Microsoft Sentinel コンテンツとソリューションについて

Microsoft Sentinel "コンテンツ" は、さまざまな製品、プラットフォーム、サービスに対してデータの取り込み、監視、アラート、監視、調査、応答、接続を行うことができるようにするセキュリティ情報イベント管理 (SIEM) のソリューション コンポーネントです。

Microsoft Sentinel のコンテンツには、次のいずれかの種類が含まれます。

  • データ コネクタ によって、ログが、さまざまなソースから Microsoft Sentinel に取り込まれます
  • パーサー では、ログの書式設定または ASIM 形式への変換が提供され、Microsoft Sentinel コンテンツのさまざまな種類とシナリオでの使用に対応しています
  • ブック によって、Microsoft Sentinel のデータの監視、視覚化、対話機能が提供され、ユーザーにとって意味のある分析情報が強調表示されます
  • 分析ルールでは、インシデントを介して関連する SOC アクションを指すアラートが提供されます
  • ハンティング クエリ は、SOC チームが、Microsoft Sentinel で脅威を事前にハンティングするために使用します
  • Notebook は、SOC チームが Jupyter と Azure Notebooks の高度なハンティング機能を使用するのに役立ちます
  • ウォッチリスト は、脅威の検出を強化し、アラート疲れを減らすために、特定のデータの取り込みをサポートします
  • プレイブックと Azure Logic Apps カスタム コネクタの機能を使用して、Microsoft Sentinel で自動的な調査、修復、対応のシナリオを実現します

Microsoft Sentinel では、これらのコンテンツ タイプが ソリューション および スタンドアロン 項目として提供されます。 "ソリューション"は、Microsoft Sentinel コンテンツまたは Microsoft Sentinel API 統合のパッケージであり、Microsoft Sentinel のエンドツーエンドの製品、ドメイン、または業界の垂直シナリオを実現します。 ソリューションとスタンドアロン項目の両方が、コンテンツ ハブで検出および管理されます。

独自のニーズに合わせてすぐに使える (OOTB) コンテンツをカスタマイズすることも、コミュニティ内の他のユーザーと共有するコンテンツを含む独自のソリューションを作成することもできます。 詳細については、ソリューションの作成と発行に関する Microsoft Sentinel ソリューションのビルド ガイドを参照してください。

Microsoft Sentinel コンテンツを検出して管理する

Microsoft Sentinel コンテンツ ハブを使用して、すぐに使える (OOTB) コンテンツを一元的に検出してインストールします。

Microsoft Sentinel コンテンツ ハブを使用すると、Microsoft Sentinel のエンドツーエンドの製品、ドメイン、OOTB の垂直のソリューションとコンテンツを、製品内で簡単に検出し、ワンステップでデプロイして、有効にすることができます。

  • コンテンツ ハブで、カテゴリとその他のパラメーターでフィルター処理するか、強力なテキスト検索を使用して、組織のニーズに最も適したコンテンツを見つけます。 コンテンツ ハブは、コンテンツの各部分に適用されるサポート モデルも示しています。一部のコンテンツは Microsoft によって管理されており、他のコンテンツはパートナーまたはコミュニティによって管理されています。

    Microsoft Sentinel コンテンツ ハブを使用してすぐに使えるコンテンツの更新を管理し、 [リポジトリ] ページを使用してカスタム コンテンツの更新を管理します。

  • 独自のニーズに合わせてすぐに使用するコンテンツをカスタマイズしたり、分析ルール、ハンティング クエリ、ノートブック、ブックなどのカスタム コンテンツを作成したりできます。 カスタム コンテンツは、Microsoft Sentinel API を介して Microsoft Sentinel ワークスペースで直接管理するか、Microsoft Sentinel の [リポジトリ] ページを介して独自のソース管理リポジトリで管理します。

