Splunkが、SIEMのイノベーションに欠かせない、過剰なアラートの抑制、セキュリティの可視性の向上、広範なインテグレーションエコシステムの提供において、IBM QRadarと比較ができます。
本当に短い時間で、高度な脅威を検出することができたのです。最終的にはこれがポイントとなり、セキュリティのさまざまなユースケースでSplunk ESおよびUBAに莫大な投資を行うという決定に至りました
SplunkとMicrosoft Sentinelの比較
Splunk Enterprise Securityは、包括的な可視化、コンテキストに基づく高精度の検出、運用効率の向上を実現します。重要な問題だけを検出して包括的に調査し、迅速な対応につなげましょう。3つの主要なアナリストレポートでリーダーに認定されたSIEMソリューションは、他にありません。
Microsoft Sentinel
複雑な価格体系
Microsoft Sentinelでは、取り込みデータ量に応じて課金されますが、データの保持、アーカイブ、リストア、サーチに関してはわかりづらい点が多々あり、予期せぬコストが生じかねません。Microsoft E5の顧客は1日当たりのデータ取り込み量に関する助成を受けることができますが、特定のソースに限られています。
Splunkの強み
Splunkは、データの取り込み量または使用量に基づいた柔軟な価格体系を提供しています。そのため、予想されるコストを明確に見通すことができます。各環境に合わせてテクノロジーを最大限に活用できるよう配慮されています。
Microsoft Sentinel
柔軟性に欠けるアーキテクチャ
組織は変化する顧客のニーズに応えるために、テクノロジーの活用方法をかつてないペースで進化させています。しかし、Microsoft Sentinelでは、SIEMのバックエンドとしてAzure Cloudを使用する必要があり、ベンダーを切り替えない限り、この状況を変えることはできません。
Splunkの強み
変化の激しい今日の環境で成功できるよう、Splunkには、最新のSOCに必要な柔軟性とさまざまなオプションが用意されています。単一のクラウド、マルチクラウド、ハイブリッド、オンプレミスのいずれを利用する場合でも、アーキテクチャ全体を継続的に管理し、現在だけでなく将来にわたって備えることができます。
Microsoft Sentinel
コンテキストに基づく脅威検出に関する機能不足
Sentinelはアラート、インシデント、攻撃チェーンに関する機能を備えていますが、それに対応しきれない担当者へのサポートがほとんどありません。SOCチームが状況を全体的にすばやく理解して重要な脅威に優先的に専念できるようにすることに、重点が置かれていないのです。また、SentinelにはMITRE ATT&CK、NIST CSF 2.0、サイバーキルチェーンといった業界のフレームワークにイベントをネイティブでマッピングする機能が十分に備わっていないため、Azure Security Centerの利用が不可欠です。
Splunkの強み
Splunk Enterprise Securityでは1,500以上の検出ルールを利用可能であり、Splunk脅威調査チームが業界のフレームワークに沿って整備しています。また、独自のリスクベースアラート(RBA)では、リスクの原因をユーザーとシステムに結び付けることで、リスクが事前に定義したしきい値を超えた場合にしかアラートが生成されないため、アナリストが過剰なアラートに疲弊することはありません。RBAによってアラートの量を最大90%削減し、最も差し迫った脅威のみに常に集中できます。Splunk Enterprise Securityで使える検出ルールは、MITRE ATT&CK、NIST、CSF 2.0、サイバーキルチェーン®をはじめとする業界のフレームワークにネイティブで準拠しています。
Microsoft Sentinel
連携不足の非効率的なSOCワークフロー
Microsoft Sentinelは、脅威の検出、調査、対応プロセスを通じたワークフローの統合に十分に対応していません。Sentinelにはプレイブックがありますが、Logic Appsによる自動化をベースとしており、これは主にAzureのエコシステムに合わせて調整されているため、Microsoft以外のテクノロジーへの拡張が制限されます。
Splunkの強み
Splunk Enterprise Securityは、脅威の検出、調査、対応プロセスを通して最新機能を集約した1つの画面を採用し、統合されたワークフローを提供します。Splunk SOARを統合するワークフローによってSOCの運用効率を高め、オーケストレーションおよびレスポンスアクションを新たなレベルに引き上げます。Splunkでは、緊急度に動じた対応の調整や優先順位付けができるため、リスクにより適切に対処することが可能です。
| Splunk | Microsoft Sentinel | |
|---|---|---|
