企業全体のセキュリティをインテリジェントに分析する Microsoft Azure Sentinel の概要

2019年2月28日 に投稿済み

Director of Product Management, Microsoft Azure Sentinel

セキュリティは終わりのない物語となる可能性があります。現在のセキュリティ情報イベント管理 (SIEM) 製品では対応できない、ますます高度になる攻撃、アラートの量、長い解決期間の年代記です。

SecOps チームには大量のアラートが殺到し、インフラストラクチャの設定やメンテナンスなどのタスクには時間がかかりすぎます。その結果、多くの本当の脅威が見過ごされます。2021 年までに 3.5M 人のセキュリティ プロフェショナルが不足すると予測されているので、セキュリティ運用チームの課題はさらに増えます。既存の SecOps チームが脅威をより明確に確認できるようにし、注意散漫を排除するソリューションが必要です。

そのため、私たちは SIEM ツールを Microsoft Azure Sentinel という新しいクラウドネイティブ ソリューションとして再考しました。Azure Sentinel は、企業全体にクラウド スケールのインテリジェントなセキュリティ分析を提供します。Azure Sentinel により、任意のクラウド上のデバイスからユーザー、アプリ、サーバーまで、ハイブリッド組織全体にわたってセキュリティ データを簡単に収集できるようになります。  人工知能の能力を使用して現実の脅威をすばやく識別できるようにし、インフラストラクチャの設定、メンテナンス、スケーリングに時間を費やす必要をなくすことでユーザーを従来の SIEM の負担から解放します。Azure の上に構築されているので、ほぼ制限のないクラウド スケールと、セキュリティ ニーズに対応できる速度が実現されます。従来の SIEM は所有と運用のコストが高いことも実証されており、多くの場合、事前のコミットが必要で、インフラストラクチャのメンテナンスとデータ インジェストに高いコストがかかります。Azure Sentinel では事前のコストが不要で、使用する分に対しての支払いになります。

多くの企業が Office 365 を使用しており、Microsoft 365 に含まれる高度なセキュリティとコンプライアンス認証の採用が増えています。ユーザーとエンド ポイント アプリケーションからのセキュリティ データを、インフラストラクチャ環境からの情報やサードパーティのデータと組み合わせて完全な攻撃を把握したいケースが数多くあります。

このすべてを単一のクラウド プロバイダーのコンプライアンス境界内で行うことができれば理想的です。マイクロソフトは本日、Office 365 のアクティビティ データを Azure Sentinel に無料で取り込むことができると発表しています。数回クリックするだけで、Microsoft クラウド内にデータを保持できます。

「Microsoft Azure Sentinel によって、当社顧客の主要な SIEM 状況の課題によりうまく対処でき、データの保存場所と GDPR の考慮事項を簡略化できます。」

Accenture、グローバル セキュリティ コンサルティング プラクティス リード、Andrew Winkelmann 氏

Azure Sentinel の概要ダッシュボード

クラウドネイティブ セキュリティの運用の提供に Azure Sentinel がどのように役立つかを見てみましょう。

企業全体のデータを簡単に収集できる – Azure Sentinel では、組み込みコネクタ、Microsoft シグナルのネイティブ統合、および共通イベント形式や Syslog などの業界標準のログ形式のサポートを使用してすべてのセキュリティ データを集約できます。数回クリックするだけで、Microsoft Office 365 データを無料でインポートし、解析のために他のセキュリティ データと結合できます。Azure Sentinel では、毎日 10 ペタバイト以上を取り込む実証されたスケーラブルなログ分析データベースの上に構築された Azure Monitor を使用し、100 万レコードを数秒でソートできる非常に高速なクエリ エンジンを提供します。

Microsoft インテリジェント セキュリティ アソシエーションで多くのパートナーとのコラボレーションを続けます。Azure Sentinel では、Palo Alto Networks、F5、Symantec、Fortinet、Check Point などの一般的なソリューションが、今後登場する多くのものに接続されます。Azure Sentinel は Microsoft Graph Security API とも統合され、独自の脅威インテリジェンス フィードのインポートと、脅威検出および警告ルールのカスタマイズを行えるようになります。特定のユースケース用に最適化されたビューを提供するカスタム ダッシュボードがあります。

Palo Alto Networks の SaaS、仮想化およびクラウド配信セキュリティ担当上級副社長である Adam Geller 氏は、次のように述べています。「当社は、マイクロソフトとの間で進行中のコラボレーションと、より優れたセキュリティ オーケストレーションを提携企業に提供するために行っている作業に満足しています。この最新の統合により、顧客は物理的および仮想化された次世代ファイアウォール ログを Azure Sentinel に転送し、カスタム ダッシュボードと人工知能を使用して潜在的なセキュリティ インシデントを迅速に発見できます。Palo Alto Networks の顧客は、MineMeld と Microsoft Graph Security API 間の新しい統合を介して、AutoFocus やその他のサードパーティ脅威インテリジェンスを Azure Sentinel に拡張することもできます」

