ブログ

Azure Sentinel による BIG-IP Advanced WAF の脅威の可視化、アラート、レポートの一元管理

トム・アトキンス サムネイル
トム・アトキンス
2022年11月22日公開

ビジネスおよび消費者向けアプリケーションに対する需要は減速の兆しを見せておらず、分散型マルチクラウド アーキテクチャ全体にわたってワークロードが急速に増加しています。 同時に、サイバー脅威はますます蔓延し、巧妙化しているため、セキュリティ チームには、アプリケーション ポートフォリオとデータを保護するために、最新かつ最高のテクノロジに多額の投資をする以外に選択肢がほとんどありません。 多くの場合、これは、さまざまな脅威に対する堅牢なセキュリティ体制を実現するために、通常は多数のベンダーからのさまざまなソリューションの寄せ集めを導入することにつながります。 したがって、各ソリューションはそれぞれ独自のイベントアラート機能とダッシュボードを提供しており、それらは互いにサイロ化されているため、ソリューション全体にわたる包括的な脅威ビューをまとめる作業は面倒で時間がかかり、非常に非効率的になります。 このシナリオを大まかに表すと、以下の図 1 のようになります。

図1: セキュリティの可視性とアラートの複雑さを導入するマルチクラウド アーキテクチャの例

ほとんどの組織のセキュリティ チームは、図 1 に示されているよりもはるかに多くのセキュリティ デバイスと環境で構成される複雑なアーキテクチャを保護する責任を負っているため、この運用モデルは明らかにスケーラブルではなく、アプリとデータのリスクが増大する可能性があります。 このため、多くの人が セキュリティ情報およびイベント管理 (SIEM) 複数のセキュリティ システムにわたるデータの集約、分析、視覚化を支援するサービス。 当然のことながら、2022 年のCybersecurity Insiders SIEM 調査では、組織の 80% がすでに SIEM ソリューションを実装しているか、近い将来に実装する予定であることがわかりました。主な動機は、イベント検出の高速化とセキュリティ運用の効率化です。 同レポートでは、2021年から2022年にかけてSIEM市場は市場全体のクラウドおよびSaaSベースの製品への移行を反映し、オンプレミスでハードウェアまたはソフトウェアベースのSIEMソリューションを導入することを選択する企業は減少し、Azure SentinelやSumo LogicなどのクラウドベースのSaaSソリューションに移行する企業が増えていると指摘しています。 セキュリティ ベンダーが SIEM ソリューションとの統合を提供している場合、図 1 のアーキテクチャ例を大幅に簡素化でき、図 2 に示すように、すべての脅威イベントが集中型 SIEM ツール内でコンパイルされます。

図2: SIEM ツールの導入により、マルチクラウド セキュリティのアラートと可視性が簡素化されます。

F5 は近年、顧客による SIEM 採用の増加を観察し、自社の製品スイートとの SIEM 統合の検証を重要な焦点としてきました。 BIG-IP、NGINX、F5 Distributed Cloud Services のいずれのソリューションも、Splunk、Exabeam、Microsoft Azure Sentinel など、幅広い主要な SIEM プラットフォームと互換性があります。

後者に焦点を当てると、F5 の BIG-IP Advanced WAF は数年前から Azure Sentinel との統合を提供しており、多数の Azure 顧客に活用されています。 この統合により、BIG-IP Advanced WAF インスタンスがオンプレミス、コロケーション施設、Azure、またはその他のクラウド環境など、どこに展開されているかに関係なく、Sentinel は各インスタンスからリアルタイム データを収集し、組織のアプリケーション ポートフォリオ全体にわたって統合された脅威ビューを提供できます。 このシナリオは、以下の 3 番目で最後の図に反映されています。

図3: Azure Sentinel 内で分散された BIG-IP Advanced WAF データとアラートを集約する

現在、BIG-IP Advanced WAF インスタンスを Azure Sentinel に接続する方法は 2 つあり、どちらも推奨されており、完全に無料です。 1 つ目は、名前が示すように、サードパーティの分析ソリューションにデータをストリーミングできるようにする BIG-IP の拡張機能であるF5 Telemetry Streaming を活用します。 このアプローチの唯一の要件は、各インスタンスが少なくともソフトウェア バージョン v13.1 を実行している必要があることです。 あるいは、Syslog または CEF (Common Event Format) のいずれかを使用するより標準的な業界技術に精通している場合は、これら両方もサポートされます。

BIG-IP Advanced WAF インスタンスを Azure Sentinel に接続する方法について詳しく知りたい場合は、以下の Azure Marketplace リストで各統合方法の追加情報を参照してください。