Microsoft Sentinel、Microsfot Defender、Security Copilot が一体化した統合セキュリティ運用プラットフォームが登場!

SOCチームは、組織のセキュリティを守るために、日々膨大な量のデータを分析し、様々な脅威に対応する必要がありますが、データがバラバラに存在したり、管理ツールの多さ、人材の不足といった多くの課題が存在します。

この課題を解決するために、マイクロソフトは、Microsoft Ignite 2023 で、Microsoft SentinelとDefender XDR, Security Copilot を統合した新しい統合セキュリティ運用プラットフォームのプライベートプレビューを発表しました。

 

 

統合セキュリティ運用プラットフォーム(Unified Security Operations Platform)とは?

統合セキュリティ運用プラットフォームはMicrosoft SentinelとDefender XDRを統合した新しいセキュリティ運用プラットフォームです。

この統合プラットフォームを活用することで、エンドポイント、ネットワーク、クラウド、アプリケーションなどのさまざまなデータソースからの脅威を検出、調査、対応をAIと自動化の力を活用して、セキュリティ運用の効率を向上させることが可能になります。

 

このツールを使うことで以下のようなメリットを享受できます。

統一されたインシデント管理: Microsoft SentinelとDefender XDRの両方で生成されたインシデントをひとつの画面上で一元的に管理できます。

インシデントの重要度や状況に応じて、Microsoft SentinelのダッシュボードやDefender XDRのエンドポイント調査ツールなど、それぞれのツールを使ってインシデントを調査や対応を行うことができます。

豊富なデータと分析機能: Microsoft SentinelとDefender XDRの両方で収集されたデータを相互に関連付けて、インシデントの全体像を把握することができます。

エンティティページなどの機能を使って、インシデントに関連するエンティティやアラートを可視化したり、詳細な情報を表示できます。

AIと自動化: Microsoft SentinelとDefender XDRの両方で利用できるAIと自動化の機能を使って、セキュリティ運用の負荷を軽減できます。Microsoftの脅威インテリジェンスや分析ルールを使って、高度な脅威を検出したり、プレイブックなどを使って、インシデントの対応を自動化できます。

このプラットフォームは現在プライベートプレビューの段階で一般公開は2024年を予定しています。

 

統合セキュリティ運用プラットフォームを使ったデモをご紹介

では、具体的にSOCのオペレーションがどのように負荷軽減されるか見てみましょう。

 

こちらが、Microsoft Sentinel、Defender XDR、Security Copilot が統合された画面になります。

このページには、SIEMの機能、調査ツール、アクティブなインシデントの概要、危険なエンティティ(ユーザー、デバイス、IPアドレスなど)が表示されます。

 

Microsoft Sentinl とDefender XDRのインシデントは一つの画面で確認できます。

 

インシデントをクリックすると詳細がみれます。このあたりは、Sentinel の機能と同じですね。

ユーザーはすでに攻撃を受けており、ADユーザーやSAPのアカウントはロック済みであることが表示されます。

 

画面のサイドバーには、Security Copilotによるインシデントのサマリが表示されます。

※Security Copilot はサイバーセキュリティに特化してトレーニング、ファインチューニングされたAIになります。

詳細はこちら

 

SOCチームはレポートも作成する必要がありますね。その際にも、Security Copilotが使えます。

「レポートを生成」ボタンをクリックするだけで、影響範囲やタイムラインがレポートとして出力されます。

 

また別のインシデントではPowerShellのスクリプトが実行されており、スクリプトの分析が必要です。

タイムライン上の「Analyze」をクリックすることで、Security Copilot によるスクリプト分析が可能です。

 

Defender XDR の高度なハンティングクエリ機能を使った調査においても、自然言語からKQL文を作成することができます。

 

ログを接続ステータスが「成功」だけに絞りたければ、「接続成功だけ表示して」と自然言語で依頼すれば、KQLの作成、結果表示までしてくれます。

 

これだけでも、SOCのセキュリティアナリストのオペレーションがかなり軽減されることが分かりますね。

 

この記事を書いた人

髙橋 和輝
髙橋 和輝
テクニカルマーケターとして、新技術の検証、ブログ執筆、セミナー講師を行っております!
学生時代はアプリ開発に興味がありましたが、インフラ、セキュリティ事業を経て、現在はクラウド屋さんになっております。
コロナ禍前は、月1で海外旅行にいくなどアクティブに活動していましたが、最近は家に引きこもってゲームが趣味になっています。

宜しくお願い致します!