Microsoft、SentinelにエージェンティックAI機能を追加

出典: Mopic via Alamy Stock Photo

Microsoftは、Sentinelセキュリティ情報およびイベント管理（SIEM）を新たなグラフ機能とモデルコンテキストプロトコル（MCP）サーバーの導入により、幅広いセキュリティ運用・管理プラットフォームへと拡張しています。

先週開催された年次バーチャルイベント「Microsoft Secure」で発表されたSentinelの新機能は、組織の脅威検知と対処能力を加速し、過重な負担を抱えるセキュリティチームを支援するエージェンティックAI機能をもたらすことを約束しています。

新しいグラフツールにより、Security Copilotエージェントは脅威の調査と対応をより正確かつ迅速に行えるようになります。一方、Sentinel MCPサーバーは、サードパーティおよび社内開発のエージェントの統合を促進します。

「Sentinel MCPサーバーは、あらかじめ定義されたエージェントやカスタムエージェントの拡張性を可能にし、統合データに対するAIによる推論を実現します」とMicrosoftのセキュリティ担当コーポレートVP、Vasu Jakkal氏はブログで述べています。「これにより、セキュリティは受動的なものから予測的なものへと変わり、チームが脅威を予測し、大規模な自動対応を可能にします。」

Cisco、CrowdStrike、Palo Alto Networksなどの主要な競合他社と同様に、MicrosoftもSIEMを幅広いセキュリティ運用プラットフォームへと拡張しています。最近発表された製品は、7月に発表されたMicrosoft Sentinel Data Lake（無制限のログファイルやその他のセキュリティデータを保存できる統合データレイク）の拡張となります。

Microsoftは、新たなMicrosoft Security Storeの開始により、エージェントや他のセキュリティプラットフォームとの統合も拡大しています。初期のローンチパートナーには、Accenture、Darktrace、IBM、Illumio、ServiceNow、Simbian、Zscalerなどが含まれます。

ZscalerのCSO兼サイバー・AIエンジニアリング担当エグゼクティブVPであるDeepen Desai氏は、MicrosoftはすでにZscalerのクラウドセキュリティテレメトリを活用して脅威ハンティングや調査の高度化を行っていると述べています。「今回、Microsoft Sentinelの新しいデータレイク機能も含め、この分野での機能とパートナーシップを拡大します。これにより、共同顧客に対してより深い洞察と迅速な対応が可能になります」とDesai氏は語ります。

S&P Globalの451 Researchで情報セキュリティのリサーチディレクターを務めるScott Crawford氏は、脅威発見分析をエージェントに任せる能力が、組織のSecOpsチームが露呈する脅威の多さに圧倒されている現状でますます重要になっていると述べています。Crawford氏の最新調査によると、SOCチームは通常1日に発生するアラートの約半分しか対応できておらず、その割合は過去5年間で着実に増加しています。

「そのすべての情報をトリアージするだけでもSOCチームには大きな負担であり、これらのイノベーションはその負担を軽減し、優先対応すべきイベントを特定することを目的としています」とCrawford氏は述べます。「テレメトリソースを統合し、正規化・相関させ、最も優先度の高いものに対応することで、組織はデータ過多の状況をより良く管理できるようになります。」

3月、MicrosoftはSecurity Copilotに自律型エージェントの導入によりエージェンティックAI機能を追加したと発表しました。それ以来、Microsoftはフィッシングトリアージや条件付きアクセスの最適化などの状況に対応するため、12以上のエージェントをリリースしてきたとJakkal氏は述べています。

より大規模に、より予測的な範囲へ

Microsoftは10年以上にわたりセキュリティグラフ機能を提供してきましたが、Sentinel Data Lakeの追加により、さらに大規模な運用が可能になります。「データレイクのコンセプトは、テレメトリをより良く統合し、データの正規化・合理化を適用し、主にSentinelがより直接的に利用できる形でデータを公開することを目的としています」とCrawford氏は述べます。

Microsoftの脅威検知担当ゼネラルマネージャーであるScott Woodgate氏は、Microsoft Defenderポータルで新しいグラフ機能のデモをDark Readingに行いました。シナリオでは、「Natasha」という架空の従業員がパスワードスプレー攻撃の被害者となっています。Woodgate氏は、Sentinelグラフが攻撃者の次の行動を予測するのに役立つことを示しました。

「グラフは人と資産の関係性を可視化します。これにより、攻撃者が次にSQLデータベースやストレージアカウントを狙う可能性が高いと予測できます」とWoodgate氏は説明します。「もしセキュリティチームが攻撃者より先にそれを知っていれば、キーボルトを確認し、攻撃者が誤った権限を見つけて悪用する前に正しい権限になっているかをチェックし、修正できます。」

より良いエージェント統合と互換性

Sentinel MCPサーバーは、Microsoftとそのパートナーがエージェントを開発するためのプラットフォームを提供するとWoodgate氏は述べます。AzureベースのサーバーはMicrosoft Sentinelインシデントセンターにホストされ、URLを通じてSentinelに公開されます。エージェントやユーザーがMCPサーバーを呼び出すと、Microsoftがリリースする新しいツール群が利用可能になります。その一つがエンティティアナライザーで、攻撃に関するより多くのデータを提供します。もう一つは、MCPサーバーを通じて自然言語クエリを可能にするものです。

「以前はKQLクエリを使っていましたが、最近では自然言語クエリでデータを検索できるようになりました。そして今、エージェント内でMCPサーバーを通じてそれが可能です」とWoodgate氏は述べます。

Jakkal氏は、顧客やパートナーもVS CodeなどのSentinel MCPサーバー対応コーディングプラットフォームでGitHub Copilotを使ってエージェントを構築できると付け加えました。「構築後は、馴染みのある開発プラットフォーム内でプロセスを維持しつつ、エージェントをSecurity Copilotワークスペースに展開・改良できます」と彼女は述べています。

MicrosoftのSentinelグラフとMCPサーバーは現在パブリックプレビューで利用可能です。7月からプレビュー提供されていたSentinel Data Lakeは、現在一般提供が開始されています。