미국 마이크로소프트가 애저 센티넬(Azure Sentinel)로 불리는 클라우드 기반의 SIEM+SOAR 서비스를 2019년 하반기부터 제공할 예정이라고 밝혔다.

마이크로소프트가 해당 솔루션을 어필하는 배경에는 2020년 1월 14일에 지원이 종료되는 Windows Server 2008/2008 R2에 있다. 조사에 의하면 기밀 정보의 취급 상 클라우드는 도입할 수 없다(39.4%), 클라우드 이용의 보안 리스크를 판단할 수 없다(28.5%) 라는 클라우드에 부정적인 기업들이 존재하는 상황에서 이러한 우려를 불식시키기 위해 마이크로소프트는 모던 IT 인프라에 요구되는 ID와 디바이스 관리, 로그 수집과 감사를 전제로 한 "제로 트러스트형 보안 모델'을 추진하고 있다.

클라우드 규모의 보안 분석 환경을 제공하는 Azure Sentinel은 Azure Monitor를 사용하여 Office 365로 대표되는 자사 솔루션이나 Microsoft Intelligent Security Association에 참여하는 팔로알토 네트웍스, F5, 시만텍 등의 보안 솔루션의 로그와 함께 각종 서버, SaaS 앱과 데스크톱 앱, 리눅스의 syslog. 네트워크 서비스 등 각종 로그를 분석 데이터베이스에 축적한다. 또, 빌트 인 ML(머신러닝) 모델이나 Azure Machine Learning를 이용한 독자적인 ML 모델 구축, UEBA(User and Entity Behavior Analytics)에 의한 유저의 이상 행동 분석, 상관관계 룰을 이용한 ML FUSION으로 위협 검지를 시행한다. Azure Sentinel 미대응 앱은 REST API  경유나 서드 파티제 커넥터에서도 취득할 수 있다.

위협을 검지했을 경우 대시보드로 공격 내용을 가시화하여 대응 시간을 단축한다. 또, 위협 발생시 Microsoft Teams 등 비즈니스 채팅의 투고 등을 자동화하는 Playbook을 준비한다. 논코딩 솔루션 Logic Apps와 유사한 조작으로 자동 워크플로를 구축할 수 있을 예정이며 Azure Sentinel은 AAD(Azure Active Directory)를 기반으로 하는 공통의 ID 관리·권한 관리 운용을 상정하여 사외나 AD(Active Directory) 운용의 온 프레미스 환경, AWS(Amazon Web Services)나 GCP(Google Cloud Platform) 등을 지원한다.

마이크로소프트는 최근 비즈니스의 키워드인 "일하는 방법 개혁", "DX(디지털 트랜스포메이션)"에 대해 테크놀로지의 활용에 의한 생산성 향상과 어질리티 향상이 그것의 정답이며 제로 트러스트형 시큐리티 모델을 채용한 Azure Sentinel의 강점을 어필했다.

마이크로소프트 애저 센티넬 - https://azure.microsoft.com/ko-kr/services/azure-sentinel/