コンテンツ ハブとソリューションを使用する理由

Microsoft Sentinel "ソリューション" は、コンテンツ ハブで 1 つまたは複数のドメインまたは垂直のシナリオについてエンドツーエンドの製品価値を提供するパッケージ統合です。

Azure Marketplace を利用したソリューション エクスペリエンスは、目的のコンテンツを検出して展開するのに役立ちます。 Azure Marketplace でのソリューションの作成と発行の詳細については、Microsoft Sentinel ソリューション ビルド ガイドを参照してください。

  • パッケージ化されたコンテンツは、データ コネクタ、ブック、分析ルール、プレイブック、ハンティング クエリ、ウォッチリスト、パーサーなど、1 つまたは複数の Microsoft Sentinel コンテンツ コンポーネントからなるコレクションです。

  • 統合には、Microsoft Sentinel または Azure Log Analytics API を使用して構築されたサービスまたはツールが含まれ、Azure と既存の顧客アプリケーション間の統合をサポートしたり、データやクエリなどをアプリケーションから Microsoft Sentinel に移行したりすることができます。

ソリューションを使用して、すぐに使える (OOTB) コンテンツのパッケージを 1 回の手順でインストールすることもできます。インストール後は、多くの場合、コンテンツをすぐに使用できます。 プロバイダーとパートナーは Sentinel ソリューションを使用し、統合された製品、ドメイン、または垂直の価値を届けることにより、顧客の投資に価値を追加します。

コンテンツ ハブを使用すると、シナリオに基づく方法でソリューションと OOTB コンテンツを一元的に検出してデプロイできます。

詳細については、次を参照してください。

Microsoft Sentinel のすぐに使えるコンテンツとソリューションのカテゴリ

Microsoft Sentinel のすぐに使えるコンテンツは、次の 1 つまたは複数のカテゴリで適用できます。 コンテンツ ハブで、表示するカテゴリを選択して、表示されるコンテンツを変更します。 コミュニティで配信されたアイテムは、スタンドアロンのコンテンツまたはソリューションとしてコンテンツ ハブで一元的に検出できます。

ドメイン カテゴリ

カテゴリ名 説明
Application Web、サーバーベース、SaaS、データベース、通信、または生産性のワークロード
クラウド プロバイダー クラウド サービス
コンプライアンス 準拠製品、サービス、プロトコル
DevOps 開発オペレーション ツールとサービス
ID ID サービス プロバイダーと統合
モノのインターネット (IoT) IoT、OT デバイスとインフラストラクチャ、工業制御サービス
IT 運用 IT 管理を行う製品とサービス
移行 移行の有効化製品、サービス、および
ネットワーク ネットワーク製品、サービス、ツール
プラットフォーム Microsoft Sentinel の汎用またはフレームワークのコンポーネント、クラウド インフラストラクチャ、プラットフォーム
セキュリティ - その他 その他の明確なカテゴリを持たない他のセキュリティ製品とサービス
セキュリティ - 脅威インテリジェンス 脅威インテリジェンスのプラットフォーム、フィード、製品、サービス
セキュリティ - 脅威からのデータ保護 脅威からの保護、電子メール保護、XDR およびエンドポイント保護製品とサービス
セキュリティ - ゼロデイの脆弱性 Nobelium などのゼロデイ攻撃に特化したソリューション
セキュリティ - Automation (SOAR) セキュリティ自動化、SOAR (セキュリティ操作と自動化された応答)、セキュリティ操作、インシデント対応の製品とサービス。
セキュリティ - クラウド セキュリティ CASB (クラウド アクセス セキュリティ ブローカー)、CWPP (クラウド ワークロード保護プラットフォーム)、CSPM (クラウド セキュリティの状態管理)、その他のクラウド セキュリティ製品およびサービス
セキュリティ - Information Protection 情報保護とドキュメント保護の製品およびサービス
セキュリティ - 内部関係者による脅威 セキュリティ製品およびサービスの内部関係者による脅威およびユーザー/エンティティ行動分析 (UEBA)
セキュリティ - ネットワーク セキュリティ ネットワーク デバイス、ファイアウォール、NDR (ネットワークの検出と応答)、NIDP (ネットワークの侵入と検出の防止)、ネットワーク パケット キャプチャ
セキュリティ - 脆弱性管理 脆弱性管理の製品とサービス
Storage ファイル ストアとファイル共有の製品とサービス
トレーニングとチュートリアル トレーニング、チュートリアル、オンボード資産
ユーザーの行動 (UEBA) ユーザー動作分析の製品とサービス

