Microsoft Sentinel の新機能

この記事では、Microsoft Sentinel 用に最近追加された機能と、Microsoft Sentinel のユーザー エクスペリエンスを向上させる関連サービスの新機能について説明します。

リストされた機能は、過去 3 か月間にリリースされました。 以前に提供された機能については、Tech Community のブログを参照してください。

次の URL をフィード リーダーにコピーして貼り付け、このページが更新されたときに通知を受け取ります: https://aka.ms/sentinel/rss

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

2024 年 9 月

• SIEM 移行エクスペリエンスに追加されたスキーマ マッピング
• 2025 年 2 月に廃止されるサード パーティ製エンリッチメント ウィジェット
• Azure の予約で、Microsoft Sentinel で購入前プランを利用できるようになりました
• オートメーション ルールのインポート/エクスポートの一般提供 (GA) 開始
• Google Cloud Platform データ コネクタの一般提供 (GA) 開始
• Azure イスラエル中部での Microsoft Sentinel の一般提供 (GA) 開始

SIEM 移行エクスペリエンスに追加されたスキーマ マッピング

SIEM 移行エクスペリエンスが 2024 年 5 月に一般提供になって以来、Splunk からのセキュリティ監視の移行を支援するための改善が着実に行われてきました。 以下に示す新機能によって、利用者は、Splunk 環境と使用状況に関するより多くのコンテキストの詳細を Microsoft Sentinel SIEM 移行変換エンジンに提供できます。

• スキーマ マッピング
• 変換における Splunk Macros のサポート
• 変換における Splunk Lookups のサポート

これらの更新の詳細については、「SIEM 移行エクスペリエンス」を参照してください。

SIEM 移行エクスペリエンスの詳細については、以下の記事を参照してください。

• Microsoft Sentinel の忍者になる - 移行セクション
• SIEM 移行の更新 - Microsoft Sentinel ブログ

2025 年 2 月に廃止されるサード パーティ製エンリッチメント ウィジェット

廃止されるとすぐに、外部のサード パーティのデータ ソースからデータを取得するエンリッチメント ウィジェットを作成する機能を使用できなくなります。 これらのウィジェットは、Microsoft Sentinel エンティティ ページと、エンティティ情報が表示されるその他の場所に表示されます。 この変更は、これらの外部データ ソースにアクセスするために必要な Azure Key Vault を作成できなくなったために行われます。

既にサード パーティ製エンリッチメント ウィジェットを使用している場合、つまり、このキー コンテナーが既に存在する場合でも、以前使用していなかったウィジェットを構成して使用できますが、そうすることはお勧めしません。

2025 年 2 月をもって、サード パーティのソースからデータを取得する既存のエンリッチメント ウィジェットは、エンティティ ページやその他の場所に "表示されなくなります"。

組織でサード パーティ製エンリッチメント ウィジェットを使用している場合は、この目的で作成したキー コンテナーをリソース グループから削除して、事前に無効にすることをお勧めします。 キー コンテナーの名前は、"widgets" で始まります。

ファースト パーティのデータ ソースに基づくエンリッチメント ウィジェットはこの変更による影響を受けず、引き続き以前と同様に機能します。 "ファースト パーティのデータ ソース" には、外部ソースから Microsoft Sentinel に既に取り込まれているすべてのデータ (つまり、Log Analytics ワークスペース内のテーブル内のすべてのデータ) と、Microsoft Defender 脅威インテリジェンスが含まれます。

Microsoft Sentinel で購入前プランを利用できるようになりました

事前購入プランは、Azure 予約の一種です。 購入前プランを購入すると、特定の製品の割引レベルでコミット ユニット (CU) を取得することになります。 Microsoft Sentinel コミット ユニット (SKU) は、ワークスペースの対象となるコストに適用されます。 予測可能なコストがある場合は、適切な購入前プランを選択するとコストが節約されます。

詳細については、「購入前プランでコストを最適化する」を参照してください。

オートメーション ルールのインポート/エクスポートの一般提供 (GA) 開始

オートメーション ルールを JSON 形式で Azure Resource Manager (ARM) テンプレートにエクスポートし、ARM テンプレートからインポートする機能は、短いプレビュー期間を経て一般提供を開始しました。

詳細については、オートメーション ルールのエクスポートとインポートについての記事を参照してください。

Google Cloud Platform データ コネクタの一般提供 (GA) 開始

Microsoft Sentinel の Google Cloud Platform (GCP) データ コネクタ (Microsoft の Codeless Connector Platform (CCP) に基づいています) の一般提供を開始しました。 これらのコネクタを使用すると、GCP 環境からのログを GCP の Pub/Sub 機能を使用して取り込むことができます。