ユーザー側で AI を使用して脅威を迅速に分析および検出する – セキュリティ アナリストは、多数のアラートから取捨選択するときのトリアージによる大きな負担に直面しており、従来の関連付けエンジンを使用するか手動でさまざまな製品からのアラートを関連付けます。そのため、Azure Sentinel では、最新のスケーラブルな機械学習アルゴリズムを使用して、信頼度の低い数百万の異常を関連付けて、信頼度の高い少数のセキュリティ インシデントをアナリストに提示します。ML テクノロジは、取り込んでいる大量のセキュリティ データから価値を迅速に取得し、結論を導き出すのに役立ちます。たとえば、クラウド アプリケーション内にランサムウェアを展開するために使用された、侵害されたアカウントをすばやく確認できます。これにより、ノイズを大幅に減らすことができます。実際に、評価中のアラート疲労で最大 90 パーセントの全体的な削減が見られました。早期導入者には、AI を使用した脅威の検出のベネフィットがあります。New Signature の CTO である Reed M. Wiedower 氏は次のように述べています。「Azure Sentinel はインフラストラクチャの多くの異なる部分にわたる分析情報を生成できるので、私たちはそこに莫大な価値を見出しています。」

これらの組み込み機械学習モデルは、何年にもわたってお客様のクラウド資産を防御してきた Microsoft セキュリティ チームの知識に基づいています。これらのベネフィットを活用するためにデータ サイエンティストである必要はなく、オンにするだけ使用できます。もちろん、検出のカスタマイズや強化を望むデータ サイエンティストの場合は、組み込みの Azure Machine Learning service を使用して独自のモデルを Azure Sentinel に取り込むことができます。さらに、Azure Sentinel は、他のソースと組み合わせることのできる Microsoft 365 セキュリティ製品からのユーザー アクティビティや行動データに接続して、全体的な攻撃シーケンスを可視化できます。

疑わしいアクティビティを調査および捜索する – グラフィカルな AI ベースの調査により、攻撃のスコープ全体とその影響を把握するためにかかる時間が短縮されます。攻撃を視覚化し、同じダッシュボード内でアクションをすばやく実行できます。  

グラフィカルな AI ベースの調査のワークフロー

疑わしいアクティビティのプロアクティブな捜索も、セキュリティ アナリストにとって重要なタスクです。多くの場合、SecOps がデータを収集して分析するプロセスは、自動化できる反復可能なプロセスです。現在、Azure Sentinel は、捜索クエリと Jupyter Notebook に基づく Azure Notebooks を作成することで、解析を自動化できる 2 つの機能を提供します。マイクロソフトのインシデント対応および脅威分析チームによって実行されるプロアクティブな捜索に基づく一連のクエリと Azure Notebooks を開発しました。脅威の状況は進化するので、クエリと Azure Notebooks も進化します。新しいクエリと Azure Notebooks は Azure Sentinel GitHub コミュニティを介して提供されます。

共通タスクと脅威への対応を自動化する – AI は問題の検索の焦点をシャープにしますが、問題を解決した後は、同じ問題を何度も見つけるのではなく、それらの問題への対応を自動化する必要があります。Azure Sentinel には、事前定義済みまたはカスタムのプレイブックを使用した組み込みの自動化とオーケストレーションが用意されおり、これによって反復的なタスクを解決し、脅威に迅速に対応します。Azure Sentinel により、業界屈指のセキュリティ製品、自社製ツール、および HR 管理アプリケーションなどのその他のシステムと ServiceNow などのワークフロー管理システムを含む既存のエンタープライズ防御および調査ツールが強化されます。

Azure Sentinel 内の事前定義済みまたはカスタム プレイブックを使用した組み込みの自動化

毎日 6.5 兆個以上のシグナルと数十年にわたるクラウド スケールでのセキュリティに関する知識を分析することで情報を把握する Microsoft の類を見ない脅威インテリジェンスは、セキュリティ運用の最新化に役立ちます。

「Azure Sentinel では、顧客がセキュリティ運用を簡略化し、成長に応じてスケーリングするために役立つプロアクティブおよびレスポンシブなクラウドネイティブ SIEM が提供されます」

Insight Enterprises、クラウド セキュリティ アーキテクト、Richard Diver 氏

セキュリティは、必ずしも終わりのない物語ではありません。代わりに、クラウドと大規模なインテリジェンスを利用しましょう。人工知能を使用して、脅威からの保護をよりスマートかつ迅速に行います。Microsoft Office 365 データをインポートして無料のセキュリティ分析を行いましょう。Microsoft Azure Sentinel の概要。

Microsoft Azure Sentinel は現在プレビュー段階で、Azure portal で利用できます。