🔫

Azure SentinelとSplunkの比較

1 min read

クラウドネイティブなSIEMのSentinelですが、導入検討フェーズで長らくSIEM製品としての評価が高いSplunkと比較されるケースが多いと思います。SplunkもクラウドサービスとしてSplunk cloudやSplunk Secrity Cloudを提供しており、単純比較が難しいですが、Azure SentinelとSplunkをいくつかの観点で比較してみます(主観が入ってます)。ご指摘あればコメントお願いします。(特にSplunk)

比較表

このような感じでまとめてみました。

観点 Azure Sentinel Splunk
環境構築 クラウドベースであり環境構築が不要
Azure環境があればすぐに利用可能
純粋Splunkの場合サーバが必要
ライセンス調達が必要
データ収集 主にデータコネクタやLog Analyticsエージェントを使用し収集
MS製品は統合が容易
ログ転送は基本インターネット経由(https)
主にAppsやForwarderを使用し収集
SentinelよりもAppsの数が充実
データ保管 Log Analyticsワークスペースに保管(最大2年)
無期限としたい場合はストレージアカウントへエクスポート
基本的に無期限(容量次第)
ログ分析 KQLを使用
使い勝手はSplunkとあまり変わらない
SPLを使用
可視化 ブックテンプレートを使用もしくはKQLでブックを作成
Splunk Appsに比べて少ないので自作の必要あり
Apps等のダッシュボードもしくはSPLでダッシュボードを作成
脅威検知 機械学習エンジンとKQLベースの分析ルール
脅威インテリジェンスは外部から取り込み
現時点ではMSの脅威インテリジェンスは一部のみ活用
SPL の分析ルール
機械学習エンジン
脅威インテリジェンス
SOAR Azure Logic Appsを使用
SOAR は利用回数に応じた課金が可能
Splunk Phantomを使用
追加の年間ライセンス扱いでコンソールも別
UEBA Sentinelに組み込み Splunk UBAの追加ライセンス
コスト ログインジェストとログ保管量×期間で従量課金が基本
コミットメントプランもあり<ログ容量単位のコストはSplunkとあまり変わらない印象>
ログインジェストベース、ワークロードベース、エンティティベースのいずれかでライセンスを購入、基本は1年以上

まとめ

以下のような場合はSentinelを選択

  • Office 365やAzureなどのMS製品を多く使っている
  • スモールスタートで始めたい
  • すぐに運用開始したい

このような場合はSplunkを選択

  • どんなログでもすべて取り込みたい
  • 高機能・高性能なSIEMを使用したい

のイメージかなと考えています。

Discussion

ログインするとコメントできます