Azure Lighthouse と Azure Sentinel を使用した、スケーラブルなセキュリティ プラクティスの構築

2020年9月16日 に投稿済み

Senior Program Manager, Cloud + Enterprise

マイクロソフトでは、サービス プロバイダー パートナーや企業のお客様が Azure を適切に運用できるよう投資していますが、その内容をご紹介するべく、Microsoft Azure Lighthouse 製品グループでは、Azure Lighthouse のブログ シリーズを開始することになりわくわくしています。このシリーズの最初のブログでは、世界中の企業にとって考慮すべき最も重要な領域であるセキュリティについて取り上げ、Azure Lighthouse と Microsoft Azure Sentinel の併用によって、いかに効率的でスケーラブルなセキュリティ プラクティスを構築できるかを重点的に説明します。

今日では、あらゆる規模の組織が、セキュリティ操作のコストと複雑性を削減し、効率を高めることに関心を寄せています。こうした要件を満たすのに役立つものとして、クラウド セキュリティ ソリューションは、柔軟性、単純性、従量制課金、自動的なスケーラビリティ、異種環境間での保護に対応しているため、ますます多くの企業がクラウド セキュリティ ソリューションを採用しています。

効率の向上は今まさに必要なことですが、同時に組織は市場でのセキュリティ専門家不足という問題にも直面しています。この状況は、サービス プロバイダーにとっては莫大な可能性をもたらします。このギャップを埋めるために、セキュリティ サービスを構築し、このサービスをクラウド セキュリティ ソリューションに加えて提供することができます。この件について詳しく検討する前に、まずは Azure Lighthouse と Azure Sentinel について簡単に説明します。

Azure Lighthouse は、サービス プロバイダーや大企業における複数の顧客や個々の子会社の環境管理を支援します。Azure Lighthouse を使用することで、単一の集中コントロール プレーンからさまざまな環境を大規模に管理することができます。Inspire での Azure Lighthouse の発表以来、Azure Lighthouse は、サービス プロバイダーと企業の両方で広く採用されており、異種の複数の環境にわたって何百万もの Azure リソースが大規模に管理されています。

Azure Sentinel は、マイクロソフトが提供する、クラウド ネイティブ型のセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。このソリューションでは、Azure サービスや Microsoft 365 サービスのデータや、その他のクラウド、ファイアウォール、パートナーのセキュリティ ツールなどのハイブリッド環境からのデータも含めて、企業全体のセキュリティ データを大規模に収集することができます。また Azure Sentinel では、組み込みの AI と高度なクエリ機能を通じて、脅威の検出、調査、脅威への対応、脅威の軽減が効率的に行われます。

それでは、この両方のサービスを組み合わせて使用することによって、いかにスケーラブルなセキュリティ プラクティスを設計できるか確認しましょう。

サービス プロバイダーの複数の顧客環境にわたるセキュリティ プラクティスの構築、または組織のすべての個別子会社におけるセキュリティ操作の一元的な監視および管理を容易化するセキュリティ プラクティスの構築を開始するには、分散デプロイおよび集中管理モデルを使用することをお勧めします。このモデルで、顧客または子会社に属するテナント内に Azure Sentinel ワークスペースをデプロイし (データは顧客または個別子会社の環境内にローカルに保持)、サービス プロバイダーのテナント、または組織内のセキュリティ オペレーション センター (SOC) 中央ユニットのテナントから Azure Sentinel ワークスペースを集中管理します。

それにより、Azure Lighthouse の機能を活用して、中央の管理テナントから、管理対象のテナント内にある Azure Sentinel ワークスペースを管理し、ワークスペースに対してセキュリティ操作を実行できます。このモデルと、特定のシナリオへの適用性の詳細については、「ワークスペースおよびテナント全体での Azure Sentinel の拡張」を参照してください。

これらのワークスペースの大規模なデプロイおよび構成に対応するために、Azure Sentinel と Azure Lighthouse はどちらも強力な自動化機能を備えており、複数のテナントにわたって CI/CD パイプライン (英語) とともにこの自動化を効果的に使用できます。ロンドンに拠点を置くマネージド セキュリティ サービス プロバイダーであり、マイクロソフトのパートナーである ITCSecure は、次のように述べています。

