出典:EThamPhoto(Alamy Stock Photo経由)
Microsoftは火曜日、Microsoft Sentinelセキュリティ情報およびイベント管理(SIEM)プラットフォームに大幅な強化を加え、無制限のログファイルやその他のセキュリティデータを保存できる統合データレイクを追加しました。
さらに、Microsoft Defender Threat Intelligence(MDTI)は、ソフトウェア大手がMicrosoft Defender XDRと統合することで、まもなく追加費用なしで利用可能になります。現在はセキュリティ担当者1人あたり年間5万ドルで提供されていますが、今年後半には、Microsoftは2021年のRiskIQの買収によって得た脅威インテリジェンスサービスであるMDTIを段階的に廃止する予定です。
現在パブリックプレビューで利用可能なMicrosoft Sentinelデータレイクは、すべてのセキュリティデータをスケーラブルなクラウドベースのリポジトリに統合する新しいアーキテクチャを特徴としています。Microsoftの脅威検出担当ゼネラルマネージャーであるScott Woodgate氏は、このデータレイクをSentinelに組み込まれた「フォレンジックボールト」と表現し、セキュリティ運用チームに広大な容量を提供すると述べています。
Microsoftは、AzureデータレイクをSentinelと統合することで、セキュリティチームが既存のログシステムの15%のコストで大量のデータを保存・保持でき、SIEM内でテレメトリを一元化できると述べています。セキュリティデータの保存コストが非常に高いため、Woodgate氏はほとんどの組織が90日分のテレメトリしか保持していないと推定しています。
「しかし、攻撃者はしばしばシステム内にそれ以上長く潜伏しているため、1年または2年分のデータを保存できることは、可視性の確保やエンドツーエンドの理解という点で大きな改善です」とWoodgate氏は述べています。「今では、好きなだけ長期間データを保存でき、1ギガあたり約5セント、つまり従来のログのコストの15%で済みます。」
ForresterのプリンシパルアナリストであるAllie Mellen氏は、セキュリティチームがSIEMでのデータ取り込みと保存の高コストに苦しんできたと述べています。Mellen氏によれば、この問題に対処するために、コールドまたはフローズンストレージを利用したり、Snowflakeなどのプロバイダーによる分析・取り込み用のクラウドサービスを利用したりして、データの保存とアクセスを戦略的に行うケースもあります。また、データパイプライン管理ツールを使ってデータ量を削減し、より低コストの保存オプションにルーティングする企業もあると指摘しています。
MicrosoftがSIEMにデータレイクを提供するのは初めてではないと、OmdiaのプリンシパルアナリストであるAndrew Braunberg氏は述べています。「SIEMベンダーによるデータレイクの導入はしばらく前から進行しており、主に大企業顧客にとって、セキュリティデータ保存コストを抑制する戦略として特に魅力的な選択肢です」と述べています。
CrowdStrikeのFalcon Next-Gen SIEM(昨年リリース)は統合データレイクを備えています。SentinelOneのSingularity AI SIEMもSingularity Data Lakeと統合されており、HuntersのNext-Gen SIEMはセキュリティデータレイク上に構築されています。
「Amazon Security Lakeが2023年に登場して以来、多くの企業が長期データ保存の低コストオプションとしてOpen Cybersecurity Schema Framework(OCSF)を利用しています」とMellen氏は述べています。「他のベンダーも、Cribl Lakeのような低コスト・長期データ保存用のストレージソリューションを導入しており、データルーティングにすでにそのツールを使っている場合は特に有用です。」
さまざまな選択肢がある中で、Mellen氏はMicrosoft Sentinel Data LakeがMicrosoft Sentinelプラットフォームとの統合において独自性があると述べています。「これにより、長期データへのアクセスが容易になり、調査や検出のためにそのデータをアナリティクスタイアに昇格させることもコストを抑えて可能です」と述べています。
AIモデルへの影響
Woodgate氏は、手頃なストレージの必要性が高まっている要因として、エージェンティックAIモデルの導入増加も挙げています。「データレイク内のデータは、今後より優れたエージェンティックAIを提供するのに役立ちます。まず、モデルを支援するために利用できるデータ量が増えたこと、そしてデータがAIが理解できるフォーマットで保存されるため、より効果的になるからです」とWoodgate氏は述べています。
特筆すべきは、このデータレイクがMicrosoftのSecurity Copilotや、Kusto Query Language(KQL)などの構造化クエリ言語検索をサポートしている点です。Mellen氏は、KQLを使うことでセキュリティアナリストがクエリ言語を調整する必要がないため、重要だと述べています。
「これは、Microsoft Sentinelのアナリティクスタイアで保存するよりもはるかに安価に長期データを保存したい顧客にとって、価値ある追加機能です」と述べています。
一方、MicrosoftがMDTIをDefender XDRおよびMicrosoft Sentinelに統合し、追加費用なしで提供する計画は10月までに実現する見込みです。ただし、特定の機能はその後段階的に展開されます。
この発表を知らせるブログ記事によると、Microsoftは「この統合により、顧客はMicrosoftの膨大な生データおよび完成済み脅威インテリジェンスリポジトリにアクセスできるようになり、1日あたり84兆のシグナルから開発され、1万人以上のセキュリティ専門家に支えられています。追加のライセンスや高価なサードパーティソリューションは不要です。」と述べています。
脅威インテリジェンスをSentinelやDefenderと統合することで、Woodgate氏は、セキュリティアナリストがリアルタイムの脅威データを新たな脅威と照合するための幅広い機能を利用できるようになると述べています。サービス全体がDefenderポータルに移行されると、MDTIは個別の提供としては販売されなくなります。Woodgate氏によれば、MDTIを利用していた顧客はごく一部だったとのことです。
「脅威インテリジェンスは、すべての脅威検出および対応製品の基礎ですが、多くのベンダーにとって十分に収益化するのが難しい専門分野でした」とBraunberg氏は述べています。
ForresterのMellen氏は、Defenderへの脅威インテリジェンス提供は実用的な動きだと述べています。「これは、CiscoやSplunk(現在はエンタープライズセキュリティライセンスにCisco Talos脅威インテリジェンスを無料で統合)など、他の市場プレイヤーの動きとも一致します」と述べています。「また、セキュリティ業界がプラットフォーム志向へ進化している流れにも沿っています。」