1. はじめに
Azure 利用において、Log Analytics ワークスペースで通知・監視する方法と、Microsoft Sentinel を追加アドオンして監視する違いが良く分からない、というご質問を頂くことがあります。
本記事では、Log Analytics と Microsoft Sentinel を使い分けるための参考情報をご紹介したいと思います。
2. コスト比較
2022.12 現在、Log Analytics ワークスペースと Sentinel ワークスペースの価格比較は以下の通りです。
Microsoft Sentinel では GB あたりの追加コストがかかりますが、90日までの無料枠延長や、取り込むデータソースによっては取り込み費用の無料枠が提供されています。
| コスト種別 | Log Analytics | Sentinel |
|---|---|---|
| ログ取り込み費用 (従量制) |
3.34$ /GB |
6.24$ /GB (Log Analytics + 2.9$ /GB) |
| 保存期間の無料枠 | 31日間まで無料 | 90日間まで無料 |
| データソース 取り込みの無料枠 |
なし | 一部の Azure / Microsoft サービスの取り込みに無料枠あり 例) - Azure アクティビティログ - Office 365(OfficeActivity) - Microsoft 365 Defender(SecurityIncident/SecurityAlert) - Microsoft Defender for Cloud(SecurityAlert) |
詳しくは以下をご参照下さい。
3. 機能・用途に対する比較
Log Analytics ワークスペースと Microsoft Sentinel の機能・用途比較をまとめてみます。
基本的にはメトリクスのようなシステムアラート監視については Azure Monitor アラート、セキュリティイベント監視 / インシデント運用については Microsoft Sentinel で使い分けされるように設計されています。
| 機能 | Log Analytics | Sentinel |
|---|---|---|
| 主な用途 | - 運用ログの保管、検索 - 各種メトリクス監視 (例:CPU/メモリーなど) |
- セキュリティログの分析、検索 - セキュリティアラートの統合 - セキュリティインシデント管理 |
| 検索機能 | 〇 - KQL を用いた検索 |
〇 - KQL を用いた検索 |
| 複数クエリーの 同時検索 |
なし | ○ - ハンティング機能を用いて、複数クエリーの一括検索・前後比較が可能 |
| 可視化 | 〇 - Azure Monitor より手動でブックを追加可能 (例:GitHubからテンプレートをダウンロードする必要あり |
◎ - ブックテンプレートから追加が可能 |
| アラート通知 | 〇 - Azure Monitor より手動でアラートを作成 |
◎ 「分析」機能からインシデント用のルールを作成 |
| 通知先 | Azure Monitor アラート画面 | Microsoft Sentinel インシデント画面 |
| インシデント管理 | なし | 「インシデント」画面にて、アラートの履歴管理、担当者アサインなどを提供 - 時系列のアラート情報 - ログに含まれるエンティティ抽出 - タスク管理 - メモ記録 - インシデントステータス - 担当者アサインなど |
| セキュリティ 分析 |
なし | 「インシデント」画面より、エンティティに紐づいた情報を可視化 |
| セキュリティ 分析ルールの提供 |
なし | 「分析」機能より、各データソースに対応したセキュリティ分析ルールを提供 |
| Microsoft Security サービスのログ取り込み |
なし | あり (例:以下ログはSentinel 経由でデータを保存) - Azure Active Directory サインインログ /監査ログ - Office 365 各種ログ - Microsoft 365 Defender 各種ログなど |
| 脅威インテリジェンス情報連携 | なし | あり - STIX/TAXII フィード Microsoft 脅威インテリジェンスなど |
4. Sentinel を使うことによるメリット
Log Analytics ワークスペースではなく、Sentinel ワークスペースを用いるメリットをご紹介します。
4.1 Log Analytics ワークスペースの無料保存期間が 90 日まで用いることができる
Log Analytics ワークスペースのデータ保存期間は 31 日までが無料対象ですが、その後の保存期間はコストがかかります。Microsoft Sentinel を有効化したワークスペースは 90 日間 (3か月) までの無料枠があるため、一ヵ月以上の保管要件を考慮する方は検討する価値があります。
4.2 クラウドサービスの様々なデータを収集したい
Azure 環境を利用されている方は、Microsoft サービスを運用する上で重要なサービスがあります。主だった Microsoft Security のデータは以下のようなものを収集して監視したいといったニーズが多いと思います。
- Azure Active Directory
- Office 365 関連ログ
- Microsoft Defender for Endpont (Microsoft 365 Defender)
Microsoft Sentinel では、Microsoft Security に関わる重要なセキュリティサービスのセキュリティログについては無料の取り込み枠を提供しています。
4.3 セキュリティの分析・検知を行うためのルールを活用する
Azure Monitor で自力でセキュリティの分析を行うには限界があります。
Sentinel のような SIEM (Security Information Event Manager) を用いる大きなメリットは「分析ルールの提供」があることです。Azure アクティビティログや、Azure Active Directory などの基盤に対して、疑わしい行為・異常行為を監視しなければならないといった要望に対して、自作で監視方針、分析ルールを作るのは至難の業です。
Microsoft Sentinel では各データソースに対応するテンプレートルールが豊富に提供されており、Out-of-Box でセキュリティログの異常な監視を直ぐにスタートすることが出来ます。
4.4 アラート通知ではなく、Sentinel のインシデント通知を用いてインシデント管理を行う
Log Analytics ワークスペースからでも Azure Monitor アラートを用いて通知を行うことが出来ますが、クエリー条件に合った内容を通知する機能のみとなっています。
Microsoft Sentinel を用いたインシデント通知では、「インシデント」として管理が出来るようになっており、担当者のアサインや通知、インシデント分析などのワークフローが提供されており、運用管理が出来るようになっています。
4.5 インシデントを調査する
Azure Monitor 等のアラート通報だけで判断するのではなく、Sentinel を用いることでセキュリティの分析画面が提供されるため、どのユーザー・端末・IP アドレスが何に影響しているのかを確認することが出来るようになります。
アラートの前後関係や、関連するインシデントなどもまとめてくれるので、相関分析に活用することが出来ます。
4.6 ウォッチリスト機能を利用して、条件からの除外や、追加フィールドを表示させる
Microsoft Sentinel ではウォッチリストと呼ばれる専用テーブル(データベース)機能を提供しています。
Log Analytics で検索する際に、特定リストは除外したい・指定フィールドを置換したい(マッピングしたい)といったニーズが有る場合は、Sentinel のウオッチリストを用いることで活用することが出来ます。
- 特定のフィールド条件にマッチした場合だけ検知させる
- ウォッチリストにブラックリストを登録しておいて、分析ルールの際に判定させる
- 誤検知チューニングに活用する
- ホワイトリストのIPアドレスやユーザーを用いて、インシデント対象外を作る
- フィールドを外部 DB を用いて置換させる
- グループ名や指定名に表示を切り替えるように Lookup させる
4.7 脅威インテリジェンス情報とマッチングさせる
TI (Threat Intelligence) と呼ばれる脅威インテリジェンス情報を活用するニーズは SOC/CSIRT 運用で年々高まっています。脅威インテリジェンス情報を収集し、自社のデータと突き合わせを行いたい場合は本機能が必要です。
詳細は以下公式 Docs をご参照ください。
5. まとめ
Log Analytics / Azure モニターのアラート機能も、Microsoft Sentinel のインシデント管理もそれぞれの運用場面において最適なものを選択することが重要になります。本記事がどなたかの参考になれば幸いです。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。