Microsoftが、セキュリティ情報イベント管理(SIEM)ソリューション「Azure Sentinel」に、未知の脅威や社内に潜む脅威をより迅速に検知できるように支援する「UEBA(User and Entity Behavior Analytics:ユーザーおよびエンティティーの行動分析)」を追加している。Azure Sentinelは1年前に一般提供が開始された。
この行動分析機能は、ユーザーがセキュリティログをAzureクラウドに送る、さらなる動機づけになるかもしれない。Azure Sentinelは、分析のために取り込まれたデータ1GBあたり2.46ドルの従量課金制となっている。
Azure Sentinelの場合、顧客がSIEMソリューション向けにハードウェアを購入して、設定する必要がなく、コストを削減できる。
Microsoftのクラウドセキュリティ担当バイスプレジデントのEric Doerr氏は米ZDNetに対し、Azureのセキュリティ製品は、従来のSIEMソリューションよりも安価で済む可能性があるが、Azure Sentinelは無料ではなく、顧客はレガシーなSIEMでは考えなかったかもしれないようなデータやログを送った方が良いと考えるようになり、このクラウドサービスのコストに驚くことがあると述べた。
「物理的なマシンを何台も購入するより、総所有コストが優れているのは間違いない。しかし、多くの人は、『これは素晴らしい!従来のソリューションに取り込んでいたよりも、10倍の量のデータをインポートしたい。でも、待てよ。それは高額になるだろうか?』と思い当たるわけだ」と、Doerr氏は説明した。
「そこで当社は、『データ量がこれまでの10倍なら、もちろんそうだ』と答えざるを得ない。大切なデータを守るためには相応の料金が発生し、無料ではない。存在するすべてのデータをただで保存できるなら、誰もがすべてのデータを永遠に保存するだろう」(同氏)
SentinelのUEBAは、未知の脅威や社内の脅威を検知する上で有用だ。ユーザーやデバイスの行動プロファイルを作成し、異常を検出する。現在プレビューを提供中だ。
「Azure Active Directory」の情報と同期し、「Active Directory」の監査ログ、署名ログ、Azureのアクティビティーログを使用するほか、ユーザーやデバイスが潜在的に高リスクであるかどうかを示すダッシュボードに表示される、セキュリティイベント情報と組み合わせる。
セキュリティアナリストはテキスト検索を実行し、エンティティープロファイルを見つけて開いたり、インシデントを調査中にエンティティーをクリックしたりできる。プロファイルには、コンテキスト情報、アクティビティーのタイムライン、最も関連性の高いデータソースのアラートが含まれる。
また、Microsoftは「Azure Security Center」の統合されたマルチクラウドビューのプレビューについても発表した。「Google Cloud」や「Amazon Web Services(AWS)」でホスティングされている、SQLなどのアプリケーションの設定や脆弱性の監視もサポートする。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。