「Microsoft Sentinelを利用してセキュリティ強化をしたい」
当記事をお読みの方は上記の考えをお持ちではないでしょうか。当記事ではMicrosoft Sentinelの概要や機能、料金について詳細に解説します。また、実戦に即した使い方もお伝えしていますので、ぜひ参考にしてください。
Microsoft Sentinelとは?
Microsoft Sentinelとはクラウド型のセキュリティサービスです。クラウド型のため、需要に応じた性能の増減や、アクセス性の高さを実現しています。この項で、本サービスの基本概念を理解しましょう。
Microsoft Sentinelの基本概念
本サービスはMicrosoftが提供するクラウド型セキュリティサービスであり、「SIEM」と「SOAR」の機能を備えています。
SIEMはネットワークやサーバーなどから収集したセキュリティに関する情報やイベントを管理・分析し、異常を発見した場合、管理者へアラート通知する機能です。SIEMが収集した情報を分析し、管理者が必要な対処の洞察を得ることでセキュリティ対策の方針を決めることができます。
SOARは、セキュリティ運用の自動化を実現するための技術およびプラットフォームです。利用するサービスとSOARを連携させることで、添付ファイルの解析や、マルウェア感染時の端末のネットワーク切断など、セキュリティ対策が必要な際のタスクを自動化できます。
両機能を持つ本サービスは、SIEMが収集した情報をもとに、SOARによる自動対応が可能です。
Microsoft SentinelとAzure Sentinelの違い
Microsoft Sentinelは以前「Azure Sentinel」と呼ばれていたサービスです。2021年にMicrosoft Sentinelに名称が変更されました。
提供されているサービス内容の変更はなく、Azure Sentinelの名前が変わって本サービスになった、ということになります。
Microsoft Sentinelの主な機能
サービスの主な機能には以下があります。
- 各サービスのセキュリティログ収集
- インシデントの調査と自動対応
- 脅威検出と分析
各サービスのセキュリティログ収集
Microsoft Sentinelではクラウドサービスやオンプレミスのシステムと連携し、セキュリティログを収集できます。
Microsoft 365の各アプリケーションはもちろん、オンプレミス上やパブリッククラウド上のサーバー、そのほかのクラウドサービスとの連携が可能です。例えば、他社のセキュリティサービスやグループウェアとも接続できます。
接続時にはデータコネクタを利用し、APIやAzure Policyによって連携が実現します。接続後は収集したデータの加工や可視化をすることで、セキュリティ担当者が現状確認する際に役立てることが可能です。また後述する自動対応においても、収集したデータが基準値を超えた際に自動のセキュリティ対策が起動するように設定を行います。
インシデントの調査と自動対応
各サービスの脅威が検出された場合には、インシデントとして登録されます。登録される情報はアラート、関係ユーザー、分析された情報、調査の際に実行されたアクションやその時系列などです。インシデントとして登録し、同様のインシデントが発生した際の対処に向けた洞察を得られるようになります。
インシデントは攻撃者のソースや、インシデント情報の閲覧者情報からグループ化をすることも可能です。これにより対処の方法がパターン化され、セキュリティ管理者や対応者の負担軽減につながります。
また、インシデント(グループを含む)に対しての自動対応を登録しておくことが可能です。インシデントに対してプレイブックを作成することで、脅威検出時に自動対応できます。プレイブックの例は以下の通りです。
- インシデントを検出し、レコードとして登録
- TeamsやOutlookで担当者に通知
- 特定の内容が含まれた返信が届いたら攻撃者のソースIPをブロック
インシデントを登録することで自動対応をしやすくなるため、セキュリティ強化や類似攻撃の判別のしやすさにつながります。
脅威検出と分析
標的型攻撃など、組織に対するセキュリティ脅威を検出し、分析する機能があります。脅威は、以下の情報を基に検出されます。
- 事前に登録した攻撃者のデータ
- AI(人工知能)による攻撃者の分析データ
- Microsoftによって登録されている攻撃者のデータ
攻撃者のデータを集めることは容易ではありません。いつ、どのような攻撃を仕掛けられるのか、予測は不可能です。Microsoft SentinelではAI機能によってユーザーの動作を分析し、異常や攻撃を検出できるようになっています。
