Microsoft Sentinelとは?主な機能、料金計算と導入について
近年、サイバー攻撃の高度化や監視するログ量の増加などの課題により、膨大なログの中からサイバー攻撃を検知することの難易度が高くなっています。そんな中で注目されるのが、クラウドネイティブSIEM製品となっています。
今回はその中でもMicrosoft Sentinelについて、説明していきたいと思います。
Microsoft Sentinelとは?
Microsoft Sentinelとは?(旧Azure Sentinelとは)
Microsoft Sentinelとは、Microsoft社が提供するクラウドネイティブなSIEM製品であり、機械学習を活用した高度な脅威検知と効率的なセキュリティ運用を実現できます。 様々な製品からログを集約する「SIEM」機能だけでなく、異常検知後の対応を自動化する「SOAR」機能や、普段と異なる行動を検知する「UBEA」機能も含まれており、様々な相乗効果を発揮します。
これらの機能により、企業が抱える 脅威の高度化・セキュリティ運用の複雑化・IT人材の不足 などの課題を解決します。
Sentinelの情報収集をされている方の中には、「Azure Sentinel」といった記載を見たことがあるかもしれません。
これは「Microsoft Sentinel」の旧名称となっており、旧:Azure Sentinel 現:Microsoft Sentinel というだけの同一製品となります。
※「Azure」がMicrosoft社の提供するクラウドプラットフォームの名称なので、クラウド製品とオンプレミス製品の2つあるように思うこともありますが、あくまで名称が変わっただけであり、Sentinelはクラウド製品しかありません。
【サービス紹介資料】
Microsoft Sentinelの製品概要をわかりやすく解説した後、弊社が提供するMicrosoft Sentinel活用支援サービスの詳細についてご紹介している資料です。
お気軽にダウンロードください。
Microsoft Sentinelの対応製品一覧
Sentinelは様々な製品のログ取り込みが可能となっており、取り込んだログをLog Analyticsに格納します。Microsoft製品の一部ログは無料で取り込むことが出来ますが、基本的にログを取り込む際に料金が発生します。
もちろんMicorosoft製品以外のログも取り込むことが可能ですが、製品に応じてログの取り込み方法が異なります。 取り込み方法としては、広く使われている製品(Microsoft、AWS、cisco、Palo等)であれば簡単に取り込むことができ、企業独自の製品などは取り込みに手間がかかるイメージです。
Microsoft Sentinelでできること・主な機能
Sentinelには「クラウドネイティブSIEM」「SOAR」「UEBA」の3つの機能を持ちますが、それぞれの機能についてもう少し詳しく説明していきたいと思います。
クラウドネイティブSIEM機能
Sentinelの最も代表的な機能はSIEMです。昨今はオンプレミスからクラウドまで様々な製品を利用している企業が多いですが、一方でこれらのログをそれぞれで監視しながら脅威に備えることは非常に手間のかかる作業になっています。
それに対してSIEMでは、エンドポイントからクラウドリソースまで様々な製品のログを一元的に収集できます。これにより、1つの管理コンソールから様々な製品のログを管理することができ、管理負荷の軽減や製品を横断したログ分析が可能となります。
また、Sentinelはクラウドネイティブな製品のため、オンプレミスでのスケールアウトに比べて簡単にスケールアウトが可能であり、ログ量の増加にも柔軟に対応することが可能です。
SOAR機能
SIEM製品の多くはSOAR機能も共に提供しており、統合セキュリティプラットフォームと呼ばれることもあります。
Sentinelもその1つであり、SIEMが収集したログからアラートやインシデントが発生すると、SOARによって対応を自動化することができます。一連の対応はカスタマイズも可能となっており、管理者への通知や端末の隔離、アカウントの無効化など様々な対応が可能です。
UEBA機能
Sentinelのログ分析機能には、UEBAというユーザーやエンティティの行動を継続的に監視することで、機械学習によって普段と違う異常な行動を検知する高度な検知機能があります。これにより、ユーザーやデバイスが乗っ取られ内部から攻撃を行う場合にも、異常な行動として検知が可能であり、単純なログの情報だけでは見抜けない脅威に対する対策を実施することができます。
【サービス紹介資料】
Microsoft Sentinelの製品概要をわかりやすく解説した後、弊社が提供するMicrosoft Sentinel活用支援サービスの詳細についてご紹介している資料です。
お気軽にダウンロードください。
Microsoft Sentinelの導入メリット
なぜSIEM・SOAR・UEBAが必要とされるのか、
前述のとおり、SentinelにはSIEM・SOAR・UEBAの様々な機能が含まれていますが、これらの相乗効果によって最も実現したいことが高度な脅威への対策です。昨今、技術が急速に進化していくことで、サイバー攻撃もより高度なものになってきています。そのため、攻撃手法も複雑化しており、セキュリティ対策製品に検知のされないような攻撃や、攻撃が成功し企業のネットワークへ侵入してから被害が発生するまでの時間が短いなどの問題があります。
これらの問題に対応するためにもSIEM・SOAR・UEBAの3つの機能である、SIEMの様々な製品ログの一元的集約による検知範囲の拡大、SOARの検知後反応の自動化による対応の迅速化、UEBAの不審な行動検知による被害が発生する前の検知を掛け合わせることが重要となります。1つ1つの機能も強力な脅威対策ですが、これらを掛け合わせることで、広範囲のログを高度な検知機能を持って監視し、日々発生する膨大なアラートやインシデントは自動対応で迅速に対応して効率的なセキュリティ運用を実現できます。
