Defender ポータルを使用すると、1 つのプライマリ ワークスペースと、Microsoft Sentinel用の複数のセカンダリ ワークスペースに接続できます。 この記事のコンテキストでは、ワークスペースは、Microsoft Sentinelが有効になっている Log Analytics ワークスペースです。
この記事は主に、Microsoft Sentinelを統合セキュリティ操作のMicrosoft Defender XDRと共に Defender ポータルにオンボードするシナリオに適用されます。 Microsoft Defender XDRを使用せずに Defender ポータルでMicrosoft Sentinelを使用する予定の場合でも、複数のワークスペースを管理できます。 ただし、Defender XDRがないため、プライマリ ワークスペースにはDefender XDRデータがないため、Defender XDR機能にアクセスできません。
プライマリ ワークスペースとセカンダリ ワークスペース
Microsoft Sentinelを Defender ポータルにオンボードするときに、プライマリ ワークスペースを選択します。 Defender ポータルにオンボードするその他のワークスペースは、セカンダリ ワークスペースと見なされます。 Defender ポータルでは、テナントごとに 1 つのプライマリ ワークスペースと無制限の数のセカンダリ ワークスペースがサポートMicrosoft Sentinel。
また、Microsoft Defender XDRがある場合、プライマリ ワークスペースからのアラートはDefender XDR データと関連付けられます。インシデントには、プライマリ ワークスペースと統合キュー内のDefender XDRの両方からのアラートが含まれます。 プライマリ ワークスペースを選択すると、インシデントとアラートのDefender XDR データ コネクタがプライマリ ワークスペースにのみ接続されます。
このような場合:
| 分野 | 説明 |
|---|---|
| 以前にDefender XDRに接続されているその他のワークスペース | 以前にDefender XDR コネクタに接続されていたその他のワークスペースはすべて切断され、セカンダリ ワークスペースとして機能します。 テーブル インジェストを構成するまで、Defender XDR データに基づいて以前に構成した分析ルールと自動化は機能しなくなりました。 |
| テナント ベースのアラートとスタンドアロン データ コネクタ | 他の Defender サービスを含む他の Microsoft サービスからのアラートは、テナント ベースのアラートであり、特定のワークスペースではなくテナント全体に関連します。 ワークスペース間での重複を防ぐには、これらのサービス用の直接のスタンドアロン データ コネクタをセカンダリ ワークスペース内のMicrosoft Sentinelから切断する必要があります。 これにより、テナントベースのアラートがプライマリ ワークスペースでのみ表示されます。 オンボード時に、Office 365、Microsoft Entra ID Protection、Microsoft Defender for Cloud Apps、Microsoft Defender用のスタンドアロン データ コネクタMicrosoft Defender for EndpointとMicrosoft Defender for Identityは自動的に切断されます。 ワークスペースにアラートを含む他のスタンドアロンの Microsoft データ コネクタがある場合は、Defender ポータルにオンボードする前に、それらを切断してください。 |
| アラートとインシデントのDefender XDR | すべてのDefender XDRアラートとインシデントは、プライマリ ワークスペースにのみ同期されます。 ただし、セカンダリ ワークスペースは、AzureのSentinel ポータルの Microsoft XDR コネクタで構成されている場合、または Defender ポータルの Microsoft Sentinel>Configuration>Tables で構成されている場合は、Defender テーブル データを取り込むことができます。 |
| インシデントの作成とアラートの関連付け | Defender ポータルでは、Microsoft Sentinel ワークスペース間でインシデントの作成とアラートの相関関係が分離されます。 セカンダリ ワークスペース内のインシデントには、他のワークスペースまたはDefender XDRからのデータは含まれません。 |
| 1 つのプライマリ ワークスペースが必要 | 1 つのプライマリ ワークスペースが常に Defender ポータルに接続されている必要があります。 |
たとえば、複数の自律ワークスペースを持つ会社のグローバル SOC チームで作業している場合があります。 このような場合、Defender ポータルのグローバル SOC キューに、これらの各ワークスペースからのインシデントとアラートを表示したくない場合があります。 これらのワークスペースはセカンダリ ワークスペースとして Defender ポータルにオンボードされるため、Defender ポータルにMicrosoft Sentinelのみ表示され、Defender インシデントやアラートは表示されず、自律的に機能し続けます。 グローバル SOC ワークスペースを見ると、これらのセカンダリ ワークスペースからのデータは表示されません。
