一緒に使えばさらに効果的：Microsoft SentinelとSonicWallファイアウォールの統合

始める

サイバー脅威が巧妙化し続ける中、企業はインシデントを検出しそれに対応し防止するための堅牢なセキュリティソリューションを必要としています。クラウドネイティブなセキュリティ情報イベント管理（SIEM）ソリューションであるMicrosoft Sentinelは、企業全体にインテリジェントなセキュリティ分析と脅威インテリジェンスを提供します。一方、SonicWallの次世代ファイアウォール（NGFW）は、外部の脅威からネットワークを保護する信頼性の高いネットワークセキュリティソリューションです。これら2つの製品の統合によって、セキュリティ運用を大幅に強化することができます。

Microsoft SentinelおよびSonicWallファイアウォールについて：

Microsoft Sentinel
Microsoft Sentinelは、スケーラブルでクラウドネイティブなSIEMおよびセキュリティオーケストレーション自動対応（SOAR）ソリューションです。インテリジェントで包括的なセキュリティ情報イベント管理（SIEM）ソリューションを用いてプロアクティブな脅威の検出とハンティング、脅威の調査、および対応を行い、巧妙な脅威を発見して確実に対処していきます。Microsoft Sentinelを利用すると、データコネクター、ワークブック、分析、自動化などのコンテンツを整理統合された方法で取得できます。

SonicWallファイアウォール
SonicWallのNGFWは有効なサイバーセキュリティの体制を維持するためのセキュリティ、制御、可視性を提供します。SonicWallファイアウォールは、ネットワークインフラストラクチャの保護と同時に、予算面にも配慮したコストで固有のセキュリティとユーザビリティのニーズに応えるよう設計されています。

ステートフルな高可用性や電源の冗長性などの機能よって、「常時オン」の継続性を実現する一方で、優れたUXとシンプルなシングルペインオブグラス管理により、複雑さを軽減します。また、SD-WANとDPI-SSLが組み込まれていることにより、業界トップクラスのTCOを提供します

特徴と機能

SonicWall NGFWとMicrosoft Sentinelの統合により、企業はセキュリティインフラストラクチャの全体的な可視性、セキュリティ、リアルタイムの脅威検出ならびに応答の自動化を、より高い水準で実現しやすくなります。これらの統合機能を活用することで、当社のパートナーと顧客は、ファイアウォールのログをMicrosoft Sentinelクラウドプラットフォームに転送し、ログを解析し、カスタムワークフローを作成し、応答を自動化できるようになります。

構成の手順

統合は次のような簡単な手順で構成することができます。
1. Microsoft Sentinel Workspaceの展開

Microsoft Sentinelに必要なリソースを構築するカスタムテンプレートを使用し、新規リソースを作成します。

2. Microsoft Sentinel向けのSonicWallソリューションのインストール

Microsoft Sentinelのコンテンツハブから事前定義済みの「SonicWall Network Security」ソリューションをインストールします。
AMAデータコネクターのデータ収集ルールを介して共通イベントフォーマット（CEF）を構成し、収集するイベントフィルターのタイプ（Syslogファシリティ）を設定します。

収集ルールの構成：
- LOG_LOCAL* (0-7)からLOG_DEBUG
- LOG_SYSLOGからLOG_DEBUG
- LOG_USERからLOG_DEBUG

3. Operations Management Suite（OMS）またはLog Analyticsエージェントのインストール

OMS/Log AnalyticsエージェントはSyslogリレーを提供します。このエージェントをネットワーク内のホストにインストールし、ArcSight形式のSyslogデータをエージェントに送信するようSonicOSを構成する必要があります。エージェントはAzureとのセキュアな接続を確立します。そのため、ログデータがプレーンテキストでクラウドに送信されることはありません。

4. SonicWallファイアウォールでのSyslogサーバーの構成

SonicWall NGFWでSyslogサーバーを構成し、Syslog形式にドロップダウンからArcSight（CEF）を選択します。
Syslogサーバーとしてお使いのLinux VMにIPアドレス/名前を指定し、SyslogファシリティをLocal use 4とします。
注意：詳細については、こちらのナレッジベースの記事をご覧ください。
OMS/Log AnalyticsエージェントがCEFメッセージを受信し、Azureに接続できることことを確認します。

5. SonicWallファイアウォール用のMicrosoft Sentinelワークブック

「SonicWall Network Security」データコネクターには、当社の各種セキュリティサービスのさまざまなクエリ、ならびにその他のトラフィックやセキュリティに関するインサイトを含むワークブックが含まれています。自社の要件に応じて、分析ルール、ハンティングクエリ、およびワークブックを構成することができます。

統合の利点

Microsoft SentinelとSonicWall NGFWの統合には、組織のセキュリティ体制を強化するためのいくつかの利点があります。

包括的表示：Microsoft Sentinelでは、インフラストラクチャ全体を俯瞰することにより、巧妙な攻撃に対処し多数のアラートを処理する負担が軽減されます。
リアルタイムの脅威検出：SonicWallのログを取り込むことにより、脅威検出機能を強化し、ネットワークトラフィック、ユーザーの行動、潜在的なセキュリティインシデントを可視化することができます。
脅威の可視化とプロアクティブなハンティング：Azure Sentinelは、インテリジェントなセキュリティ分析、脅威インテリジェンス、およびプロアクティブなハンティング機能を提供します。これにより、お使いの環境全体で脅威を検出し、迅速に対応できるようになります。
自動応答：Microsoft SentinelのSOAR機能とSonicWallのリアルタイムデータを組み合わせることによって、インシデント対応を自動化します。特定のイベントに基づいて事前に定義されたアクションを実行するプレイブックを作成/使用することができます。この組み合わせが、巧妙化し続ける脅威に対抗する確実な保護を提供します。

可用性

SonicWallファイアウォールとMicrosoft Sentinelクラウドプラットフォームの統合が、すべてのパートナー/顧客にご利用いただけるようになりました。

For more detailed instructions, please refer to the SonicWall Firewall-Sentinel Integration Guide. Here is the data connector instructions article.