Cログ分析・SIEM専用最終更新: 2026-02-05
Microsoft Sentinel
AzureネイティブのクラウドSIEM + SOAR。Azure Monitor (Log Analytics) をバックエンドとし、AIによる脅威検知と自動対応が可能。
強い点・メリット
- Azure環境であれば数クリックで導入可能(インフラ構築不要)
- Microsoft脅威インテリジェンスと連携し、高度な検知が可能
- SOAR機能(Logic Apps)による自動対応が統合されている
注意点・デメリット
- ログの取り込みコスト+Sentinel分析コストの二重課金構造で、大量ログだと高額に
- 高度な分析ルール作成にはKQLの知識が必要
- サードパーティ製品のログを取り込むにはコネクタ設定等の手間が必要
向き・不向きの判断基準
おすすめなケース
Microsoft 365 / Azure 環境を利用している企業、手軽にSIEMを導入したい場合
向いていないケース
Azure以外のクラウドやオンプレミスが主体の環境(データ転送コストがかかる)、ログ保管だけが目的の場合
監査・ログ管理スペック
- 検索性
- Log Analyticsと同じKQLを使用。検索は高速。
- 保持期間
- Log Analyticsの保持期間設定に準ずる。Sentinel独自のアーカイブ設定も可能。
- エクスポート
- Azure StorageやEvent Hubへエクスポート可能。
- 権限管理
- Azure RBACで細かく制御。
コストと運用
課金モデルの考え方
Log Analyticsのデータ取込・保持料金に加え、Sentinelの分析データ量に対する追加課金が発生する。
運用負荷
完全マネージドなクラウドSIEMのため、サーバー管理は不要。検知ルールのチューニング運用は必要。