どんな製品か
Microsoft Sentinel は、Microsoft が提供するクラウドネイティブな SIEM/SOAR 製品です。Azure 上のサービスとして動作し、自前でサーバを構築・運用しなくても利用を始められます。
「結局なに?」を一言でいえば、クラウド上でログ収集から脅威検知・対応までを担うセキュリティ監視基盤です。SIEM(情報収集と相関分析)と SOAR(対応の自動化)の両方をカバーします。
主な特徴
クラウドサービスとして提供されるため、データ量の増減に合わせて柔軟に使える点が特徴です。Microsoft 365 や Azure をはじめ、さまざまなソースからログを取り込めます。
- 多数のコネクタが用意され、各種ログを集約しやすい。
- 検知ルールやプレイブックを組み、アラートと初動対応を自動化できる。
- 分析や調査に Microsoft の脅威インテリジェンスを活用できる。
インフラの構築・保守を意識せず、設定と運用に集中しやすい設計です。
位置づけ / 他との違い
オンプレミス前提の SIEM と異なり、Sentinel はクラウド上のサービスとして提供される点が大きな違いです。サーバの調達やスケール設計を自前で抱えにくくなります。
Microsoft のクラウド環境やセキュリティ製品群と組み合わせやすく、すでに Azure や Microsoft 365 を使っている組織では連携面の利点が出やすい製品です。
クラウド型でも、取り込むデータ量に応じて費用は変わります。まず何を監視したいかを定め、必要なログから接続していくと、コストと検知精度のバランスを取りやすくなります。
Security Vendor
Microsoft Sentinelを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
SOC / セキュリティ監視
比較で見る軸
対応カテゴリ: 1領域 / 主な領域: ログ集約・相関分析
導入後に効く点
ログを集約し脅威を検知
先に潰すリスク
ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。
- 対応カテゴリ
- 1領域
- 主な領域
- ログ集約・相関分析
判断チェックリスト
- 自社の用途が「SOC / セキュリティ監視 / インシデント検知・調査」に近いか確認する。
- 強みである「ログを集約し脅威を検知」が本当に評価軸になるか確認する。
- 注意点の「ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。