(この記事は2019年10月3日にMicrosoft Partner Network blogに掲載された記事The first born-in-the-cloud SIEM with built-in AIの翻訳です。最新情報についてはリンク元のページをご参照ください。)

ハイブリッド環境またはマルチクラウド環境で顧客をデジタル的に変革するためのセキュリティオペレーションが含まれている場合、SecOpsチームにとっては素晴らしいニュースを得ることができます。我々はパブリック クラウド プラットフォームに組み込まれた最初の SIEM (セキュリティ情報とイベント管理) ソリューションの 1 つであるAzure Sentinelの一般的な可用性を発表しました。

なぜそれが重要なのか?お客様のデジタルトランスフォーメーションを可能にするにつれて、ハイブリッド環境やマルチクラウド環境では、ほとんど中断することのない資産全体の脅威を軽減することが困難になります。既存のエンタープライズシームは、歩調を追う必要があります。インフラストラクチャのセットアップと保守は複雑で、クラウド規模での運用にはコストがかかります。そして、すべてのセキュリティイベントデータの収集をすることは、干し草の山の中で針を見つけるようなものです。

51%が機械学習アルゴリズムを備えたセキュリティ分析ツールを採用している中、65%の組織がプロセスの自動化/オーケストレーションに新しいテクノロジーを活用しています。[1]

Azure Sentinel は、クラウドで生まれた SIEM として、システム インテグレーターおよびサービス プロバイダー パートナーが、インフラストラクチャのセットアップと保守に投資することなく、最新のセキュリティ運用の課題に対処する絶好の機会を提供します。修正プログラムを適用したり、アップグレードを処理したりまたはしない場合でもセキュリティ アナリストはサーバーではなく脅威イベントに集中できます。また、無制限のコンピューティングとストレージ、自動スケーリングを使用して、IT コストを削減しながらチームの効率と効果を向上させます。

企業全体を俯瞰する

数十年にわたるマイクロソフトのセキュリティ経験から得られたクラウドとインテリジェンスにより、脅威の検出と対応がよりスマートかつ迅速になります。また、データ取り込みにかかる事前費用を支払わなくても、大量のデータを迅速に分析し、実際のデータに基づいてアラートのしきい値を視覚的に設定できます。

Azure Sentinel は、Azure Monitor (旧 Azure Log Analytics) を使用した実証済みの分析データベース上に構築され、機械学習 (ML) のネイティブ統合とマイクロソフトの膨大なインテリジェンスを使用して、貴重な時間を無駄にすることなく、チームが異常性を迅速に見つけ出すのに役立ちます。

統合されたセキュリティ オーケストレーションと自動化 (SOAR) 機能を提供することで、セキュリティ オペレーション センター (SOC) タスクを簡素化します。

仕組み

Azure Sentinel は、実績のあるスケーラブルなログ分析データベース上に構築された Azure Monitor を使用し、毎日10ペタバイト以上を摂取して、数秒で何百万もの記録を整理することができる非常に高速なクエリエンジンを提供します。Azure Sentinelは、データを収集するための組み込みコネクタを使用して、Azure、Office 365、ネットワーク、オンプレミスシステム、Linux、Windows、アマゾンウェブサービス(AWS)、Azureを含む幅広いデータソースからセキュリティデータを取り込みます。その他のマイクロソフトのサービス、ハードウェア。これらの組み込みコネクタには、チェックポイント、F5、パロアルト、シマンテックなど、増え続けるパートナーのリストも含まれています。

Microsoft シグナルのネイティブ統合を備えており、業界標準のログ形式、SYSLOG、CEF、イベント転送、および API インジェストのサポートを提供します。これにより、脅威インテリジェンス データとツールを接続して、Azure Sentinel で脅威の検出とハンティングを行います。

この記事では、Azure Sentinel が脅威の探索、インシデント調査、および対応を迅速化する方法をご覧になることができます。。

顧客がMicrosoft 365の高度なセキュリティおよびコンプライアンス製品を採用している場合、ユーザーおよびエンドポイントアプリケーションからのセキュリティデータをインフラストラクチャ環境およびサードパーティデータからの情報と組み合わせて、完全な攻撃を理解する必要があります。数回クリックするだけで事前に有線接続された Microsoft ソリューションのセキュリティ データに接続し、Office 365 監査データを無料で取り込み、相関関係を分析して描画して脅威インテリジェンスを深めることができます。

あなたの側のAI

Azure Sentinel は、マイクロソフトのセキュリティ チームからの数十年にわたる学習に基づいてスケーラブルな機械学習アルゴリズムを使用し、数日ではなく数分で実際の脅威を見つけ、調査し対応できます。これらの組み込みモデルは、何百万もの忠実度が低い例外を相関させて、ドットを接続し、いくつかの忠実度が高いセキュリティ インシデントをアナリストに提示します。Azure 機械学習を使用して、独自のモデルを構築またはカスタマイズすることもできます。

問題を解決したら、同じ問題を何度も発見したくありません。Azure Sentinel は、事前定義またはカスタムプレイブックを使用して自動化とオーケストレーションを提供し、反復的なタスクを解決し、脅威に迅速に対応します。マイクロソフトのインシデントレスポンスおよび脅威アナリストチームと同じプロアクティブなハンティングを実行する Jupyter ノートブックをベースにした一連のクエリと Azure ノートブックを開発しました。脅威の状況が変化するにつれて、Azure Sentinel GitHub コミュニティを通じて新しいクエリと Azure ノートブックを提供します。

Azure Sentinel が今すぐ利用できるということを共有することに喜びを感じています。これらの技術革新の詳細については、オンデマンドウェビナーを参照し、Azure Sentinel がまだ発見されていない脅威を検出する方法に関する実際のユース ケースをご覧ください。

[1]出典:ESGリサーチ調査、セキュリティ分析、運用:クラウドコンピューティング時代の業界動向、2019年9月