Microsoft Sentinel の 無料枠 と E5特典 の話
詳しくは書けませんが、端的に言うと身近なところでアレコレあったので教訓の観点からメモです。
Microsoft Sentinel に興味がある方や、SIEM の費用や運用を検討中の方の参考になれば幸いです。
前書き
Microsoft Sentinel は従量課金で利用できるクラウドの SIEM/SOAR サービスで、当然の事ながら Microsoft のクラウドサービスとは簡単に連携でき、各サービスのログを取り込み UEBA などインシデントに繋がる精査やアラートのなど素晴らしい機能を提供しています。
Microsoft Sentinel とは
https://learn.microsoft.com/ja-jp/azure/sentinel/overview?tabs=azure-portal
そしてタイトルの通り、取り込め込めるログには 無料枠 および Microsoft 365 E5 ライセンスを持つユーザには 特典枠 も提供されています。
ただ世の中のブログではこの辺の区別なく "E5 ライセンス = 1ユーザ/5MB/日は無償" と書かれている情報も散見されるので注意喚起としてのメモでもあります。。
無料枠と特典枠
Microsoft Sentinel に取り込むログには、既定で料金の発生しない 無料データソース (以下無料枠) と、Microsoft 365 E5 含め上位ライセンスユーザのログ取り込みが無料となる特典オファー (以下特典枠) が提供されています。
無料枠 (無料のデータソース)
コストを計画し、Microsoft Sentinel の価格と課金を理解する - 無料のデータソース
https://learn.microsoft.com/ja-jp/azure/sentinel/billing?tabs=simplified%2Ccommitment-tiers#free-data-sources
Azure Activity や、Sentinel 自身 および Office Activity、SecurityAlert などが無料データソースの対象になっています。
| Microsoft Sentinel データ コネクタ | 無料のデータ型 |
|---|---|
| Azure Activity Logs | AzureActivity |
| Microsoft Sentinel の稼働状況の監視1 | SentinelHealth |
| Microsoft Entra ID Protection | SecurityAlert (IPC) |
| Office 365 | OfficeActivity (SharePoint) |
| OfficeActivity (Exchange) | |
| OfficeActivity (Teams) | |
| Microsoft Defender for Cloud | SecurityAlert (Defender for Cloud) |
| Microsoft Defender for IoT | SecurityAlert (Defender for IoT) |
| Microsoft Defender XDR | SecurityIncident |
| SecurityAlert | |
| Microsoft Defender for Endpoint | SecurityAlert (MDATP) |
| Microsoft Defender for Identity | SecurityAlert (AATP) |
| Microsoft Defender for Cloud Apps | SecurityAlert (Defender for Cloud Apps) |
Microsoft 365 E5 特典
Microsoft Sentinel で利用できる Microsoft 365 E5 特典オファー - どのデータ テーブルがこのオファーに含まれているのですか?
https://azure.microsoft.com/ja-jp/pricing/offers/sentinel-microsoft-365-offer
E5 などの上位ライセンスを持つユーザには、以下の特典があります。Defender 系のログも加わっています。
| データ コネクタ | データ型 |
|---|---|
| Microsoft Entra ID (監査およびサインインのログ) | SigninLogs |
| AuditLogs | |
| AADNonInteractiveUserSignInLogs | |
| AADServicePrincipalSignInLogs | |
| AADManagedIdentitySignInLogs | |
| AADProvisioningLogs | |
| ADFSSignInLogs | |
| Microsoft Defender for Cloud Apps | McasShadowItReporting |
| Azure Information Protection | InformationProtectionLogs_CL |
| Microsoft 365 Defender スイート | DeviceEvents |
| DeviceFileEvents | |
| DeviceImageLoadEvents | |
| DeviceInfo | |
| DeviceLogonEvents | |
| DeviceNetworkEvents | |
| DeviceNetworkInfo | |
| DeviceProcessEvents | |
| DeviceRegistryEvents | |
| DeviceFileCertificateInfo | |
| DynamicEventCollection | |
| CloudAppEvents | |
| EmailAttachmentInfo | |
| EmailEvents | |
| EmailPostDeliveryEvents | |
| EmailUrlInfo | |
| IdentityLogonEvents | |
| IdentityQueryEvents | |
| IdentityDirectoryEvents | |
| AlertEvidence |
なにが起こったか
端的に言うと "どえらい課金💸" です。
- 上記 無料枠・特典枠 以外のログも "E5 ライセンスを持っていれば 1ユーザ 5MB/日分 無料で取り込める" と誤った想定をした。
- 事前に PoC をして取り込むログ量の目安を確かめなかった (机上の計算・想定で xTB 分のログは x万円 でカバーできると提案した)
- ログのフィルタリング等を行わず、必要ない大量のログを Sentinel が受け取った。
- Syslog 等の設定ミスにより、想定以上のログが Sentinel に取り込まれる状態になっていた。
その結果は・・・🔥🔥🔥
教訓として
一言でいうとこれです。 DNS のログに限らずですが、なにを取り込み / Sentinel でなにを洗い出したいのか明確に決めた方が良いと思います。
DNS サーバーのイベント ログには、膨大な数のイベントを含めることができます。 高度なフィルター処理を使用して、データがアップロードされる前に不要なイベントを除外し、貴重なトリアージ時間とコストを節約することをお勧めします。
また当然ですが Microsoft Sentinel に関するベストプラクティスや、コスト管理についてはドキュメントにもかなりの事が書かれているので、最低限通読する事をおすすめします。 "Log Analytics ワークスペースごとのデータ上限量" や、"Daily Cap (1日の上限) 設定", "無料枠ではない Defender 製品ログはフィルタリングする" なども検討対象です。
Microsoft Sentinel のベスト プラクティス
https://learn.microsoft.com/ja-jp/azure/sentinel/best-practices
Microsoft Sentinel のコストを管理および監視す
https://learn.microsoft.com/ja-jp/azure/sentinel/billing-monitor-costs
ログの積算ついては "SIEM Caliculator" などで検索すれば幾つかのサイトが出てきます。
ただしこれらはあくまでも試算時の目安程度であり、実際には PoC などから始め、一定期間で取り込まれるログ量や課金の変化も見つつ、SoC などと相談しながら拡充を検討する事が望ましいと思います。
まとめ
正直ログの量など推定しにくい要素に課金が生じるので、本当に PoC は推奨です。 ユーザの使い方や、季節性のイベントでも変動する要素もあり、正直机上の空論でどうこうなるものではありません。
また長期ログの保管は Sentinel に置いたままでは非常に高価なので EventHub + Data Explorer を利用するなど別の Azure リソース の課金についても考慮する必要があります。
公式ドキュメントには運用ガイドなども用意されているので、SoC の体制含めてキチンと設計・運用を行いましょう。
Discussion