• Google Cloud Platform (GCP) Pub/Sub 監査ログ コネクタは、GCP リソースへのアクセスの監査証跡を収集します。 アナリストは、これらのログを監視してリソース アクセスの試行を追跡し、GCP 環境における潜在的な脅威を検出できます。

• Google Cloud Platform (GCP) Security Command Center コネクタは、Google Cloud 用の堅牢なセキュリティおよびリスク管理プラットフォーム、Google Security Command Center から結果を収集します。 アナリストは、これらの結果を確認して、資産インベントリと検出、脆弱性と脅威の検出、リスクの軽減と修復など、組織のセキュリティ態勢に関する分析情報を得ることができます。

これらのコネクタの詳細については、「Google Cloud Platform のログ データを Microsoft Sentinel に取り込む」を参照してください。

Azure イスラエル中部での Microsoft Sentinel の一般提供 (GA) 開始

Microsoft Sentinel は、他のすべての Azure 商用リージョンと同じ機能セットとともに、"イスラエル中部" の Azure リージョンで使用できるようになりました。

詳細については、「Azure 商用またはその他のクラウド向けの Microsoft Sentinel 機能のサポート」と「Microsoft Sentinel でのリージョン別の提供状況とデータの保存場所」を参照してください。

2024 年 8 月

• Log Analytics エージェントの廃止
• オートメーション ルールのエクスポートとインポート (プレビュー)
• Microsoft Defender マルチテナント管理での Microsoft Sentinel のサポート (プレビュー)
• プレミアム Microsoft Defender 脅威インテリジェンス データ コネクタ (プレビュー)
• Syslog インジェスト用の統合 AMA ベースのコネクタ
• Windows セキュリティ イベントの可視性の向上
• 新しい補助ログ保持プラン (プレビュー)
• 大きなデータ セットの集計ルールを作成する (プレビュー)

Log Analytics エージェントの廃止

2024 年 8 月 31 日の時点で、Log Analytics エージェント (MMA/OMS) は廃止されました。

多くのアプライアンスおよびデバイスからのログ収集が、AMA 経由の Common Event Format (CEF)、AMA 経由の Syslog、または Microsoft Sentinel の AMA データ コネクタ経由のカスタム ログでサポートされるようになりました。 Microsoft Sentinel デプロイ内で Log Analytics エージェントを使用している場合は、Azure Monitor エージェント (AMA) へ移行することをお勧めします。

詳細については、以下を参照してください:

• Microsoft Azure Sentinel データ コネクタを見つける
• Log Analytics エージェントから Azure Monitor エージェントへの移行
• Microsoft Sentinel の AMA 移行
• ブログ:
  • Azure Monitor エージェントを使用したログ収集の変革
  • データ収集ルールの力: Microsoft USOP での高度なユース ケースのイベントの収集

オートメーション ルールのエクスポートとインポート (プレビュー)

Microsoft Sentinel オートメーション ルールをコードとして管理します。 プログラムの一部として、オートメーション ルールを Azure Resource Manager (ARM) テンプレート ファイルにエクスポートし、これらのファイルからルールをインポートして、Microsoft Sentinel のデプロイをコードとして管理および制御できるようになりました。 エクスポート操作により、ブラウザーのダウンロード場所に JSON ファイルが作成されます。このファイルは、ファイル名の変更や移動など、他のファイルと同様に処理することができます。

エクスポートされた JSON ファイルはワークスペースに依存しないので、他のワークスペースや他のテナントにもインポートできます。 コードとして、マネージド CI/CD フレームワークでバージョン管理、更新、デプロイすることもできます。

このファイルには、オートメーション ルールで定義されているすべてのパラメーターが含まれています。 任意の種類のトリガーのルールを JSON ファイルにエクスポートできます。

詳細については、オートメーション ルールのエクスポートとインポートについての記事を参照してください。

Microsoft Defender マルチテナント管理での Microsoft Sentinel のサポート (プレビュー)

