ある企業のセキュリティ担当者がAzureのログを一元的に収集し、セキュリティイベントを分析してサイバー攻撃の検出・調査・対応を行うSIEM/SOARプラットフォームを探している。最も適切なAzureサービスはどれか。
- A. Microsoft Entra ID Protection(旧 Azure AD Identity Protection):リスクのあるサインインの検出
- B. Microsoft Defender for Cloud:クラウドリソースのセキュリティ態勢管理
- C. Azure Monitor:インフラとアプリのパフォーマンス監視
- D. Microsoft Sentinel:クラウドネイティブのSIEM/SOARサービス(セキュリティイベント収集・分析・自動対応)
解答と解説を見る
正解: D
Microsoft SentinelはMicrosoftのクラウドネイティブSIEM(セキュリティ情報・イベント管理)+SOAR(セキュリティオーケストレーション・自動対応)サービスで、Azure・Office 365・その他のクラウドやオンプレミスからセキュリティログを大規模に収集し、KQLクエリと機械学習によるインシデント検出・調査・分析、プレイブックによる自動対応を提供する。選択肢CAzure Monitorはインフラパフォーマンス監視が主目的で、セキュリティイベントの統合分析・インシデント調査・SOAR機能はSentinelが担当する(MonitorのログをSentinelに取り込むことはある)。選択肢BのDefender for Cloudはリソースのセキュリティ態勢評価と脅威防御であり、エンタープライズ規模のSIEM/SOARではない。選択肢AのIdentity ProtectionはEntra IDのリスクベース認証に特化しており、ネットワーク・アプリ・インフラ全体のセキュリティイベント統合分析ではない。
📚 関連サービスの解説: Microsoft Sentinel