セキュリティ製品 - SIEM・SOC

Microsoft Sentinel まいくろそふと せんちねる

SIEMSOARセキュリティ監視Azureログ分析インシデント対応
Microsoft Sentinelについて教えて

簡単に言うとこんな感じ!

会社中のシステムから届く「セキュリティの怪しい動き」を一か所に集めて、AIが自動で「これ危ない!」って教えてくれるクラウド型の監視センターだよ! 昔は専用の機械を買って自分で管理してたけど、Sentinelはそれをまるごとクラウドでやってくれるんだ!


Microsoft Sentinelとは

Microsoft Sentinel(旧称: Azure Sentinel)は、マイクロソフトが提供するクラウドネイティブSIEM(Security Information and Event Management) および SOAR(Security Orchestration, Automation and Response) サービスです。Azure上で動作し、社内・クラウド問わずあらゆるシステムのログやアラートを一元収集・分析し、サイバー攻撃の兆候を早期に検出します。

従来のSIEMは、高価なオンプレミスサーバーを自社で調達・運用する必要がありました。Sentinelはそのすべてをクラウドサービスとして提供するため、初期投資ゼロ・従量課金で導入でき、企業規模に関わらず利用できるのが最大の特徴です。

Microsoft 365やAzure、AWS、Google Cloudなど主要なプラットフォームとのコネクタが標準で揃っており、数クリックでログ収集を開始できます。また、AIと機械学習を活用した脅威検出により、膨大なログの中から本当に危険なイベントを自動で絞り込んでくれます。


SIEMとSOARの二つの顔

Sentinelは「監視」と「対応」の両方をカバーしています。

機能英語略称役割Sentinelでの具体例
セキュリティ情報・イベント管理SIEMログを集めて脅威を検出する全社のログを集約し、不審なサインインを検出
セキュリティオーケストレーション・自動対応SOAR検出後の対応を自動化する怪しいユーザーを自動でブロック・担当者に通知

覚え方:「見張り番 + 自動警備員」

SIEMは「不審者を見つける見張り番」、SOARは「見つけた瞬間に鍵をかける自動警備員」とイメージしましょう。Sentinelはこの二役を一つのサービスで担います。

Sentinelの主要コンポーネント

  • データコネクタ — Microsoft 365、Azure AD、AWS、オンプレADなど200種類以上のデータソースを接続
  • 分析ルール — 脅威パターンを定義するルール(Microsoftが提供するテンプレートも多数)
  • インシデント — 複数のアラートをまとめた「調査案件」単位の管理
  • ウォッチリスト — 監視対象IPアドレスやユーザーのリスト管理
  • プレイブック — SOAR機能の自動対応シナリオ(Azure Logic Appsで構築)
  • ワークブック — ログを可視化するダッシュボード
  • 脅威ハンティング — アナリストが能動的に脅威を探すクエリ機能(KQL使用)

歴史と背景

  • 2019年2月 — 「Azure Sentinel」としてパブリックプレビュー開始。当時としてはクラウドネイティブSIEMという概念自体が新しかった
  • 2019年9月 — 正式GA(Generally Available)リリース。Azure上のフルマネージドSIEMとして提供開始
  • 2020〜2021年 — コロナ禍でリモートワークが急増し、クラウド経由の攻撃も急増。Sentinelの採用が加速
  • 2021年11月 — 「Microsoft Sentinel」に改称。Azureブランドから切り離し、マルチクラウド対応を強調
  • 2022年 — Microsoft Defender製品群との統合が強化され、「Microsoft Defender XDR」との連携が深まる
  • 2023〜現在 — Microsoft Copilot for Securityとの統合により、生成AIを使った脅威分析・インシデント要約機能が追加

他のSIEMソリューションとの比較

主要SIEMソリューション比較 比較項目 Microsoft Sentinel Splunk IBM QRadar 展開方式 クラウドのみ オン/クラウド両対応 オン/クラウド両対応 料金モデル 従量課金(GB/日) ライセンス+従量 ライセンス制 Microsoft連携 ◎ ネイティブ統合 △ 要設定 △ 要設定 AI/ML機能 ◎ 標準搭載 ○ 拡張で対応 ○ 拡張で対応 初期コスト 低(クラウド従量) クエリ言語 KQL SPL AQL

KQL(Kusto Query Language)とは

Sentinelでログを検索・分析するために使う専用クエリ言語です。SQLに似た文法で、以下のように使います。

// 過去24時間に失敗したサインインを国別に集計
SigninLogs
| where TimeGenerated > ago(24h)
| where ResultType != 0
| summarize FailureCount = count() by Location
| order by FailureCount desc

非エンジニアでもコパイロット(AI)がKQLを自動生成してくれるため、「クエリが書けないから使えない」という心配は減ってきています。

Microsoft Defender XDRとの違い

よく混同されるので整理します。

製品主な役割対象範囲
Microsoft SentinelSIEM:全社横断のログ収集・相関分析あらゆるデータソース(マルチクラウド・オンプレ含む)
Microsoft Defender XDREDR/XDR:エンドポイント・メール・IDの脅威検出Microsoftエコシステム内

実際の運用では両者を統合し、Defender XDRで検出したアラートをSentinelに集約して管理するケースが多いです。


関連する規格・RFC

規格・標準内容
NIST SP 800-92ログ管理ガイドライン(SIEMの設計・運用の基礎となる標準)
NIST SP 800-137連邦情報システムのセキュリティ継続的監視(Sentinelが対応する監視フレームワーク)

関連用語

  • SIEM — セキュリティログを一元収集・分析するシステムの総称
  • SOAR — インシデント対応を自動化するセキュリティオーケストレーション技術
  • Microsoft Defender XDR — エンドポイント・メール・IDを守るMicrosoftの統合脅威検出製品
  • Azure Active Directory — MicrosoftのクラウドID管理サービス(Sentinelの主要ログソースの一つ)
  • SOC — セキュリティ監視・対応を専門に行う組織・チーム
  • KQL — Sentinelでログを検索・分析するためのクエリ言語
  • EDR — エンドポイントの脅威をリアルタイムで検出・対応する技術
  • ゼロトラスト — 「社内でも信頼しない」を前提としたセキュリティアーキテクチャ