Microsoft Sentinel
Microsoft Sentinel とは何ですか?
Microsoft SentinelMicrosoft が Azure 上で提供するクラウドネイティブ SIEM/SOAR サービス。Kusto Query Language(KQL)でログを検索し、Microsoft 365 Defender や Azure データソースとネイティブに連携する。
Microsoft Sentinel は、Azure Log Analytics ワークスペースと Azure Monitor を基盤とする SaaS 型の SIEM/SOAR で、Microsoft が 2019 年に Azure Sentinel として公開し、2021 年に現名称へ変更しました。アナリストは Kusto Query Language(KQL)でデータを問い合わせ、分析ルール、ニアリアルタイム(NRT)ルール、ハンティングクエリを作成し、Logic Apps プレイブックでレスポンスをオーケストレーションします。Sentinel は Microsoft 365 Defender、Entra ID、Azure Activity、AWS CloudTrail、GCP、Syslog、CEF、MISP、カスタム Data Collection Rule など 200 以上のコンテンツコネクタからデータを取り込み、検出を MITRE ATT&CK にマッピングし、Defender XDR と統合された XDR ポータルでインシデントを提示します。取り込み量(GB)に応じた従量課金とコミットメント階層があり、Microsoft Copilot for Security と統合できます。
● 例
- 01
Entra ID のサインインが Impossible Travel パターンで、直前に MFA プッシュスパムが発生していた場合に発報する KQL 分析ルールを作成する。
- 02
Sentinel インシデントが High に達した際、Defender for Endpoint で端末を隔離する Logic Apps プレイブックを起動する。
● よくある質問
Microsoft Sentinel とは何ですか?
Microsoft が Azure 上で提供するクラウドネイティブ SIEM/SOAR サービス。Kusto Query Language(KQL)でログを検索し、Microsoft 365 Defender や Azure データソースとネイティブに連携する。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Microsoft Sentinel とはどういう意味ですか?
Microsoft が Azure 上で提供するクラウドネイティブ SIEM/SOAR サービス。Kusto Query Language(KQL)でログを検索し、Microsoft 365 Defender や Azure データソースとネイティブに連携する。
Microsoft Sentinel はどのように機能しますか?
Microsoft Sentinel は、Azure Log Analytics ワークスペースと Azure Monitor を基盤とする SaaS 型の SIEM/SOAR で、Microsoft が 2019 年に Azure Sentinel として公開し、2021 年に現名称へ変更しました。アナリストは Kusto Query Language(KQL)でデータを問い合わせ、分析ルール、ニアリアルタイム(NRT)ルール、ハンティングクエリを作成し、Logic Apps プレイブックでレスポンスをオーケストレーションします。Sentinel は Microsoft 365 Defender、Entra ID、Azure Activity、AWS CloudTrail、GCP、Syslog、CEF、MISP、カスタム Data Collection Rule など 200 以上のコンテンツコネクタからデータを取り込み、検出を MITRE ATT&CK にマッピングし、Defender XDR と統合された XDR ポータルでインシデントを提示します。取り込み量(GB)に応じた従量課金とコミットメント階層があり、Microsoft Copilot for Security と統合できます。
Microsoft Sentinel からどのように防御しますか?
Microsoft Sentinel に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Microsoft Sentinel の別名は何ですか?
一般的な別名: Azure Sentinel, MS Sentinel。
● 関連用語
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- defense-ops№ 1062
SOAR
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。
- defense-ops№ 1254
XDR(拡張検知・対応)
エンドポイント、ネットワーク、ID、メール、クラウドのテレメトリを統合し、複数レイヤを横断する相関検知と一元的なレスポンスを提供するセキュリティプラットフォーム。
- defense-ops№ 1080
Splunk Enterprise Security
Splunk Inc.(2024 年に Cisco が買収)による商用 SIEM ソリューション。Splunk Processing Language(SPL)でマシンデータを取り込み、インデックス化し、相関分析することでセキュリティ監視と調査を行う。
- defense-ops№ 448
Google Chronicle SecOps
Google Cloud のクラウドネイティブ SIEM/SOAR(旧 Backstory)。従業員数ベースの固定料金でペタバイト級テレメトリを保存し、YARA-L 検出言語でクエリする。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。