業界の垂直カテゴリ

カテゴリ名 説明
航空 航空業界に固有の製品、サービス、コンテンツ
Education 教育業界に固有の製品、サービス、コンテンツ
ファイナンス 金融業界に固有の製品、サービス、コンテンツ
医療 医療業界に固有の製品、サービス、コンテンツ
Manufacturing 製造業界固有の製品、サービス、コンテンツ
小売 小売業界に固有の製品、サービス、コンテンツ

Microsoft Sentinel のすぐに使えるコンテンツおよびソリューションのサポート モデル

Microsoft と他の組織の両方が、Microsoft Sentinel のすぐに使えるコンテンツとソリューションを作成しています。 すぐに使えるコンテンツまたはソリューションの各部分には、次のいずれかのサポートの種類があります。

サポート モデル 説明
Microsoft によるサポート 適用対象:
- Microsoft がデータ プロバイダー、関連、作成者であるコンテンツまたはソリューション。
- Microsoft 以外のデータ ソース用に Microsoft が作成した一部のデータ コネクタ。

Microsoft では、Microsoft Azure サポート プランに従って、このサポート モデルでのコンテンツまたはソリューションをサポートし、管理しています。
パートナーまたはコミュニティでは、Microsoft 以外の任意のパーティーによって作成されたコンテンツまたはソリューションをサポートしています。
パートナーによるサポート Microsoft 以外のパーティーによって作成されたコンテンツまたはソリューションに適用されます。

パートナー企業は、これらのコンテンツまたはソリューションのサポートまたはメンテナンスを提供しています。 パートナー企業には、独立系ソフトウェア ベンダー、マネージド サービス プロバイダー (MSP/MSSP)、システム インテグレーター (SI)、その一部のコンテンツまたはソリューションについて Microsoft Sentinel ページに連絡先情報が記載されている組織があります。

パートナーがサポートするソリューションに関する問題については、指定されたサポートの連絡先にお問い合わせください。
コミュニティによるサポート Microsoft または、Microsoft Sentinel にサポートとメンテナンスのための連絡先が記載されていないパートナー開発者が作成したコンテンツまたはソリューションに適用されます。

これらのソリューションについてご質問または問題がある場合は、Microsoft Sentinel GitHub コミュニティ問題を報告してください。

Microsoft Sentinel のコンテンツとソリューションのコンテンツ ソース

コンテンツまたはソリューションの各部分には、次のいずれかのコンテンツ ソースがあります。

コンテンツ ソース 説明
コンテンツ ハブ ライフサイクル管理をサポートするコンテンツ ハブによってデプロイされるソリューション
スタンドアロン 自動的に最新の状態に保たれるコンテンツ ハブによってデプロイされるスタンドアロン コンテンツ
Custom ワークスペースでカスタマイズしたコンテンツまたはソリューション
ギャラリーのコンテンツ ライフサイクル管理をサポートしていない機能ギャラリーのコンテンツ。 このコンテンツ ソースはまもなく廃止されます。 詳細については、「OOTB コンテンツの一元化の変更」を参照してください。
リポジトリ ワークスペースに接続されているリポジトリのコンテンツまたはソリューション

次のステップ

Microsoft Sentinel コンテンツについて理解した後、Microsoft Sentinel ワークスペースの コンテンツ ハブ でソリューションとスタンドアロン コンテンツを検出してインストールします。

詳細については、次を参照してください。