また、インシデントをもとに分析を行うことも可能です。過去のインシデントから登録されている情報を分析して、怪しい挙動を自動で見分ける機能を持ちます。危険度の高い挙動を防げるように学習が進んでいくことで、セキュリティ対策をしやすくなり、セキュリティ担当者の負担が軽減されるでしょう。
Microsoft Sentinelを導入するメリット
導入するメリットとして、以下があります。
- ハイレベルな脅威検知ができる
- データの一元管理による業務効率化を実現
- セキュリティ運用のコスト削減が可能
- AIによる機械学習が可能
- オペレーションミスの削減
ハイレベルな脅威検知ができる
Microsoft Sentinelを利用することでハイレベルな脅威検知が実現します。
セキュリティ対策を行う際の基本動作は、大まかに以下の流れです。
- 脅威の検知
- 脅威に対する対応の判断
- 対応の実行
特に①の検知は、セキュリティサービスの品質やセキュリティ担当者の経験に頼る部分が多いのではないでしょうか。しかしMicrosoft Sentinelではインシデントの分析や脅威となる情報を取得し、検知をできる仕組みとなっており、誰でもハイレベルな検知を実施できます。また、事前にプレイブックを作成すれば②、③は自動対応できます。
①を誤ると、②、③にも影響し攻撃の被害が大きくなる恐れがあります。本サービスハイレベルな検知を行うことで、攻撃の被害を縮小できます。
データの一元管理による業務効率化を実現
さまざまなサービスを連携することでデータを一元管理できるため、セキュリティ担当者の業務を効率化できます。
複数のクラウドサービスを利用する場合には、利用するサービスの数だけセキュリティ対策が必要となることが一般的です。近年は企業が複数のクラウドサービスを使うことが多く、セキュリティ管理者の負担が増加しています。
Microsoft Sentinelを利用することで、アクセスポイントの統一やデータの一元管理ができます。一元管理が可能となれば、各サービスへアクセスする必要がなく、ファイアウォールなどで解放するIPアドレスやポートも少なくなり、セキュリティ強化につながります。
また、オンプレミスも含めてデータ管理が可能です。これらの機能を用いれば、セキュリティ担当者の負担を軽減できるメリットがあります。
セキュリティ運用のコスト削減が可能
先述したように、複数のクラウドサービスのデータやアクセスポイントを一元化できるため、管理の負担が軽減されることがメリットです。
また、インシデント発生時の対応を自動化できます。脅威を検知した際には経験則を基に必要な対処を判断し、対処を実行することが一般的です。しかし本サービスであれば、検出した脅威に対して事前に登録している条件に当てはまれば、対処の判断や実行を自動で行えます。
これらの機能により、セキュリティ運用におけるコストの大幅削減を実現できることがメリットです。
AIによる機械学習が可能
AIによる機械学習でインシデントの分析が可能です。
インシデントは複数起こりますが、類似するインシデントは存在します。それらのインシデントに対してはグループ化をしておき、同様の対応ができるように設定すれば、運用コストの削減が可能です。
ただし実際には、グループ化は難しく、経験がものをいうでしょう。本サービスはAIによる機械学習によってグループ化が可能なため、インシデント対応を容易にするメリットがあります。
オペレーションミスの削減
インシデント対応の自動化ができるため、セキュリティ担当者のオペレーションミスによる攻撃の被害拡大を防げるメリットがあります。
人間であれば、どんなに気をつけていてもミスは起きてしまうものです。しかし、ミスをする場面によっては被害が拡大してしまう恐れがあります。オペレーションミスを防げるよう、対応を自動化できる範囲を広げていきましょう。
Microsoft Sentinelの料金体系
当項ではMicrosoft Sentinelの料金体系を解説します。基本料金はもちろん、無料版やMicrosoft 365ユーザー向けの情報もありますので、ぜひ参考にしてください。
基本料金と追加コスト
基本料金は、Analyticsログに記録されるデータ量に比例する従量課金制、または1日単位でのログ記録量を決めておく固定料金制です。本サービスはAzure Monitor Log Analyticsにログが記録され、料金が発生します。料金は以下の通りです。
| 料金単位 | Microsoft Sentinelの価格 |
| 従量課金制 | 取り込まれたGBの 887.55円 |