Microsoft Sentinelを導入するメリット
様々なSIEM製品がある中で、Microsoft Sentinelを選ぶメリットは何でしょうか。
1番大きなメリットは、Microsoft社が提供する他の製品との連携や互換性の高さと、それによるコスト軽減です。
Microsoft社が提供するセキュリティ製品には、Sentinelの他にもMicrosoft Defenderというエンドポイント、メール、ID、クラウドなどの防御を行う様々なセキュリティ製品があります。これらは、Sentinelと別のポータルにてアラートやインシデントの管理を行っていますが、Sentinelとの連携により管理状況を同期することができ、アラートやインシデントの管理が重複しないようにできます。
また、ログの取り込みについても、Microsoft製品のログは簡単に取り込むことができる上に、Microsoft 365 E5といったMicrosoft製品を広く使用するためのライセンスなどがあれば、無料で取り込めるログの種類が増えることでコスト軽減も可能となります。
こうしたメリットは導入前だと一見大したことがないように見える方もいらっしゃるかと思いますが、実際に導入してみると互換性や連携がないことによる苦労が絶えないことも多く、導入後に初めて重要な要素だと気付けるようなメリットにもなっています。
Microsoft Sentinelの料金計算について
Sentinelの導入には構築・運用でそれぞれ費用が掛かります。構築時は主に作業工数、運用時は主にログ量によって費用が変動します。ここでは、費用に影響を与える要素をいくつかピックアップして紹介したいと思います。
構築費用に影響ある要素
- ログを取り込む製品数
ログの取り込みには製品とSentinelの間にログ転送経路を構築する必要があります。
ログ転送経路の中でも、データコネクタやAzure Monitor Agentであれば比較的作業工数が少なく済みますが、カスタムコネクタを作成する場合には1からの作成となることも多く、作業工数が多くかかり構築費用が高くなることがあります。
そのため、事前にログ取り込みが必要な製品を絞り込むことで、構築やその後の運用費用を抑えることが可能です。 - 検知ルール
広く利用されている製品であれば、メーカー推奨の一般的事象をまとめた検知ルールが用意されているため、データコネクタ同様に作業工数が少なく済みます。ただし、独自のルールで検知したい事象がある場合や、独自の製品を用いている場合には、カスタム検知ルールを作成する必要があるため、構築費用が高くなることがあります。 - 自動化のカスタマイズ
検知後対応を自動化する際、自動化する内容をカスタマイズして作成する必要があります。自動化したい項目が多くあったり複雑である場合には、作成にも作業工数が多く必要になるため構築費用への影響度が高くなることがあります。こちらの自動化(SOAR機能)については、Sentinelの導入自体に必須な機能ではないため、Sentinel導入が完了した後に追加で作成することもあります。
運用料金に影響ある要素
- ログ量
対応製品の説明で記載したとおり、一部のMicrosoft製品のログに関しては取り込みが無料ですが、基本的にはログの取り込みに料金が掛かります。例えば、従業員やシステムの数、取得するログの種類が多い程、取り込むログの量が多くなり料金が大きくなります。
これらの料金については基本的に従量課金制ですが、1日あたりに取り込むログの量を事前に決めて固定料金とすることで料金を抑えることができる、コミットメントレベルというプランもあります。そのため、利用料金が高くならないように事前に取得するログ量を十分に検討しておくことが重要です。 - 保持期間
取り込んだログは分析ログとしてワークスペース上に90日間無料で保持することが可能です。それ以降はログ量に応じて料金がかかりますが、分析ログとして最長2年、アーカイブ用ログとして最長12年間の長期保持が可能となります。アーカイブ用ログや補助ログとしてワークスペース上で保持しておけば、分析ログと比較して料金を抑えることが可能です。また、ワークスペース上保持する以外にも外部ストレージに保管することで、別途構築が必要にはなりますが12年を超えてさらに長期保持することも可能であり、料金を抑えることも可能です。
TISのMicrosoft Sentinel導入・運用サービス
今回紹介したMicrosoft Sentinelは、TISでも「導入コンサル」から、実際に導入する際の「導入支援」、導入後の「運用(SOC)」といった幅広いサービス展開をしております。
詳しいサービス内容は以下リンクに掲載しておりますので、ぜひ一度ご覧いただければと思います。
Microsoft Sentinel向け活用サービス
TISが提供するSentinelサービスの特徴や導入ステップについて記載されておりますので、導入検討されている方にお勧めです。
https://www.tis.jp/service_solution/microsoftazure/azuresentinel/
【サービスメニュー】
TISが提供するSentinelサービスメニューが記載されており、「導入コンサル」「導入支援」「運用(SOC)」では実際にどのようなことを行うのか、ダウンロード資料も踏まえて説明しておりますので、さらに詳しくサービス内容を確認したい方にお勧めです。
https://www.tis.jp/service_solution/microsoftazure/azuresentinel/menu/
【サービス紹介資料】
Microsoft Sentinelの製品概要をわかりやすく解説した後、弊社が提供するMicrosoft Sentinel活用支援サービスの詳細についてご紹介している資料です。
お気軽にダウンロードください。