Sentinelとは
Microsoft Sentinelは、クラウドネイティブのSIEM(Security Information and Event Management)+SOAR(Security Orchestration, Automation and Response)プラットフォームです。組織全体のセキュリティログを一元収集し、AIで脅威を検知し、自動的に対応するという一連のセキュリティ運用を統合します。
主要機能
| 機能 | 内容 |
|---|---|
| ログ収集 | M365、Azure、AWS、ファイアウォール、オンプレサーバー等の多様なソースからログを収集 |
| 脅威検知(分析ルール) | 事前定義されたルールとカスタムルールで不審なアクティビティを検知。AIによる異常検知も |
| インシデント管理 | 検知されたアラートを関連するアラートと紐づけ、インシデントとして管理 |
| 自動対応(プレイブック) | Logic Apps(Power Automateと同等)でインシデント発生時の対応を自動化 |
| 脅威ハンティング | KQL(Kusto Query Language)でログを横断的に検索・分析 |
| Threat Intelligence | Microsoftの脅威インテリジェンスと連携し、既知の脅威IP/ドメインを自動検知 |
M365 Defenderとの統合
2024年以降、SentinelはMicrosoft Defender XDR(旧M365 Defender)と統合され、Microsoft Unified Security Operationsとして単一の管理画面で運用できるようになりました。M365のDefender for Endpoint、Defender for Office 365、Entra ID Protectionのアラートを自動的にSentinelに連携できます。
料金体系
Sentinelは取り込むログ量(GB/日)に基づく従量課金です。
| 料金項目 | 内容 |
|---|---|
| データ取り込み | 約$2.76/GB(分析ログ)。M365の基本ログは無料枠あり |
| 無料枠 | M365 E5ユーザーは5MB/ユーザー/日のM365ログが無料 |
| ログ保持 | 最初の90日間は無料。それ以降は$0.12/GB/月 |
中小企業での導入判断基準
Sentinelは強力なツールですが、中小企業にとっては以下の判断が重要です。
| 状況 | 判断 |
|---|---|
| M365 Business Premiumを利用、50名以下 | 不要。Defender for Businessのアラートで十分 |
| 複数のクラウドサービスや拠点のログを統合監視したい | 検討価値あり |
| SCS評価制度★4以上を目指している | 推奨。ログの統合管理が評価項目に含まれる |
| SOC(セキュリティ運用センター)を外部委託している | 推奨。SOC事業者のツールとして一般的 |
まとめ
Microsoft Sentinelはクラウドネイティブのsiem+SOARで、組織全体のセキュリティログを統合監視する基盤です。50名以下の中小企業ではDefender for Businessで十分なケースが多いですが、複数クラウド環境の統合監視やSCS★4対応にはSentinelが有効です。