Azure Sentinel の一般提供:クラウドにおいて再定義される最新の SIEM

2019年9月26日 に投稿済み

Director, Cloud+AI Security

今週の前半に、Azure Sentinel が一般提供されるようになったことをお知らせしました。これは、クラウドの時代におけるセキュリティ情報イベント管理 (SIEM) を再定義するという私たちの取り組みにとって、重要なマイルストーンとなります。Azure Sentinel を利用すると、世界中のエンタープライズはセキュリティ データの急激な増加に対応し、分析のためのリソースを追加することなくセキュリティ面での成果を改善し、ハードウェアのコストや運用コストを削減することができます。

プレビュー期間中の 12,000 を超える試用からのフィードバックを含む、お客様やパートナーからの支援のおかげで、Azure Sentinel は Azure と AI の力を結合することができ、セキュリティ オペレーション センターにおいてさらに多くのことを実現できるように支援します。今週、多くの新しい機能がオンラインで提供されるようになります。そのうちのいくつかをここでご紹介いたします。

ほぼ無限のセキュリティ データの収集と分析

Microsoft は、Azure Sentinel により、エンタープライズ全体のセキュリティを改善することを目指しています。多くの Microsoft のデータ ソースと Microsoft 以外のデータ ソースが適切に組み込まれており、それらはシングル クリックで有効にできます。Cloud App Security と Information Protection などの Microsoft のサービスのための新しいコネクタが、増加を続けるサードパーティのコネクタ一覧に加えられているため、お客様のデジタル資産全体からデータを取り込み、分析することがこれまで以上に容易になります。

Workbooks では豊富な視覚化のオプションを活用して、データの分析情報を得ることができます。既存のワークブックを使用または修正したり、独自のワークブックを作成したりすることができます。

画像

脅威を検出するための、機械学習を含む分析の適用

お客様は、100 以上の組み込みのアラート ルールから選択するか、新しいアラート ウィザードを使用して独自のルールを作成することができるようになりました。アラートは、単一イベントにより、もしくはしきい値に基づいてトリガーするか、または異なるデータセット (脅威インジケーターに一致するイベントなど) を関連付けるか、組み込みの機械学習アルゴリズムを使用することによりトリガーすることができます。

画像

複雑な操作を必要とせずに AI の利点をお客様に提供する、2 つの新しい機械学習アプローチをプレビューとして提供します。1 つ目は、不正な SSH アクセスを検出するために Microsoft ID サービス全体で疑わしいログインを特定する、すぐに使える実証済みの機械学習モデルです。既存の機械学習モデルから取り込んだ学習内容を活用することにより、Azure Sentinel は単一のデータセットから異常を正確に検出することができます。さらに、fusion と呼ばれる機械学習の手法を使用して、Azure AD の異常なログインや疑わしい Office 365 のアクティビティなど、複数のソースからのデータを結合し、キル チェーン上の様々なポイントで発生する 35 の異なる脅威を検出します。

脅威ハンティング、インシデント調査、応答を促進する

セキュリティ オペレーション センターにとって、プロアクティブな脅威ハンティングは重要であると同時に時間のかかるタスクです。Azure Sentinel には、Jupyter Notebook で使用できるハンティング クエリ、探索的クエリ、Python ライブラリを含む、増加を続けるコレクションを特徴とする豊富なハンティングのためのインターフェイスが備わっており、ハンティングが容易になります。これらを使用して目的のイベントを特定したり、後で参照できるようにイベントをブックマークしたりできます。

画像

インシデント (以前はケースと呼ばれていた) には、さらなる調査を必要とする 1 つ以上のアラートが含まれます。インシデントでは、タグ付け、コメント、割り当てがサポートされるようになりました。新しいルール ウィザードでは、どの Microsoft アラートがインシデントの作成をトリガーするかを決めることができます。

画像

新しい調査グラフ プレビューを使用すると、ユーザー、アセット、アプリケーション、URL などのエンティティと、ログイン、データ転送、アプリケーションの使用などの関連する活動との間のつながりを視覚化および追跡して、インシデントの範囲や影響を迅速に理解することができます。

画像

新しいアクションとプレイブックでは、Azure Logic Apps を使用して、インシデントの自動化と修復のプロセスが簡略化されています。メールを送信することにより、ユーザー アクションを検証し、インシデントに位置情報データを追加し、疑わしいユーザーをブロックし、Windows マシンを分離します。

画像

Microsoft とコミュニティ メンバーの専門知識を基にして構築

Azure Sentinel GitHub リポジトリには、400 を超える検出、探索、ハンティング用クエリに加えて、Azure Notebooks サンプルと関連する Python ライブラリ、プレイブック サンプル、パーサーが含まれています。これらの大部分は、MSTIC のセキュリティ研究者たちが、自分たちの膨大なグローバルでのセキュリティ エクスペリエンスと脅威インテリジェンスに基づいて開発したものです。

画像

マネージド セキュリティ サービス プロバイダーおよび複雑なカスタマー インスタンスのサポート

Azure Sentinel では、Azure Lighthouse と連携することにより、お客様やマネージド セキュリティ サービス プロバイダー (MSSP) が、テナント間を移動することなく Azure Sentinel で複数のテナントを確認できます。Microsoft はパートナーと緊密に協力し、最新の SIEM への要件を満たすソリューションを開発しました。 

世界最大規模の MSSP の 1 つである DXC Technology は、この設計におけるパートナーシップの好例です。

DXC 社でシニア バイス プレジデント兼セキュリティ担当ゼネラル マネージャーを務める Mark Hughes 氏は、「Microsoft との戦略的なパートナーシップにより、また Microsoft Security Partner Advisory Council のメンバーとして、DXC は Azure Sentinel を、顧客に提供するサイバー防御ソリューションやインテリジェント セキュリティ オペレーションに統合し、展開します」と述べています。「私たちの統合されたソリューションは、クラウド ネイティブの機能と Azure Sentinel の資産を活用して大規模なセキュリティ インシデントを調整および自動化することにより、セキュリティの専門家が優先度の高いインシデントや脅威のフォレンジック調査に集中できるようします」

開始する

使い始めるのは簡単です。お客様は、優れたドキュメントや Yammer、メールによる問い合わせなど、多くの役立つ情報を活用することができます。

9 月 26 日木曜日の午前 10:00 (太平洋時間) に始まるウェビナーに参加してこれらのイノベーションについてさらに知り、以前には発見できなかった脅威を Azure Sentinel が検出した実際の例をご覧ください。

今後の展望

Azure Sentinel は将来のための SOC プラットフォームであり、現代の複雑な世界におけるセキュリティ ニーズをさらに満たせるようにするため、進化を続けます。つながりましょう: