Microsoft Sentinel

解決する課題

• 各クラウド・オンプレ・SaaS に散在するログを一元的に集約し、横断で脅威を見たい
• 単独では無害に見えるイベントを相関分析して、本当の攻撃の連鎖を浮かび上がらせたい
• 大量のアラートに埋もれず、ノイズを抑えて重大インシデントに集中したい
• 検知から調査・封じ込めまでの初動対応を自動化し、対応時間（MTTR）を短縮したい
• SIEM 基盤のサーバー構築・スケール・パッチ管理から解放されたい

主要概念と用語

Microsoft Sentinel は Log Analytics ワークスペースの上に構築される SIEM/SOAR ソリューションです。

• SIEM（Security Information and Event Management）: ログを集約・相関し、脅威を検知・可視化する仕組み
• SOAR（Security Orchestration, Automation and Response）: 検知後の対応を自動化・オーケストレーションする仕組み。Sentinel ではプレイブックが担う
• ワークスペース（Log Analytics）: ログの保管・クエリ基盤。Sentinel はこの上で動作し、課金や保持もここに紐づく
• データコネクタ: Microsoft 365 / Entra ID / Defender / 各種クラウド・ファイアウォール・SaaS などからログを取り込む接続定義
• 分析ルール（Analytics Rules）: 取り込んだログから脅威を検知するルール。スケジュール型のクエリ検知や、近実時間（NRT）検知、異常検知などがある
• KQL（Kusto Query Language）: 検索・分析・検知ルールを記述する問い合わせ言語
• インシデント: 関連するアラートをまとめた調査の単位。重大度や状態（新規・進行中・解決済み）を持つ
• エンティティ: ユーザー・ホスト・IP・ファイルなど、アラート内の実体。エンティティ単位で挙動を追跡する
• UEBA（User and Entity Behavior Analytics）: 利用者や資産の通常の振る舞いを学習し、逸脱を異常として検出する
• ハンティング（Hunting）: 既知のルールに頼らず、KQL で能動的に脅威を探索する作業
• ウォッチリスト: 既知の悪性 IP や VIP ユーザーなど、相関に使う参照データの一覧
• プレイブック（Playbook）: Azure Logic Apps で実装する自動対応ワークフロー。隔離・通知・チケット起票などを行う
• オートメーションルール: インシデントに対してプレイブック実行やタグ付け、担当割当を自動でトリガーする統制層

仕様・制限・クォータ

• 基盤は Log Analytics ワークスペースであり、保持期間・取り込み制御・アーカイブはワークスペース側の設定に従う
• 取り込みデータのインタラクティブ保持には上限日数があり、それを超える長期保管は**アーカイブ（低コスト層）**に分ける構成が一般的
• 多数のデータコネクタを標準提供し、未対応のソースはカスタムログ取り込みや Syslog / Common Event Format（CEF）、エージェント経由で取り込める
• 分析ルールの実行頻度や検索範囲、クエリ結果の上限などにサービス側の制限があり、ルール設計時に考慮する
• プレイブックは Logic Apps の制約（実行時間・スロットリング・コネクタ可用性）を継承する
• 大規模環境では複数ワークスペースやリージョンにまたがるため、横断クエリやワークスペース管理の設計が必要になる

内部の仕組み

Microsoft Sentinel は、データ取り込み → 検知 → インシデント化 → 自動対応という流れで動作します。

1. 取り込み: データコネクタが各ソースのログを Log Analytics ワークスペースへ集約する。取り込み時に**変換（DCR ベースの正規化・フィルタ）**を適用できる
2. 検知: 分析ルールが KQL クエリを定期実行（または近実時間で評価）し、条件に合致したイベントをアラートとして生成する。UEBA や機械学習ベースの異常検知も併用される
3. 相関・インシデント化: 関連するアラートを1つのインシデントに束ね、エンティティ（ユーザー・ホスト・IP）をマッピングして調査しやすくする
4. 自動対応: オートメーションルールがインシデントを評価し、条件に合えば**プレイブック（Logic Apps）**を起動して、アカウント無効化・ホスト隔離・通知・チケット起票などを実行する

