Microsoft Sentinelとは
Microsoft Sentinelは、クラウドネイティブのSIEM(Security Information and Event Management)およびSOAR(Security Orchestration, Automation and Response)サービスだ。Log Analyticsワークスペースを基盤にし、Azure・AWS・オンプレミスなど多様なソースからセキュリティログを集約して脅威を検出・分析する。
組み込みの分析ルール・Workbook・Playbookを使って、セキュリティイベントの可視化・自動対応が可能だ。PlaybookはLogic Appsで実装したフローで、アラート発生時にチケットを自動作成したりデバイスを隔離したりといった自動応答を設定できる。
試験での問われ方
SC-900ではSentinelが『SIEMとSOARを組み合わせたサービス』として問われる。Defender for Cloud(セキュリティ態勢管理・脅威保護)とSentinel(ログ収集・脅威分析・自動応答)の違いを整理すること。SentinelのデータコネクタでDefender製品のアラートをSentinelに取り込み、一元管理するというアーキテクチャも定番の出題パターンだ。
このサービスが登場する演習問題(4問)
- 【AZ-900】ある企業のセキュリティ担当者がAzureのログを一元的に収集し、セキュリティイベントを分析してサイバー攻撃の検出・調査・…
- 【SC-900】ある中規模企業のセキュリティチームが、Azure 環境全体のログを一元収集して不審なアクティビティを監視したいと考えてい…
- 【SC-900】ある企業が Microsoft Defender XDR と Microsoft Sentinel を併用しています。セ…
- 【SC-900】ある企業が Microsoft Copilot for Security を評価しています。Microsoft Copi…