Microsoft Entra ID テナント内に複数のMicrosoft Sentinel ワークスペースがある場合は、グローバル セキュリティ オペレーション センターのプライマリ ワークスペースの使用を検討してください。
ワークスペースを管理し、ワークスペース データを表示するためのアクセス許可
プライマリ ワークスペースとセカンダリ ワークスペースを管理するには、次のいずれかのロールまたはロールの組み合わせを使用します。
| タスク | Microsoft EntraまたはAzure組み込みロールが必要です | 範囲 |
|---|---|---|
| Defender ポータルへのMicrosoft Sentinelのオンボード | Microsoft Entra IDのセキュリティ管理者以上 所有者またはユーザー アクセス管理者 AND Microsoft Sentinel 共同作成者 |
Tenant - 所有者またはユーザー アクセス管理者ロールのサブスクリプション - 共同作成者 Microsoft Sentinelのサブスクリプション、リソース グループ、またはワークスペース リソース |
| セカンダリ ワークスペースの接続または切断 | Microsoft Entra IDのセキュリティ管理者以上 所有者またはユーザー アクセス管理者 AND Microsoft Sentinel 共同作成者 |
Tenant - 所有者またはユーザー アクセス管理者ロールのサブスクリプション - 共同作成者 Microsoft Sentinelのサブスクリプション、リソース グループ、またはワークスペース リソース |
| プライマリ ワークスペースを変更する | Microsoft Entra IDのセキュリティ管理者以上 所有者またはユーザー アクセス管理者 AND Microsoft Sentinel 共同作成者 |
Tenant - 所有者またはユーザー アクセス管理者ロールのサブスクリプション - 共同作成者 Microsoft Sentinelのサブスクリプション、リソース グループ、またはワークスペース リソース |
| 統合 RBAC でSentinel ワークスペースをアクティブ化または非アクティブ化する | Microsoft Entra IDのセキュリティ管理者以上 所有者またはユーザー アクセス管理者 AND Microsoft Sentinel 共同作成者 |
Tenant - 所有者またはユーザー アクセス管理者ロールのサブスクリプション - 共同作成者 Microsoft Sentinelのサブスクリプション、リソース グループ、またはワークスペース リソース |
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。
Microsoft Sentinelを Defender ポータルに接続すると、既存のAzureロールベースのアクセス制御 (RBAC) アクセス許可を使用して、アクセス権を持つMicrosoft Sentinel機能とワークスペースを表示して操作できます。
| ワークスペース | Access |
|---|---|
| プライマリ | プライマリ ワークスペースにアクセスできる場合は、ワークスペースとDefender XDRからデータを読み取って管理できます。 |
| セカンダリ | セカンダリ ワークスペースにアクセスできる場合は、ワークスペースからのデータの読み取りと管理のみが可能です。 Defender インシデントとアラートはセカンダリ ワークスペースと同期されませんが、セカンダリ ワークスペースは引き続き Defender テーブル データを取り込むことができます。 詳細については、「 プライマリ ワークスペースとセカンダリ ワークスペース」を参照してください。 |
例外: 1 つのワークスペースを Defender ポータルに既にオンボードしている場合は、2025 年 1 月中旬より前に AlertInfo テーブルと AlertEvidence テーブルでカスタム検出を使用して作成されたすべてのアラートが、すべてのユーザーに表示されます。
詳細については、「Microsoft Sentinelのロールとアクセス許可」を参照してください。
プライマリ ワークスペースの変更
Microsoft Sentinelを Defender ポータルにオンボードした後、プライマリ ワークスペースを変更できます。 Microsoft Sentinelのプライマリ ワークスペースを切り替えると、Defender XDR コネクタが新しいプライマリに接続され、前のプライマリから自動的に切断されます。
[System>Settings>Microsoft Sentinel>Workspaces] に移動して、Defender ポータルのプライマリ ワークスペースを変更します。
異なるビュー内のワークスペース データのスコープ
Microsoft Sentinelのプライマリ ワークスペースとセカンダリ ワークスペースのデータを表示するための適切なアクセス許可がある場合は、次の表のワークスペース スコープが各機能に適用されます。
| 機能 | ワークスペース スコープ |
|---|---|
