Microsoft Sentinel(旧Azure Sentinel)とは?ログ収集・分析基盤を構築してみた① ~Windows セキュリティイベントの収集~

 

はじめに

双日テックイノベーションのAzure セキュリティ担当エンジニアの髙橋です。

今回は、Microsoft Azure のセキュリティ機能の一つである Microsoft Sentinel(旧Azure Sentinel)>> について解説していきます。

 

昨今、多くの企業が、ハイブリッドクラウド、マルチクラウドへ変化する中、クラウドサービスやオンプレミスの社内システムのログ管理・運用まで手が回らない、またアラートを監視し、それに対応するだけのスキルを持った人材がいない等、様々な問題があります。

 

一方で、SIEMを導入したいという希望は根強くお伺いしております。

 

そんな課題を解決するソリューションが Microsoft Sentinel です!

 

 

Microsoft Sentinel とは?

Microsoft Sentinel は、スケーラブルでクラウドネイティブ型の セキュリティ情報イベント管理 (SIEM) および セキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Microsoft Sentinel は、高度なセキュリティ分析と脅威インテリジェンスを企業全体で実現し、アラートの検出、脅威の可視性、予防的な捜索、および脅威への対応のための 1 つのソリューションを提供します。

(Microsoftドキュメントより)

 

ログを一元管理し、分析、検知、自動対応までこなす素晴らしいツールですね。

 

\Microsoftが提供する次世代SIEMソリューション/

Microsoft Sentinel 概要資料
無償ダウンロードはこちら

 

さらにMicrosoft Sentinel では以下の特長があります。

 

<Microsoft Sentinel の強み>

  • クラウドを利用したリミットレスなスピードとスケール
  • Microsoft 365 / Azure とのシームレスな連携
  • AI を利用した脅威の検出・アラートの削減
  • 最長2年までのログの長期保管ニーズにも対応

 

複数のログからAIによる自動相関分析で、通常気づきにくい脅威を自動で検出する機能もあります。

 

<Microsoft Sentinel の価格>

Microsoft Sentinelの課金体系は、完全な従量課金であり、ログ取得のために発生したトラフィック料と実際に保存されたログの容量に応じた二段階の課金となります。
ただし、Microsoft 365/Azureの監査ログやMicrosoft Defender for Endpoint, Microsoft Cloud App Security等が発砲したアラートの取り込みのために発生したトラフィックについては課金が発生しません。またログ容量についても、実際にMicrosoft Sentinelを導入してから90日間は費用が発生しません。
 

<Microsoft Sentinel の活用例>

  • 現状のセキュリティリスクの把握に利用
  • Office 365のログ管理ソリューションとして利用
  • 統合的なセキュリティ情報イベント管理として利用

Microsoft Sentinel活用例の詳細はこちら>>
 
この機会にぜひMicrosoft Sentinel に触れてみてください!

 

Microsoft Sentinel
サービス概要ページはこちら

 

今回のゴール

Microsoft Sentinel はSIEMの機能として大きく分け、ログの収集分析調査対応の4つの機能があります。

今回は、その中で、ログの収集を実施していきます。

Microsoft Sentinel で利用するログはLog Analytics ワークスペースに保管されます。

今回は Microsoft Sentinel/Log Analytics ワークスペースを作成し、作成したワークスペースに Windowsサーバーのセキュリティイベントを取り込んでいきます。

Microsoft Sentinel によるログ収集の全体像

Microsoft Sentinel によるログ収集の全体像

 

1. Microsoft Sentinel の作成

それでは早速、Microsoft Sentinel を作成していきましょう。

Azure ポータルの[リソースの作成] から「Microsoft Sentinel」を検索し、[作成]をクリックします。

Microsoft Sentinel

 

[追加]をクリックし、Microsoft Sentinel が利用するLog Analytics ワークスペースを追加します。

Log Analytics ワークスペース

 

利用しているLog Analytics ワークスペースがない場合、このタイミングで新しくワークスペースを作成します。

[新しいワークスペースの作成]をクリックします。

新しいワークスペースを作成

 

[サブスクリプション]、[リソースグループ]を選択し、任意の[名前]と[地域]を設定します。

最後に[確認および作成] > [作成]をクリックします。

Log Analyticsワークスペースの作成

 

作成したワークスペースを選択し、[追加]をクリックします。

Microsoft Sentinelの追加

 

2. Windows セキュリティイベントの接続

ログを収集するために、先ほど作成したワークスペースとWindowsサーバーを接続します。

 

それでは設定していきます。

 

Microsoft Sentinel のメニュー画面から、[データコネクタ] > [セキュリティイベント] > [コネクタページを開く]をクリックします。

Windowsサーバーの接続

 

構成から、ログを収集するためのLog Analytics エージェントをダウンロードし、インストールします。

Azure の仮想マシンの場合、直接エージェントのインストールが可能です。

今回は仮想マシンに対して、エージェントをインストールしていきます。

 

[Azure Windows 仮想マシンのエージェントをダウンロードしてインストールする]をクリックします。

Azure Windows 仮想マシンのエージェントをダウンロードしてインストールする

 

Azure上の仮想マシンが表示されるので、対象の仮想マシンをクリックします。

Azure Windows 仮想マシンのエージェントをダウンロードしてインストールする

 

[接続]をクリックします。

Azure Windows 仮想マシンのエージェントをダウンロードしてインストールする

 

正常にインストールが完了すると、ワークスペースと仮想マシンが接続されます。

Azure Windows 仮想マシンのエージェントをダウンロードしてインストールする

 

続いて、収集するセキュリティイベントの種類を選択していきます。

セキュリティイベントの構成ページに戻り、[2.ストリーミングするイベントを選択する]から対象とするイベントを選択します。

今回は、すべてのイベントを収集してみたいと思います。

「すべてのイベント」を選択し、[変更の適用]をクリックします。

セキュリティイベントの種類を選択

3. Windows セキュリティイベントの確認

Windows サーバーの接続が完了すると、セキュリティイベントがワークスペースに送られます。

送られてきたログをMicrosoft Sentinel から確認してみましょう。

※Microsoft Sentinel にログが表示されるまで約20分かかる場合があります。

 

Microsoft Sentinel から[ログ]をクリックします。

Microsoft Sentinelのログを表示

 

 

クエリを入力する画面で「SecurityEvent」を入力し、[実行]をクリックします。

Microsoft Sentinelのログを表示

 

接続したWindows サーバーからセキュリティイベントが収集できていることが確認できます。

Microsoft Sentinelのログを表示

 

さいごに

今回は、Microsoft Sentinel ワークスペースの作成、Log Analytics エージェントのインストール、クエリによるログの確認手順を解説しました。

 

クエリは、KQL(Kusto Query Language)と呼ばれるSQLでいうところのCRUDのうちRead動作だけを行なえる言語を使います。

KQLは、ログの検索だけでなく、分析ルール、レポートなど幅広く利用できるためマスターしておくと便利です。KQLについては、別の記事で紹介します。

 

次回は、収集したログを解析する分析ルールの設定を行いたいと思います。

 

\Microsoftが提供する次世代SIEMソリューション/

Microsoft Sentinel 概要資料
無償ダウンロードはこちら

この記事を書いた人

髙橋 和輝
髙橋 和輝
テクニカルマーケターとして、新技術の検証、ブログ執筆、セミナー講師を行っております!
学生時代はアプリ開発に興味がありましたが、インフラ、セキュリティ事業を経て、現在はクラウド屋さんになっております。
コロナ禍前は、月1で海外旅行にいくなどアクティブに活動していましたが、最近は家に引きこもってゲームが趣味になっています。

宜しくお願い致します!