• 4 分

Microsoft Sentinel は、クラウドとオンプレミスの環境でセキュリティ操作を行うためのソリューションです。

次のことを行う必要がある場合に Microsoft Sentinel を使用します。

• さまざまなソースからイベント データを収集する。
• そのデータに対してセキュリティ操作を実行し、疑わしいアクティビティを特定する。

セキュリティ操作には次のようなものがあります。

• ログ データの視覚化
• 異常検出
• 脅威の捜索
• セキュリティ インシデントの調査
• アラートやインシデントへの自動応答

Microsoft Sentinel からは他に、自分に適しているかどうかを判断するのに役立つ次のような機能が提供されています。

• クラウドネイティブ SIEM: プロビジョニングするサーバーがないため、簡単にスケーリングできます
• Azure Logic Apps サービスと、その数百のコネクタが統合されています
• Microsoft Research および機械学習のベネフィットがあります
• 主なログ ソースが無料で提供されています
• ハイブリッド クラウドおよびオンプレミス環境がサポートされています
• SIEM とデータ レイクが一体化されています

あなたが Microsoft Sentinel の調査を始めたとき、組織には明確な要件がいくつかありました。

• 複数のクラウド環境からのデータのサポート
• 管理オーバーヘッドが過剰になることのない、セキュリティオペレーションセンター (SOC) に必要な機能

Microsoft Sentinel がよく適していることがわかりました。 それを使用すると、Syslog、アマゾン ウェブ サービス (AWS)、その他のソースに対するデータ コネクタと、サーバーをプロビジョニングせずに簡単にスケーリングする機能が提供されます。 分析の間に、組織では SOC 戦略の重要な部分を自動化する必要があることもわかりました。 それまで組織として自動化を検討したことはありませんでしたが、これからは自動プレイブックの使用について調査します。

パフォーマンス監視のためにインフラストラクチャまたはアプリケーションのログを収集する場合は、その目的に Azure Monitor と Azure Log Analytics を使用することも検討します。

そしておそらく、環境のセキュリティ体制を理解し、ポリシーに準拠していることを確認し、セキュリティに関する構成の不備を調べる必要があります。 その場合は、Microsoft Defender for Cloud の使用も検討してください。 Microsoft Sentinel 用のデータコネクタとして、Defender for Cloud アラートを取り込むことができます。