「Azure Sentinel」の機能と特徴--マイクロソフトのSIEM製品 - (page 2)

セキュリティデータを表示および分析

　Azure Sentinelにストリーミングされたデータはすぐにダッシュボードに取り込まれ、Azureの既存のセキュリティツールや分析ツールが、表やチャートとともに表示される。また、すべてのインシデントがケースごとにまとめられ、関連するアラートが単一のビューに表示される。Azure Sentinelがこのようなアプローチを採用したのは、無関係と思われるアラートのせいで表示される情報が多すぎるように見えてしまう事態を減らすためだ。イベントのチャートは24時間分が表示されるため、ユーザーは当日と前日の状況を比較できる。悪意あるイベントソースや流出データが盗み出された場所を表示するマップビューを使用して、調査を開始するべきケースを絞り込める。

　組み込みのダッシュボードは、Azureのアクティビティと「Azure Active Directory」、およびユーザーのオンプレミスサーバーをサポートする。また、各種アプリケーションや「Office 365」の情報を表示するほか、ファイアウォールなどのセキュリティアプライアンスおよびセキュリティサービスを含めて、サードパーティー製ハードウェアからの情報を提供する。たとえば、Azure Sentinelには2つの異なる「Azure AD」ダッシュボードがあり、一方でサインインを、もう一方で監査ログを調べられる。提供されるインサイトはどちらも重要なもので、1つは攻撃が行われている可能性を、もう1つはグループの移動や特権の獲得が予期せず行われたアカウントを教えてくれる。

　ネットワークを出入りするデータの流れを監視すれば、セキュリティ侵害があったかどうかをすばやく確認できる。Azure Sentinelでは、調査を必要とする異常な動作を通知する機械学習ベースのシステムを使用して、関連するイベントやアラートを特定できる。異常検出は重要な機能であり、Microsoftが開発したモデルを使用することで、新しい攻撃手段や長期にわたって少しずつ行われるデータ漏えいを特定できる。異常が検出された場合、ユーザーは該当する期間のネットワークアクティビティを調査する必要がある。

Azure Sentinelの機械学習ベースのシステムは、調査を必要とする異常な動作を通知してくれる。
提供：Microsoft

セキュリティ機能をカスタマイズ

Azure Sentinelにはダッシュボード作成ツールがあり、独自の視覚化機能を追加したり、クエリを作成してグラフやチャートのソースとして使用したりできる。クエリはMicrosoftのクエリ言語であるKustoで書かれているため、Azure Data Explorerなどのツールを使用して、新しいクエリの作成とテストができる。Kustoを使えば、構造化データと非構造化データが混在している環境でも動作するクエリを作成できるため、さまざまな形式のログを解析し、1つのビューにまとめて表示するのに最適だ。

　Azure SentinelのGitHubコミュニティーで新しい検出機能を見つけ、新しいデータソースに追加することもできる。これらの機能はMicrosoft社内で開発されたもので、Azure Sentinelがアラートの生成に使用するルールの基盤となっている。このルールをユーザー独自の基礎として使用し、新しいソースや新しいログファイル形式をサポートするように調整することも可能だ。

Azure Sentinelを使って脅威を検出

　Azure Sentinelがシステムの監視を始めたら、脅威を検出する準備は完了だ。ただし、分析するデータが大量にある場合、デフォルトのクエリとダッシュボードですべてを検出することはできない。その場合は、「検出クエリ」を使うことで調べられる。手始めにサンプルクエリが用意されているほか、既存のクエリの変更や独自のクエリの作成に使用できるクエリ言語もある。興味深いデータがある場合は、ブックマークしておけば、後でケースを作成するのに役立つ。検出プロセスを段階ごとにノートブックに記録し、分析分野の知見を得ることも可能だ。Azure Sentinelのノートブックを他の調査担当者に渡せば、その担当がクエリを再生し、その脅威の内容や検出方法を確認できる。MicrosoftのIncident Responseチームでは、今後もGitHubを通じて新しいノートブックを提供していく予定だ。

　現在、Azure Sentinelのプレビュー版は無料で利用できる（SLA［サービス品質保証］もない）が、一部の機能は利用に料金がかかる。Azure Monitor、機械学習のカスタマイズ、「Logic Apps」を使用したワークフローなどだ。

　Microsoftはこれまで、あまり目立たない形でセキュリティ製品のラインアップを拡充してきた。Azure Sentinelは、コンシューマーからクラウドまでを網羅する一連のツールの最新版だ。Microsoftは、自社のセキュリティチームが持つスキルと経験を活かすことで、オンプレミスとクラウドのハイブリッド環境で日常的なセキュリティ監視や能動的な脅威検出に最適な各種ツールを開発している。最終的な価格体系が判明したら、Azure Sentinelの利用を再検討してみるのもいいだろう。それまでの間、試してみる価値は十分にある。試用版を使ってみれば、自社のネットワークについて重要な情報がいくつか得られるかもしれない。