クイック スタート: Microsoft Sentinel をオンボードする

このクイックスタートでは、Microsoft Sentinel を有効にし、環境を監視および保護するためのデータ コネクタを設定します。 データ コネクタを使用してデータ ソースを接続した後、優れた設計のブックのギャラリーから選択し、データに基づいて分析情報を表示できます。 これらのブックは、ニーズに合わせて簡単にカスタマイズできます。

Microsoft Sentinel には、Microsoft 365 Defender サービス間コネクタなど、Microsoft 製品用の多くのコネクタが付属しています。 また、Syslog や Common Event Format (CEF) など、Microsoft 以外の製品の組み込みコネクタを有効にすることもできます。 データ コネクタの詳細について確認してください

重要

Microsoft Sentinel の価格」と Microsoft Sentinel のコストと課金に関する情報を確認してください。

グローバルな前提条件

リージョン別の提供状況とデータの保存場所

  • Microsoft Sentinel は、Log Analytics が一般公開されているほとんどのリージョンのワークスペースで実行できます。 Log Analytics が新しく利用可能になったリージョンでは、Microsoft Sentinel サービスのオンボードに時間がかかる場合があります。

  • 地域とリージョン、および顧客データが格納されている場所については、「Azure でのデータ所在地」を参照してください。

  • 現在、単一リージョンのデータ所在地は、アジア太平洋地域の東南アジア リージョン (シンガポール) と、ブラジル地域のブラジル南部リージョン (サンパウロ州) でのみ使用できます。

    重要

    • 機械学習 (ML) エンジンを利用する特定の規則を有効にすることで、機械学習エンジンがこれらの規則を処理するために必要な場合に、Microsoft Sentinel ワークスペースの地理的な場所以外で取り込まれた関連データをコピーするためのアクセス許可を Microsoft に付与します。

Microsoft Sentinel を有効にする

  1. Azure portal にサインインします。 Microsoft Sentinel が作成されたときのサブスクリプションが選択されていることをご確認ください。

  2. Microsoft Sentinel を検索して選択します。

    Microsoft Sentinel を有効にしているときのサービスの検索のスクリーンショット。

  3. [追加] を選択します。

  4. 使用するワークスペースを選択するか、新しいワークスペースを作成します。 複数のワークスペースで Microsoft Sentinel を実行できますが、データは 1 つのワークスペースに分離されます。 Microsoft Defender for Cloud によって作成された既定のワークスペースは一覧に表示されないことに注意してください。 これらのワークスペースに Microsoft Sentinel をインストールすることはできません。

    Microsoft Sentinel を有効にしているときのワークスペースの選択のスクリーンショット。

    重要

    • Microsoft Sentinel がワークスペースにデプロイされた後に、そのワークスペースを他のリソース グループやサブスクリプションに移動することは、現在はサポートされていません

      ワークスペースを既に移動している場合は、 [Analytics] の下のアクティブなルールをすべて無効にし、5 分後に再び有効にします。 これは、ほとんどの場合に効果的です。ただし、繰り返しますが、サポートされておらず、ご自身の責任で行ってください。

  5. [Microsoft Sentinel の追加] を選びます。

データ コネクタを設定する

Microsoft Sentinel でサービスとアプリからのデータを取り込むには、サービスに接続して、Microsoft Sentinel にイベントとログを転送します。

  • 物理マシンと仮想マシンの場合、ログを収集して Microsoft Sentinel に転送する Log Analytics エージェントをインストールできます。
  • ファイアウォールとプロキシの場合は、Microsoft Sentinel によって Log Analytics エージェントが Linux Syslog サーバーにインストールされます。ここからエージェントがログ ファイルを収集して Microsoft Sentinel に転送します。
  1. メイン メニューで [Data connectors](データ コネクタ) を選択します。 これにより、データ コネクタ ギャラリーが開きます。

  2. データ コネクタを選択し、[Open connector page] (コネクタ ページを開く) ボタンを選択します。

  3. コネクタ ページには、コネクタを構成するための手順や、必要になる可能性のあるその他の手順が示されます。

    たとえば、Azure AD から Microsoft Sentinel にログをストリーム配信できる Azure Active Directory データ コネクタを選択した場合、取得するログの種類 (サインイン ログまたは監査ログ、あるいはその両方) を選択できます。
    インストール手順に従います。 詳細については、関連する接続ガイドを参照するか、Microsoft Sentinel データ コネクタを確認してください。

  4. コネクタ ページの [次の手順] タブには、データ コネクタに付随する組み込みのブック、サンプル クエリ、および分析ルール テンプレートが表示されます。 これらはそのまま使用することも、変更することもできます。どちらの場合も、データに関する興味深い分析情報をすぐに得ることができます。

データ コネクタを設定すると、データは Microsoft Sentinel へのストリーム配信を始め、操作を開始する準備が整います。 組み込みのブックでログを表示したり、Log Analytics でクエリを作成してデータを調査したりできます。

データ収集のベスト プラクティス」を確認してください。

次のステップ

詳細については、次を参照してください。