| 検索 | Defender ポータルのブラウザー ページの上部にあるグローバル検索の結果は、表示するアクセス許可を持つすべての関連ワークスペース データの集計ビューを提供します。 |
| インシデント & アラート>Incidents>調査 & 対応 | 統合キュー内の異なるワークスペースからのインシデントを表示するか、ワークスペースでビューをフィルター処理します。 |
| インシデント & アラート & アラート>Alerts>対応 | 統合キュー内のさまざまなワークスペースからのアラートを表示するか、ワークスペースでビューをフィルター処理します。 Defender ポータルでは、ワークスペースごとにアラートの関連付けをセグメント化します。 |
| エンティティ: インシデントまたはアラートから、デバイス、ユーザー、またはその他のエンティティ資産を選択> | 1 つのエンティティ ページで、複数のワークスペースから関連するすべてのエンティティ データを表示します。 エンティティ ページは、すべてのワークスペースからアラート、インシデント、タイムライン イベントを集計して、エンティティの動作に関するより深い分析情報を提供します。 [インシデントとアラート]、[タイムライン]、[Insights] タブでワークスペースでフィルター処理します。 [ 概要 ] タブには、すべてのワークスペースから集計されたエンティティ メタデータが表示されます。 |
| ハンティング >Advanced ハンティング>調査 & 対応 | ブラウザーの右上からワークスペースを選択します。 または、クエリで workspace 演算子を使用して、複数のワークスペース間でクエリを実行します。 「 複数のワークスペースのクエリ」を参照してください。 クエリ結果にワークスペース名または ID が表示されません。 読み取り専用で、クエリや関数を含むワークスペースのすべてのログ データにアクセスします。 詳細については、「Microsoft Defender ポータルでのMicrosoft Sentinel データを使用した高度なハンティング」を参照してください。 一部の機能はプライマリ ワークスペースに制限されています。 - カスタム検出の作成 - API を使用したクエリ Log Analytics データのワークスペース間クエリには、引き続き Log Analytics の制限事項が適用されます。 |
| Microsoft Sentinelエクスペリエンス | Defender ポータルの [Microsoft Sentinel] セクションで、ページごとに 1 つのワークスペースからデータを表示します。 [ほとんどのページでブラウザーの右上からワークスペースを選択する] を 選択して、ワークスペース を切り替えます。 - [ブック] ページには、 プライマリ ワークスペースに関連付けられているデータのみが表示されます。 ワークスペース間分析ルールは、 ワークスペース間分析ルールの制限と推奨事項の対象のままです。 |
| SOC の最適化 | データと推奨事項は、複数のワークスペースから集計されます。 |
ワークスペースの双方向同期
Azure portalと Defender ポータルの間のインシデントの変更の同期方法は、プライマリ ワークスペースとセカンダリ ワークスペースのどちらであるかによって異なります。
| ワークスペース | 同期動作 |
|---|---|
| Primary | Azure portalのMicrosoft Sentinelの場合、Defender XDRインシデントは、インシデント プロバイダー名が Microsoft XDR の脅威管理>Incidents に表示されます。 Azureまたは Defender ポータルでDefender XDR インシデントの状態、終了理由、または割り当てに加えた変更は、他のインシデント キューで更新します。 詳細については、「Microsoft Sentinelおよび双方向同期でのMicrosoft Defender XDR インシデントの操作」を参照してください。 |
| セカンダリ | セカンダリ ワークスペースに対して作成したすべてのアラートとインシデントは、Azure ポータルと Defender ポータルでそのワークスペースの間で同期されます。 ワークスペース内のデータは、他のポータルのワークスペースにのみ同期されます。 |
インサイダー リスク管理 (IRM) のサポート
Microsoft Purview インサイダー リスク管理 (IRM) アラートは、プライマリ ワークスペースにのみ関連付けられます。 Microsoft Defender XDRで IRM アラートがある場合は、ワークスペースを Defender ポータルにオンボードする前に、プライマリ ワークスペースのMicrosoft Defender XDR コネクタに IRM を接続する必要があります。 これは、IRM アラートとインシデントをプライマリ ワークスペースで使用できるようにするために必要です。 プライマリ ワークスペースに IRM アラートを表示しない場合は、代わりに Microsoft Defender XDR との統合をオプトアウトできます。
また、Microsoft Sentinel データ コネクタ用の直接 Microsoft 365 Insider Risk Management コネクタがいずれかのセカンダリ ワークスペースに接続されている場合は、ワークスペースを Defender ポータルにオンボードする前に切断する必要があります。