「お客様の環境に代理アクセスする Azure Lighthouse の機能と、Azure Lighthouse と Azure Sentinel の強力な自動化機能を通じて、共通の一連の自動化を活用して Azure Sentinel をデプロイできるようになりました。実質的に、クエリや分析ルールのような既存のコンテンツを使って Azure Sentinel を構成することができます。その結果、お客様のオンボーディング時間が大幅に短縮され、提供までの期間も数か月から数週間に、一部のシナリオでは数時間に短縮されました。おかげで、当社はオンボーディング プロセスおよびプラクティスをきわめて大規模に実行できるようになり、またお客様はより迅速に投資を回収できるようになっています。Azure Lighthouse によって、お客様側からの透明性と可視性も向上しました。お客様は実施された作業をはっきりと確認することができます。お客様の複数のサブスクリプション全体でのクエリの実行やブックの適用も、お客様の複数のテナントでのプレイブックのデプロイも、すべて一元管理できるため、サービス提供の全体的な速度がさらに高まっています」— ITC Secure の最高責任者、Arno Robbertse 氏

テナント間クエリを使用した脅威の検出と調査

クエリを実行して脅威を検索し、次のステップとして脅威を調査することは、SOC アナリストの職務の重要な要素の 1 つです。Azure Lighthouse を使用することで、Log Analytics クエリや検出クエリを中央の管理テナント (サービス プロバイダーの IP を維持) にデプロイし、union 演算子と workspace 式を使って、複数の管理対象テナント全体でこれらのクエリを実行できます。

複数の顧客環境全体でのデータの視覚化と監視

複数のテナントにわたって効果があるもう 1 つのテクノロジとして、Azure Sentinel のダッシュボード テクノロジである Azure Monitor ブックがあります。要件に応じて、管理テナントと管理対象テナントのどちらにブックをデプロイするかを選択できます。管理テナントにブックをデプロイした場合、ブック内にマルチワークスペース セレクターを追加する (まだこのセレクターが組み込まれていない場合) ことによって、複数のワークスペースや、必要に応じて複数の顧客/子会社にわたって、データを視覚化して監視することができ、また本質的にデータの洞察を取得できます。

プレイブックを使用した自動対応

セキュリティ プレイブックを使用して、アラートがトリガーされたときに軽減措置を自動的に実行することができます。プレイブックは、管理テナントと、管理対象の個別テナントのどちらにもデプロイでき、どのテナントのユーザーがセキュリティの脅威に対応する措置をとる必要があるかに基づいて対応手順を構成します。

オランダに拠点を置くマネージド サービス プロバイダーであり、マイクロソフトのパートナーである Xcellent は、Azure Sentinel と Azure Lighthouse を利用した集中セキュリティ ソリューションへのアクセスを通じて、複数の顧客テナントにわたる各種 Microsoft 365 コンポーネントの監視を容易化しています。対応管理と顧客ベースに対するクエリの実行も効率化されました。それにより、Xcellent の標準対応時間は 45 分未満にまで短縮され、チームは顧客用により事前対処的なセキュリティ ソリューションを作成することができました。

テナント間インシデント管理

複数のワークスペースのインシデント ビューは、Azure Lighthouse を通じて、複数の Azure Sentine ワークスペース、および Azure Active Directory (Azure AD) テナントにわたるインシデントの監視と管理の一元化を促進します。この一元的なインシデント ビューでは、インシデントを直接管理したり、発生元のワークスペースのコンテキストでインシデントの詳細に透過的にドリルダウンしたりすることができます。

開始に役立つリソース

Azure Lighthouse は Azure Sentinel の強力なセキュリティ機能を拡張し、単一のインターフェイスからのセキュリティ操作の一元的な監視および管理や、Azure の複数のテナントおよび顧客にわたる大規模なセキュリティ操作の効率的な実行を支援します。

開始に役立つ次のリソースがあります。