Microsoft、AzureでクラウドSIEMの「Azure Sentinel」を発表：「機械学習で容易な分析を実現」

　Microsoftは2019年2月28日（米国時間）、Microsoft Azureにおける新たなセキュリティサービス「Microsoft Azure Sentinel」を発表した。いわゆるSIEM（Security Information and Event Management）の機能を持ち、さまざまなログを統合的に分析することで、セキュリティ上の脅威を検知し、対処する支援ができる。他のクラウドやオンプレミスの関連データも取り込める。

　Azure SentinelではOffice 365のアクティビティデータやAzure Active DirectoryをはじめとしたMicrosoft製品／サービスのログ、F5 NetworksやPalo Alto Networks、Cisco Systems（Cisco ASA）などサードパーティのセキュリティ製品、その他syslogなど、ユーザー、ネットワーク、アプリケーション、インフラのセキュリティログを、ログデータベースである「Azure Monitor」に取り込み、統合セキュリティ分析ができる。なお、Office 365アクティビティデータの取り込みは、サービスの本格提供開始後も無償という。

　データをリアルタイムで取り込めば、組織のオンプレミス環境、Azure環境、他のクラウドにまたがるセキュリティ上の脅威の状況を、リアルタイムでモニターできる。

ダッシュボードで組織全体のセキュリティに関する概要を把握できる（Azure Sentinel紹介ビデオより、以下同）

　Azure Sentinelは、さまざまなセキュリティログの相関分析を自動実行。Microsoftがこれまでセキュリティ分析を行ってきた経験に基づく機械学習モデルを適用して偽陽性情報を極力排除、「セキュリティ担当者が認識する必要のある異常（アノマリー）についてのみ、警告を発する」と同社は説明する。

ユーザーログインデータから、Sentinelが異常を自動的に示している例

上図の異常を示した部分をクリックすることで、原因分析のクエリが自動的に発行され、結果が返る例

　Azure Sentinelはプレビュー版が提供開始されている。プレビュー段階での試用は無償だが、データ取り込みや機械学習モデルのカスタマイズなどで、有償の部分もあるという。

参考資料
Azure Sentinelを紹介したブログポスト
Azure Sentinel紹介ビデオ

Copyright © ITmedia, Inc. All Rights Reserved.