マイクロソフトは米国時間2019年2月28日、Microsoft Azureから、SIEM(Security Information and Event Management:セキュリティ情報イベント管理)とSOAR(Security Orchestration and Automation Response:セキュリティ監視・対応業務の自動化)の機能を提供するクラウドサービス「Microsoft Azure Sentinel」が発表、同日からプレビュー版の提供を開始されました。
調査する必要のない誤アラートを削減し、セキュリティ担当者の負荷を低減することができるそうです。
Azure Sentinelは、オンプレミスとマルチクラウド環境を俯瞰して、ユーザー、デバイス、アプリケーション、インフラのデータを収集・可視化し、インシデント発生時にアラートを出します。
インシデントの根本原因をドリルダウンして調査するツールも提供するそうです。
さらに、Azureのワークフロー作成ツールLogic Appsと連携し、インシデントに対処するための標準的なタスクを自動実行することが可能だと述べています。
Azure Sentinelは、様々なサービスのデータを接続するための「コネクタ」を用意しており、Office 365やAzure Active Directoryを含むMicrosoft 365、マイクロソフトの各種セキュリティサービスのほか、Check Point、Cisco、F5、Fortinet、Palo Alto、Symantec、ServiceNowといったサードパーティー製のサービスのセキュリティデータを集約できるようになっています。
誤アラートを減らし、調査する必要のあるアラート数を最小限に抑えるために、Azure Sentinelでは、各アラートを分析して、関連するアラートのグループ「Case」にまとめます。
また、ネットワークの動作をマッピングして、リソース全体の異常を検知するための機械学習ルールを提供する。これらの機能によって、Azure Sentinelはセキュリティ担当者が対応するアラート数を減らしており、ベータユーザーのデータでは約90%のワークロードを削減できたとしています。
Azure Sentinelでは、一般的なタスクを自動化するためのプレイブックを用意されています。
タスクの自動化にはAzure Logic Appsを使用し、プレイブックギャラリーからAzure Logic Appsへビルドできます。
プレイブックには、Microsoft Teams、Slack、JIRA、ServiceNowなどの外部サービスと接続するための200以上のコネクタが含まれます。
例えば、Azure Sentinelで特定のイベントが検出された際にServiceNowでチケットを発行・管理するといった運用を自動化できます。
参照:
https://ascii.jp/elem/000/001/823/1823402/?topnew=6