検知ロジックの中核は KQL であり、調査・ハンティング・ダッシュボード（ブック）も同じ言語で記述できる点が、学習コストと運用効率の両面で効いてきます。

設計パターン / ベストプラクティス

• ワークスペース設計を最初に固める: 単一ワークスペース集約か、テナント・リージョン・部門ごとの分割かを、データ主権とアクセス制御の観点で決める
• 取り込みを取捨選択する: 価値の高いログを優先し、変換ルールでノイズを削減してコストとシグナル品質を両立する
• 検知は段階的に育てる: 標準のルールテンプレートから始め、誤検知を見ながら閾値やフィルタを調整して自組織向けに最適化する
• 対応を自動化する: 反復的な初動（通知・エンリッチ・隔離）をプレイブック化し、人手は判断が要る部分に集中させる
• コンテンツはコードで管理: 分析ルールやプレイブックを**リポジトリ管理（Infrastructure as Code）**し、環境間で再現可能にする
• MITRE ATT&CK でカバレッジを可視化し、検知の穴を体系的に埋める

運用・監視

• インシデントキューを SOC の起点にし、重大度・状態・担当でトリアージする
• ヘルス監視: コネクタの取り込み停止やルールの実行失敗を、ヘルス機能やアラートで検知する
• 取り込み量とコストを定期レビューし、想定外に増えたログ源を早期に特定する
• ハンティングを定例化し、ルール化されていない脅威を能動的に探索する
• チューニングのループを回す: 誤検知率の高いルールを継続的に調整し、アラート疲れを防ぐ

コスト

課金は主に取り込んだデータ量と保持に連動します。取り込みは従量課金に加え、一定量を予約する**コミットメントティア（割引）**を選べます。

セキュリティ

• アクセスは RBAC で最小化し、閲覧専用・対応担当・管理者などロールを分離する
• マネージド ID をプレイブックに付与し、自動対応に使う資格情報のハードコードを排除する
• 取り込んだログ自体を保護: ワークスペースのアクセス制御・暗号化・ネットワーク制限を適用する
• 監査ログを有効化し、Sentinel の設定変更やルール変更の追跡可能性を確保する
• データ主権: ログの保管リージョンとテナント分離を、規制要件に合わせて設計する

Well-Architected の観点

• セキュリティ（Security）: 横断的な脅威検知・相関・自動対応により、検知から封じ込めまでの初動を体系化する。これが本サービスの主目的
• オペレーショナルエクセレンス（Operational Excellence）: マネージド基盤でサーバー運用を不要にし、ルールやプレイブックを IaC 化することで、SOC の運用を反復可能で測定可能なプロセスにする
• 一方で取り込み設計を誤るとコスト最適化（Cost Optimization）を損なうため、取得対象の取捨選択がトレードオフの要となる

試験で問われるポイント

関連サービス・比較

Microsoft Sentinel は、AWS では複数サービスにまたがる役割を1つに束ねています。脅威検知の AWS GuardDuty とログ集約レイクの Security Lake、可視化の OpenSearch などを組み合わせた領域に相当します。

ハンズオン / CLI例

# 1. Log Analytics ワークスペースを作成（Sentinel の土台）
az group create --name sec-rg --location japaneast

az monitor log-analytics workspace create \
  --resource-group sec-rg \
  --workspace-name soc-law \
  --location japaneast

# 2. そのワークスペース上に Microsoft Sentinel を有効化
#    （sentinel 拡張機能を利用。未導入なら az extension add --name sentinel）
az sentinel onboarding-state create \
  --resource-group sec-rg \
  --workspace-name soc-law \
  --name default

# 3. データコネクタや分析ルールの一覧を確認
az sentinel data-connector list \
  --resource-group sec-rg \
  --workspace-name soc-law -o table

az sentinel alert-rule list \
  --resource-group sec-rg \
  --workspace-name soc-law -o table