Microsoft Sentinel を Microsoft 統合セキュリティ オペレーション プラットフォームにオンボードした場合、Microsoft Sentinel データが、Microsoft Defender マルチテナント管理の Defender XDR データで使用できるようになりました。 現在、Microsoft 統合セキュリティ オペレーション プラットフォームでは、テナントごとに 1 つのみの Microsoft Sentinel ワークスペースがサポートされています。 そのため、Microsoft Defender マルチテナント管理では、テナントごとに 1 つの Microsoft Sentinel ワークスペースからのセキュリティ情報とイベント管理 (SIEM) データが表示されます。 詳細については、Microsoft Defender ポータルの Microsoft Defender マルチテナント管理と、Microsoft Defender ポータルの Microsoft Sentinel についての記事を参照してください。

プレミアム Microsoft Defender 脅威インテリジェンス データ コネクタ (プレビュー)

Microsoft Defender 脅威インテリジェンス (MDTI) のプレミアム ライセンスによって、すべてのプレミアム インジケーターをワークスペースに直接取り込む機能が利用できるようになりました。 プレミアム MDTI データ コネクタは、Microsoft Sentinel 内のハンティングおよび調査機能を強化します。

詳細については、「脅威インテリジェンスの理解」を参照してください。

Syslog インジェスト用の統合 AMA ベースのコネクタ

Log Analytics エージェントの廃止が間もなく終了する中、Microsoft Sentinel は、Syslog、CEF、およびカスタム形式のログ メッセージの収集とインジェストを、Azure Monitor エージェント (AMA) に基づく 3 つの多目的データ コネクタに統合しました。

• AMA 経由の Syslog: ログが Log Analytics の Syslog テーブルに取り込まれるデバイスの場合。
• AMA 経由の Common Event Format (CEF): ログが Log Analytics の CommonSecurityLog テーブルに取り込まれるデバイスの場合。
• 新しい情報! AMA 経由のカスタム ログ (プレビュー): ログが Log Analytics の _CL で終わる名前のカスタム テーブルに取り込まれる、15 種類のデバイスのいずれか、または一覧に含まれていないデバイスの場合。

これらのコネクタは、従来の Log Analytics エージェント (MMA または OMS とも呼ばれます) または現在の Azure Monitor エージェントに基づいて、これまで存在していた個々のデバイスとアプライアンスの種類のほぼすべての既存のコネクタに置き換わります。 これらのすべてのデバイスとアプライアンスのコンテンツ ハブで提供されるソリューションには、ソリューションに適したこれら 3 つのコネクタのいずれかが含まれるようになりました。* 置き換えられたコネクタは、データ コネクタ ギャラリーで "非推奨" としてマークされるようになりました。

各デバイスのコネクタ ページに以前あったデータ インジェスト グラフは、各デバイスのソリューションと共にパッケージ化されたデバイス固有のブックで確認できるようになりました。

* これらのアプリケーション、デバイス、またはアプライアンスのいずれかのソリューションをインストールする場合は、付属のデータ コネクタが確実にインストールされるように、ソリューション ページで [依存関係のあるインストール] を選択し、次のページでデータ コネクタをマークする必要があります。

これらのソリューションをインストールするための更新された手順については、次の記事を参照してください。

• AMA データ コネクタ経由の CEF - Microsoft Sentinel データ インジェスト用に特定のアプライアンスまたはデバイスを構成する
• AMA データ コネクタ経由の Syslog - Microsoft Sentinel データ インジェスト用に特定のアプライアンスまたはデバイスを構成する
• AMA データ コネクタを使用したカスタム ログ - 特定のアプリケーションから Microsoft Sentinel へのデータ インジェストを構成する

Windows セキュリティ イベントの可視性の向上

Windows セキュリティ イベントをホストする SecurityEvent テーブルのスキーマが強化され、Windows 用 Azure Monitor エージェント (AMA) (バージョン 1.28.2) との互換性を確保するために新しい列が追加されました。 これらの機能強化は、収集された Windows イベントの可視性と透明性を高めるために設計されています。 これらのフィールドでデータを受信することに関心がない場合は、インジェスト時間変換 ("project-away" など) を適用して削除できます。

新しい補助ログ保持プラン (プレビュー)

Log Analytics テーブルの新しい補助ログ保持プランにより、大量の大容量ログを、セキュリティのための補足値とともに大幅に低コストで取り込むことができます。 対話型保持により、補助ログが 30 日間使用でき、この間にそれらに対してデータの要約や集計などの、単純な単一テーブル クエリを実行できます。 その 30 日の期間が終わると、補助ログのデータは、長期保有になります。この期間は、最大 12 年に定義でき、非常に低価格でます。 このプランでは、長期保有のデータに対して検索ジョブを実行して、完全なクエリ機能を備えた通常の Log Analytics テーブルとして扱うことができる新しいテーブルに必要なレコードのみを抽出することもできます。