| 以下は固定料金制 | 1日あたりの料金 |
| 1日100GBまで | 6万1,047.27円 |
| 1日100GBまで | 11万3,019.94円 |
| 1日300GBまで | 16万4,992.61円 |
| 1日400GBまで | 21万3,939.94円 |
| 1日500GBまで | 26万894.56円 |
| 1日1,000GBまで | 51万1,477.07円 |
| 1日2,000GBまで | 98万9,955.61円 |
| 1日5,000GBまで | 238万2,080.68円 |
| 1日1万GBまで | 458万6,794.31円 |
| 1日2万5,000GBまで | 1,102万3,568.16円 |
| 1日5万GBまで | 2,116万301.08円 |
また上記以外にも、ログの分析やジョブの検索、ログデータの復元などに対して料金が発生します。
| 機能 | 料金 |
| Basic ログ分析 | 取り込まれたデータ量 174.95円/GB |
| 基本的なログ検索クエリ | スキャンされたデータ量 1.032円/GB |
| ジョブの検索 | スキャンされたデータ量 1.0313円/GB |
| ログデータ復元 | 20.625円/GB/日 |
| SAP アプリケーション向けソリューション | (SIDごと)284.48円/時 |
(料金は2024年1月時点)
Microsoft Sentinel無料版について
本サービスには、31日間の無料お試し期間が用意されています。Azure Monitor Log Analyticsにログを記録する際には、ワークスペースが必要です。1ワークスペースに対し、1日10GBまで無料でログ記録が可能となります。またAzureテナントごとに20ワークスペースまで追加できるので、無料で十分に試した後で利用を開始できます。
導入を検討している場合は、ぜひ無料で利用してみましょう。
Microsoft Sentinelに無料で利用可能なデータソース
当サービスには無料で利用できるデータソースがあります。以下の通りです。
- Azure アクティビティログ
- Office 365監査ログ
- 以下のサービスから発生するアラート
○ Microsoft Defender for Cloud
○ Microsoft 365 Defender
○ Microsoft Defender for Office 365
○ Microsoft Defender for Identity
○ Microsoft Defender for Endpoint
○ Microsoft Defender for Cloud Apps
これらのサービスのログが記録されても料金には影響しません。ただしMicrosoft系のサービスなら全て無料というわけではないので注意が必要です。例えば、Azure ADのログは有料となります。
Microsoft 365 E5利用者の特典
本サービスを検討している場合、Microsoft 365 E5やMicrosoft 365 E5 Securityを利用している大企業ユーザーもいるのではないでしょうか。その場合は、1ユーザーにつき1日あたり最大5MBのデータ付与を受け取り、以下のデータソースを取り込む特典が受けられます。
- Azure ADのサインインと監査ログ
- Defender for Cloud AppsシャドーIT検出ログ
- Microsoft Information Protection ログ
- Microsoft 365の高度なハンティングデータ
E5プランを利用していれば、5MBまではこれらも無料でログ記録が可能です。もちろん先述したMicrosoft Sentinelに無料で利用可能なデータソースも利用できるため、セキュリティ強化につなげやすくなります。
Microsoft Sentinel導入の流れ
導入の流れは、以下の通りです。
- 導入目的と監視対象の決定
- Microsoft Sentinelへ設定投入
- 継続的な評価
導入目的と監視対象の決定
導入するにあたり、まずは目的を決めましょう。本サービスに限った話ではありませんが、新しいシステムを導入する際には目的を持つべきです。導入自体が目的になってしまうと、思うように効果を得られない可能性が高くなります。「セキュリティ運用の負担を軽減したいから」「対応を自動化して、別の業務にリソースを使いたいから」という具合に、目的を決めましょう。
導入目的が決まったら、監視対象を決めます。目的が定まっていれば、監視対象とするサーバーやクラウドサービスも明確に絞り込めるでしょう。ただし、社内にある全てのサーバーやサービスを監視対象とする必要はありません。無理に対象を増やそうとするのではなく、必要な対象を絞り込んでください。