テクノロジーの選択肢 | Splunk Enterprise Securityは、規模を問わずあらゆるソースのデータをシームレスに取り込み、正規化し、分析できます。データを効率的に最適化して、エッジであっても重要なデータを指定して取り込むとともに、データの階層化を通じたコスト効率の高いストレージを活用できます。また、Splunk Enterprise Securityなら、重要事項に優先して対応し、テクノロジーの世界的なリーダー企業が提供するツールと統合できます。一方的な対応にならないよう配慮されています。 | Sentinelでは、どのデータを取り込めるかどうかがMicrosoft社の意向や優先順位に左右されます。これは同社の製品も例外ではなく、現に、Microsoft社のエコシステム内であっても一部のデータソースが完全にはサポートされておらず、プレビュー状態のまま進まなかったり、管理するために大がかりな設定が必要になったりします。そのうえ、Microsoft Sentinelではファイアウォールのログといった重要なログソースを性能の低いデータストアに配置するよう導かれるため、調査に支障をきたし、コストが増大する可能性があります。 |
整備された検出ルール | Splunkでは、業界のフレームワークに準拠した1,500以上の検出ルールが整備されており、導入初日から価値を実現できます。また、新しい脅威や未知の脅威にプロアクティブに対応できるよう、Splunk脅威調査チームによって常に最新のセキュリティコンテンツが提供されます。 | Microsoft Sentinelでは、コンソール内でないと、影響の大きい重要なコンテンツを把握することが困難です。セキュリティ担当者は、攻撃が実際に表面化して初めてコンテンツのアップデート状況やMITRE ATT&CKへのマッピング方法を知る可能性もあります。 |
データ最適化 | Splunkプラットフォームでは、データソースを最適化してデータを最善の形で活用できます。データは保存場所でサーチして、正規化、エンリッチメント、可用性確保と保持といったタスクを行うにあたり、必要に応じてSplunkに取り込むことができます。優れた柔軟性を備えたSplunk Enterprise Securityなら、エッジのデータでも保存やアクセスがしやすく、セキュリティのユースケースに欠かせない主要データを簡単に取り込めます。そのため、コスト効率が高いデータ最適化戦略を持てます。 | Microsoft社は、相変わらず何よりも自社を優先しています。顧客はログの収集レベルをシンプルな「Basic」と「Analytics」から選択することになりますが、そのデータを保管する場所の選択肢がほとんどありません。やがて、組織は自らの重要なデータの保管先を選ぶ術を失うことになります。 |
プロアクティブなリスク対応 | Splunk Enterprise Securityのリスクベースアラート(RBA)を使用すると、リスクをユーザーやシステムと関連付け、アラートをサイバーセキュリティフレームワークにマッピングして、リスクがしきい値を超えたときにアラートを生成できます。これにより、優先順位をより的確に判断できます。また、過剰なアラートが抑制されるため、完全忠実な脅威の検出に専念してリスクにプロアクティブに対処することが可能です。 | Sentinelは、高精度のリスクベースアラートを提供していません。セキュリティ担当者は優先して対処すべき最も重要なアラートがわからないため、多数のアラートや攻撃チェーンを精査する必要があります。高度な相関付けやカスタマイズ可能なリスクスコアリングに対応していないSentinelでは、アラートの優先順位付けを効果的に行うことができず、高リスクの脅威への対応が遅れかねません。 |
運用効率の向上 | Splunkは、高い拡張性とシームレスな統合機能を備え、リスクベースの統合された脅威の検出、調査、対応(TDIR)プロセスやハイブリッド環境に対応するだけでなく、脅威やリスクの分析力を向上させてSOCを強化できます。また、Splunk Enterprise Security、Splunk SOAR、Splunk User Behavior Analytics、Splunk Attack Analyzerをはじめとする業界トップクラスの製品の連携を通じて、TDIRワークフローを統合し、セキュリティ運用のユースケースに幅広く対応します。 | Sentinelにはプレイブックがありますが、Logic Appsによる自動化をベースとしており、これはAzureのエコシステムに合わせて調整されているため、Microsoft以外のテクノロジーへの拡張が制限されます。SOCを効果的に運用するには、テクノロジーに関する高い拡張性とシームレスなインテグレーションを提供し、多様性に富んだハイブリッド環境をサポートして、脅威とリスクの分析力を向上させることができるSIEMプラットフォームが必要です。対応範囲の狭いSentinelでは、現代のSOCが抱える変化の激しい多面的なニーズを満たすのは難しいでしょう。 |
将来への投資 | セキュリティの世界において、未来志向であることは不可欠です。アーキテクチャ、ベンダー、わかりやすい価格体系を提供することにとどまらず、Splunkはセキュリティに関するコミュニティの構築にも常に力を入れています。SplunkはOpen Cybersecurity Schema Framework (OCSF)の創設メンバーであり、これまでの歩みと今後の展望に誇りを持っています。 | Microsoft社はOCSFへの貢献をわずかながら開始しましたが、相変わらず、最大の目的は自社の製品や標準との連携を進めることのようです。テクノロジーと標準の進化に伴い、顧客は取り残される可能性があります。 |
IDC社による2022年SIEM市場シェアレポートで1位を獲得
Splunkを導入している世界中の主要な企業
