Microsoft Sentinel
Microsoft Sentinel とは何ですか?
Microsoft SentinelMicrosoft が Azure 上で提供するクラウドネイティブ SIEM/SOAR サービス。Kusto Query Language(KQL)でログを検索し、Microsoft 365 Defender や Azure データソースとネイティブに連携する。
Microsoft Sentinel は、Azure Log Analytics ワークスペースと Azure Monitor を基盤とする SaaS 型の SIEM/SOAR で、Microsoft が 2019 年に Azure Sentinel として公開し、2021 年に現名称へ変更しました。アナリストは Kusto Query Language(KQL)でデータを問い合わせ、分析ルール、ニアリアルタイム(NRT)ルール、ハンティングクエリを作成し、Logic Apps プレイブックでレスポンスをオーケストレーションします。Sentinel は Microsoft 365 Defender、Entra ID、Azure Activity、AWS CloudTrail、GCP、Syslog、CEF、MISP、カスタム Data Collection Rule など 200 以上のコンテンツコネクタからデータを取り込み、検出を MITRE ATT&CK にマッピングし、Defender XDR と統合された XDR ポータルでインシデントを提示します。取り込み量(GB)に応じた従量課金とコミットメント階層があり、Microsoft Copilot for Security と統合できます。
● 例
- 01
Entra ID のサインインが Impossible Travel パターンで、直前に MFA プッシュスパムが発生していた場合に発報する KQL 分析ルールを作成する。
- 02
Sentinel インシデントが High に達した際、Defender for Endpoint で端末を隔離する Logic Apps プレイブックを起動する。
● よくある質問
Microsoft Sentinel とは何ですか?
Microsoft が Azure 上で提供するクラウドネイティブ SIEM/SOAR サービス。Kusto Query Language(KQL)でログを検索し、Microsoft 365 Defender や Azure データソースとネイティブに連携する。 サイバーセキュリティの 防御と運用 カテゴリに属します。
Microsoft Sentinel とはどういう意味ですか?
Microsoft が Azure 上で提供するクラウドネイティブ SIEM/SOAR サービス。Kusto Query Language(KQL)でログを検索し、Microsoft 365 Defender や Azure データソースとネイティブに連携する。
Microsoft Sentinel からどのように防御しますか?
Microsoft Sentinel に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Microsoft Sentinel の別名は何ですか?
一般的な別名: Azure Sentinel, MS Sentinel。