは、自社のセキュリティチームが持つスキルと経験を活かすことで、オンプレミスとクラウドのハイブリッド環境で日常的なセキュリティ監視や能動的な脅威検出に最適な各種ツールを開発している。最終的な価格体系が判明したら、Azure Sentinelの利用を再検討してみるのもいいだろう。それまでの間、試してみる価値は十分にある。試用版を使ってみれば、自社のネットワークについて重要な情報がいくつか得られるかもしれない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  2. 経営

    迫られる改正電子帳簿保存法対応--中小・中堅企業に最適な簡単&現実的な運用方法とは

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. 運用管理

    5G時代におけるクラウドサービスの問題点、通信の最適化・高速化を実現する「MEC」の活用事例を紹介

  5. コミュニケーション

    情報が見つからない&更新が進まないFAQページは絶対NG!効果的なFAQを作成・運用するために

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]