🔫
Azure SentinelとSplunkの比較
クラウドネイティブなSIEMのSentinelですが、導入検討フェーズで長らくSIEM製品としての評価が高いSplunkと比較されるケースが多いと思います。SplunkもクラウドサービスとしてSplunk cloudやSplunk Secrity Cloudを提供しており、単純比較が難しいですが、Azure SentinelとSplunkをいくつかの観点で比較してみます(主観が入ってます)。ご指摘あればコメントお願いします。(特にSplunk)
比較表
このような感じでまとめてみました。
| 観点 | Azure Sentinel | Splunk |
|---|---|---|
| 環境構築 | クラウドベースであり環境構築が不要 Azure環境があればすぐに利用可能 |
純粋Splunkの場合サーバが必要 ライセンス調達が必要 |
| データ収集 | 主にデータコネクタやLog Analyticsエージェントを使用し収集 MS製品は統合が容易 ログ転送は基本インターネット経由(https) |
主にAppsやForwarderを使用し収集 SentinelよりもAppsの数が充実 |
| データ保管 | Log Analyticsワークスペースに保管(最大2年) 無期限としたい場合はストレージアカウントへエクスポート |
基本的に無期限(容量次第) |
| ログ分析 | KQLを使用 使い勝手はSplunkとあまり変わらない |
SPLを使用 |
| 可視化 | ブックテンプレートを使用もしくはKQLでブックを作成 Splunk Appsに比べて少ないので自作の必要あり |
Apps等のダッシュボードもしくはSPLでダッシュボードを作成 |
| 脅威検知 | 機械学習エンジンとKQLベースの分析ルール 脅威インテリジェンスは外部から取り込み 現時点ではMSの脅威インテリジェンスは一部のみ活用 |
SPL の分析ルール 機械学習エンジン 脅威インテリジェンス |
| SOAR | Azure Logic Appsを使用 SOAR は利用回数に応じた課金が可能 |
Splunk Phantomを使用 追加の年間ライセンス扱いでコンソールも別 |
| UEBA | Sentinelに組み込み | Splunk UBAの追加ライセンス |
| コスト | ログインジェストとログ保管量×期間で従量課金が基本 コミットメントプランもあり<ログ容量単位のコストはSplunkとあまり変わらない印象> |
ログインジェストベース、ワークロードベース、エンティティベースのいずれかでライセンスを購入、基本は1年以上 |
まとめ
以下のような場合はSentinelを選択
- Office 365やAzureなどのMS製品を多く使っている
- スモールスタートで始めたい
- すぐに運用開始したい
このような場合はSplunkを選択
- どんなログでもすべて取り込みたい
- 高機能・高性能なSIEMを使用したい
のイメージかなと考えています。
Discussion