Microsoft Sentinelへ設定投入
監視対象が決まったら、設定投入をしましょう。まずは、監視対象となるサービスに必要なコネクタをインストールしてください。事前に導入計画を立てておき、優先順位が高いサービスから進めていくことをおすすめします。
またアカウントごとの権限管理や監視対象ごとに、どのメトリクスを監視するのか、といった設定が必要です。他にもエスカレーション先や自動対応のプレイブックを作成するなど、セキュリティ範囲を満たせるように設定を進めることになります。
設定投入方法の一部は「実践的なMicrosoft Sentinelの使い方」で解説していますので、参考にしてください。また、監視対象となるメトリクスや自動対応について最適化したい場合は、セキュリティに知見がある専門家や外部ベンダーに依頼するとよいでしょう。
継続的な評価
サービス運用を開始したら、継続的に評価をしていきます。セキュリティ対策は一度設定をしたら終わりというものではありません。攻撃者は次々と新しい攻撃を仕掛けてきます。また「より効率的な運用をするためにはどうすればよいか」を常に考えておくべきです。
PDCAサイクルを回す形で常にサービスの効果を測定しながら、よりよい対策をしていきましょう。「このメトリクスも監視対象とすべきだった」「自動対応の際にはグラフ化したデータをSharePointにアップできるとより効率的だ」という具合に、ベターな方法を探ってください。
実践的なMicrosoft Sentinelの使い方
ここでは、Microsoft Sentinelの具体的な使い方を解説します。
- データコネクタの設定方法
- 収集したデータの確認方法
- プレイブックの作成方法
データコネクタの設定方法
データコネクタで各サービスと接続することで、メトリクスを収集できるようになります。以下の方法でデータコネクタのインストールが可能です。
- 画面を開き、「データ コネクタ」「Azure アクティビティ」 「コネクタ ページを開く」の順に選択
- コネクタを構成する手順を確認
- 「『Azure Policy の割り当て』ウィザードの起動」を選択
- 「基本」タブの「スコープ」に、データ転送先となるサブスクリプションやリソースグループを選択
- 「パラメーター」タブをクリックし、転送先となるワークスペース(Microsoft Sentinel がインストールされているワークスペース)を設定
収集したデータの確認方法
データコネクタ接続後にデータの確認ができるようになります。以下の手順です。
- 「データ コネクタ」「Azure アクティビティ」 「コネクタ ページを開く」を選択
- データ コネクタの「状態」が「接続済み」であることを確認
- 「ログ分析に移動」「新しいクエリ 1」タブの横にある「+」を選択して新しいクエリを追加
- クエリペインで確認対象を絞り込むクエリを実行し、ワークスペースに取り込まれたアクティビティ データを表示
プレイブックの作成方法
本サービスでインシデント発生時の自動対応をするためには、プレイブックを作成しておく必要があります。プレイブックの作成方法は以下の手順です。
- メニューから「オートメーション」「作成」を選択
- 「インシデントトリガーを含むプレイブック」を選択
- 基本タブで、ログ記録用のワークスペースやプレイブック名などを入力。接続タブはそのまま、確認タブで入力内容を確認したら「作成してデザイナーに進む」を選択
- 動作を定義するため、フィールドにインシデントやアクションを追加
プレイブック作成後は「Create new automation rule」でオートメーションルールを作成してプレイブックにひも付けすることで、自動対応できるようになります。
まとめ
Microsoft Sentinelを利用することでさまざまなデータソースに接続し、メトリクスの監視やセキュリティ対応の自動化をすることが可能です。Microsoft製品との親和性が特に高く、Micorosoft 365 E5を利用している企業であれば多くの特典も受けられます。
しかし、多機能過ぎるゆえに機能を使いこなせず、結果的にコストに見合わないというデメリットも存在します。当社が提供する「HENNGE One」は、Microsoft製品との親和性を維持しながらも、多くのデータソースと接続し、かつコスト削減に貢献しているとユーザーから評価されています。
HENNGE Oneの資料請求や問い合わせができます。ぜひお気軽にご連絡ください。
