BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース セキュリティをもっとインテリジェントに,MicrosoftがAzure Sentinelをリリース

セキュリティをもっとインテリジェントに,MicrosoftがAzure Sentinelをリリース

ブックマーク

原文(投稿日:2019/03/12)へのリンク

先日のブログ記事でMicrosoftは,インテリジェントなセキュリティ製品にこれまで以上の投資を行う同社の方針を,Azure Sentinelというセキュリティ情報およびイベント管理(SIEM)プロダクトの形で発表した。SIEMはセキュリティの専門家が,サーバやファイアウォール、ルータ、スイッチ、エンドユーザコンピューティングデバイスなど,さまざまなシステムを対象として,ログからセキュリティイベントを集約することのできるデータストアとして使用するものだ。Azure Sentinelは,人工知能とマシンラーニングを備えることによって,インフラストラクチャの維持を不要にすることで従来のSIEMにあった負担を低減すると同時に,新たな脅威に対する規範的ガイダンスを提供することによってアラート疲労(alert fatigue)を軽減したプラットフォームサービスである。

企業は現在,プロアクティブなセキュリティプラクティスの維持に苦労しているが,Azure Sentinelmによってこの増大する問題に対処できる,というのがMicrosodftの考えだ。プロダクト管理ディレクタのEliav Levi氏が説明する。

SecOpsチームは膨大な量のアラートを受けているため,インフラストラクチャのセットアップやメンテナンスといったタスクに多くの時間を取られ過ぎていて,結果的に本当の脅威が数多く見落とされています。2021年には3,500万人のセキュリティ専門家が不足すると予測されていることから,セキュリティ運用チームの課題はさらに大きくなるものと思われます。既存のSecOpsを強化して脅威をより明確に認識すると同時に,不要な作業から開放するためのソリューションが必要なのです。

Microsoftは,さまざまな場所からの信号を分析したり,企業ユーザのニーズに合わせてスケールアップすることのできる立場にある。シニアプロダクトマネージャのKoby Koren氏が,その方法を次のように説明する

Azure Sentinelは,オンプレミスかAzureその他のクラウド上であるかに関わらず,アプリケーションやサービス,インフラストラクチャ,ネットワーク,ユーザなど,あらゆるソースからのセキュリティログと信号を相関させることで機能します。組み込まれたAIでは,毎日数兆件の信号を分析するMicrosoftの脅威インテリジェンス(threat intelligence)を活用しています。さらに,当社のマシンラーニングモデルは,当社が何十年にもわたってアラートからノイズをフィルタリングし,数千という異常イベントの詳細な分析を行ってきた経験を通じて洗練されており,本当に注意を必要とする脅威のビューを返すことが可能になっています。

企業は数年前から,Office 365やAzureからクラウドデータをエクスポートしてオンプレミスのSIEMツールに取り込む,という作業を続けてきた。しかしながらこのアプローチは,企業にとって運用上の課題を生じさせている。MicrosoftのリージョナルディレクタであるMaarten Goet氏が,次のように説明する

過去数年間,企業はMicrosoftのセキュリティソリューションが生成するアラートをフックアップして,自社のオンプレミスのSIEMソリューションに転送することで,自分たちのクラウドセキュリティ戦略の一部としていましたが,処理するデータの量と種類の増加に追いつくのが精一杯という状況でした。不幸なユーザたちは,自分たちのSIEMのスケーラビリティの低さと,対処しなければならないアラートの量に不満を持っていたのです。Azure Sentinelは,あなたの環境のあらゆる部分のセキュリティデータを解析するための中心地になります。Azure Sentinelのようなクラウドセキュリティソリューションは,SOC(Security Operations Center)に革命を起こそうとしているのです。

Azure Sentineljは,Azure AD Identity Protection, Microsoft Cloud Application Security, Azure Security Center, Microsoft Graph Security API, DNS, SyslogなどのMicrosoft製およびMicrosoft以外のプラットフォーム,およびF5, Palo Alto Networks, Checkpoint, Cisco ASAといった製テレメトリからイベントを取り込むことができる。

イメージ引用: (スクリーンショット) https://www.youtube.com/watch?v=XXZp6LQZSJU

Microsoftは,アラートの正確性を向上することによって,セキュリティアナリストが直面するノイズの量を削減したいと考えている。このような要件に対処するため,Azure SentinelはAIを使用してアラートを格付けし,さまざまなプロダクトやサービスの間で関連付けを行う。AIやMLテクノロジに深く投資する理由について,Levi氏は,次のように説明している。

Azure Sentinelは,最先端かつスケーラブルなマシンラーニングアルゴリズムを用いることで,何百万という低精度な異常通知から,数件の高精度なセキュリティインシデントの相関関係をアナリストに提示します。MLテクノロジは,取得した大量のセキュリティデータから価値を抽出し,点をつなぎ合わせるために用いられます。例えば,どのアカウントが侵害されて,クラウドアプリケーションにランサムウェアをデプロイしようとしていたのかを,すぐに確認することができます。この処理はノイズを劇的に削減します。実際に評価中のアラート対応作業は,最大で90パーセント削減されておました。

イメージ引用: https://azure.microsoft.com/en-us/blog/introducing-microsoft-azure-sentinel-intelligent-security-analytics-for-your-entire-enterprise/

脅威が検出されると,セキュリティアナリストはAzure Sentinelのケース管理機能を使用して,SOCチーム全体でインシデントの確認,格付け,優先順位付けを行うことができる。Juyter Notebookに基づいてPlaybookの作成および管理が可能であるため,サイバー脅威に対して一貫性を持った自動プロセスを維持することができる。

イメージ引用: (スクリーンショット) https://www.youtube.com/watch?v=XXZp6LQZSJU

Azure Sentinelのイベントを受信するコネクタを標準で備えた,クラウドベースのワークフロープラットフォームであるAzure Logic Appsを使えば,自動化の機会はさらに増える。この場合のAzure Logic Appsでは,ServiceNow内でのインシデント生成,Microsoft Teams上でのチームメンバとのコミュニケーションや,Azure AD内のユーザの無効化やファイアウォールIPアドレスのブロックなどのプロアクティブなセキュリティ対策を実施するなど,ビジネスプロセスのオーケストレーションが可能である。

イメージ引用: (スクリーンショット) https://www.youtube.com/watch?v=XXZp6LQZSJU

 

この記事に星をつける

おすすめ度
スタイル

BT