• 6 分

まずはいくつかの定義と、"セキュリティ情報イベント管理" (SIEM) システムおよび Microsoft Sentinel について見ていきましょう。

セキュリティ情報イベント管理 (SIEM) とは

SIEM システムは、組織がコンピューター システムでのセキュリティ操作を収集、分析、実行するために使用するツールです。 それらのシステムには、ハードウェア アプライアンス、アプリケーション、またはその両方を使用できます。

最も簡単な形式の SIEM システムを使用すると、次のことができます。

• ログの収集とクエリを実行します。
• 何らかの形式の関連付けまたは異常検出を行います。
• 結果に基づいてアラートとインシデントを作成します。

SIEM システムには、次のような機能が用意されている場合があります。

• ログ管理: 環境内のリソースからのログ データの収集、格納、クエリを実行する機能。

• アラート: ログ データ内での潜在的なセキュリティ インシデントと異常の事前確認。

• 視覚化: ログ データについての視覚的な分析情報を提供するグラフとダッシュボード。

• インシデント管理: 特定されたインシデントの作成、更新、割り当て、調査を行う機能。

• データのクエリ: データのクエリと理解に使用できる、ログ管理用のものに似た豊富なクエリ言語。

Microsoft Sentinel とは

Microsoft Sentinel はクラウドネイティブの SIEM システムであり、セキュリティ運用チームはそれを使用して次のことができます。

• 実質的にあらゆるソースからデータを収集することで、企業全体のセキュリティに関する分析情報を得る。
• 組み込まれている機械学習と Microsoft 脅威インテリジェンスを使用して、脅威を速やかに検出して調査する。
• プレイブックを使用し、Azure Logic Apps を統合することにより、脅威対応を自動化する。

従来の SIEM ソリューションとは異なり、Microsoft Sentinel を実行するために、オンプレミスやクラウドにサーバーをインストールする必要はありません。 Microsoft Sentinel は、Azure にデプロイするサービスです。 Azure portal で、Sentinel をほんの数分で稼働させることができます。

Microsoft Sentinel は、他のクラウド サービスと緊密に統合されます。 ログをすばやく取り込むことができるだけでなく、他のクラウド サービス (承認や自動化など) をネイティブに使用することもできます。

Microsoft Sentinel は、収集、検出、調査、応答など、エンドツーエンドのセキュリティ操作を有効にするのに役立ちます。

Microsoft Sentinel の主なコンポーネントを見てみましょう。