補助ログの詳細と分析ログとの比較については、「Microsoft Sentinel のログ保持プラン」を参照してください。

さまざまなログ管理プランの詳細については、Azure Monitor ドキュメントの「Azure Monitor ログの概要」記事の「テーブル プラン」を参照してください。

Microsoft Sentinel で大きなデータ セットの集計ルールを作成する (プレビュー)

Microsoft Sentinel で Azure Monitor の集計ルールを使って動的な集計を作成できるようになりました。これは、バックグラウンドで大きなデータ セットを集計し、すべてのログ層においてこれまで以上にスムーズなセキュリティ操作エクスペリエンスを実現します。

• 検出、調査、ハンティング、レポートのアクティビティ全体で、Kusto 照会言語 (KQL) を使って集計ルールの結果にアクセスします。
• 集計されたデータに対し、高パフォーマンスの Kusto クエリ言語 (KQL) のクエリを実行します。
• 集計ルールの結果を使用して、調査、ハンティング、コンプライアンス アクティビティをさらに詳しく行います。

詳しくは、「集計ルールを使用して Microsoft Sentinel データを集計する」をご覧ください。

2024 年 7 月

• SOC 最適化の一般提供
• SAP Business Technology Platform (BTP) コネクタの一般提供開始
• Microsoft 統合セキュリティ プラットフォームの一般提供開始

SOC 最適化が一般提供になる

Azure と Defender 両方のポータルの SOC 最適化エクスペリエンスが、データ値と脅威ベースの推奨事項の両方を含め、すべての Microsoft Sentinel のお客様に対して一般提供されるようになります。

• データ値の推奨事項を使うと、取り込まれる課金対象ログのデータ使用量の改善、活用されていないログの把握、それらのログの適切な検出やログ層またはインジェストに対する適切な調整の発見を行うことができます。

• 脅威ベースの推奨事項を使うと、Microsoft の調査に基づく特定の攻撃に対するカバレッジのギャップの特定と、推奨されるログの取り込みと推奨される検出の追加によるそれらの軽減に役立ちます。

recommendations API はまだプレビュー段階です。

詳細については、以下を参照してください:

• セキュリティ オペレーションを最適化する
• SOC の最適化による推奨事項のリファレンス

SAP Business Technology Platform (BTP) コネクタの一般提供 (GA) 開始

SAP BTP 向け Microsoft Sentinel ソリューションの一般提供 (GA) が始まりました。 このソリューションは、SAP BTP 環境を可視化し、脅威や不審なアクティビティを検出して対応するのを支援します。

詳細については、以下を参照してください:

• SAP Business Technology Platform (BTP) 向け Microsoft Sentinel ソリューション
• SAP BTP 向け Microsoft Sentinel ソリューションをデプロイする
• SAP BTP 向け Microsoft Sentinel ソリューション - セキュリティ コンテンツのリファレンス

Microsoft 統合セキュリティ プラットフォームの一般提供開始

Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されるようになりました。 Microsoft 統合セキュリティ オペレーション プラットフォームでは、Microsoft Sentinel、Microsoft Defender XDR、Microsoft Copilot のすべての機能が Microsoft Defender に統合されています。 詳細については、次のリソースを参照してください。

• ブログ記事: Microsoft 統合セキュリティ オペレーション プラットフォームの一般提供
• Microsoft Defender ポータルの Microsoft Sentinel
• Microsoft Sentinel を Microsoft Defender XDR に接続する
• Microsoft Copilot in Microsoft Defender

2024 年 6 月

• コードレス コネクタ プラットフォームの一般提供開始
• 高度な脅威インジケーター検索機能が利用可能

コードレス コネクタ プラットフォームの一般提供開始

コードレス コネクタ プラットフォーム (CCP) が一般提供 (GA) されました。 お知らせのブログ投稿をご覧ください。

CCP の改良点と機能の詳細については、「Microsoft Sentinel 用のコードレス コネクタを作成する」を参照してください。

高度な脅威インジケーター検索機能が利用可能

脅威インテリジェンスの検索とフィルター処理の機能が強化され、Microsoft Sentinel ポータルと Microsoft Defender ポータル全体で同等のエクスペリエンスが提供されるようになりました。 Search では、最大 10 個の条件がサポートされ、各条件に最大 3 つのサブ句が含まれます。

詳細については、「脅威インジケーターを表示および管理する」の更新されたスクリーンショットを参照してください。

次のステップ

Azure Sentinel をオンボードする

アラートの視覚化