Microsoft Sentinel をオンボードするときは、最初に Log Analytics ワークスペースを選択します。 1 つのワークスペースを使用しても Microsoft Sentinel エクスペリエンスの利点を最大限に活用できますが、場合によっては、ワークスペースを拡張して、複数のワークスペースとテナントでデータのクエリと分析を行いたい場合があります。 詳細については、「 Log Analytics ワークスペースアーキテクチャの設計 」および 「Microsoft Sentinel での複数のワークスペースとテナントの準備」を参照してください。
Microsoft Sentinel を Microsoft Defender ポータルにオンボードする場合は、次を参照してください。
複数のワークスペースのインシデントを管理する
Azure ポータルと Defender ポータルでは、インシデント ビューを使用して、複数のワークスペース間でインシデントを一元的に管理および監視したり、ワークスペースでビューをフィルター処理したりできます。 インシデントを直接管理するか、元のワークスペースのコンテキストでインシデントの詳細に透過的にドリルダウンします。
Azure portal で作業している場合は、 複数のワークスペース インシデント ビューを参照してください。 Defender ポータルについては、Defender ポータルの「複数の Microsoft Sentinel ワークスペース」を参照してください。
複数のワークスペースにクエリを実行する
複数のワークスペースに対してクエリを実行し、1 つのクエリで複数のワークスペースのデータを検索して関連付ける。
workspace( )
式を使用し、ワークスペース識別子を引数として使用して、別のワークスペース内のテーブルを参照します。 最適なパフォーマンスを確保するには、明示的な識別子形式を使用してください。 詳細については、「 クロス ワークスペース クエリの識別子形式」を参照してください。保存された 関数 を使用して、ワークスペース間のクエリを簡略化します。 たとえば、次の式を保存することで、顧客 A のワークスペースの SecurityEvent テーブルへの長い参照を短縮できます。
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
SecurityEventCustomerA
という関数として。 その後、次の関数を使用して顧客 A の SecurityEvent テーブルに対してクエリを実行できます:SecurityEventCustomerA | where ...
。関数を使用すると、よく使用される和集合を簡略化することもできます。 たとえば、次の式を
unionSecurityEvent
という名前の関数として保存できます。union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent
その後、
unionSecurityEvent | where ...
で始めて、両方のワークスペースに対するクエリを作成します。
Log Analytics データのワークスペース間クエリは、引き続き Log Analytics の制限の対象となります。
クロスワークスペース クエリをスケジュール化された分析ルールに組み込む
クロスワークスペース クエリをスケジュール化された分析ルールに組み込むことができます。 クロスワークスペース分析ルールは中央の SOC で使用でき、MSSP の場合は (Azure Lighthouse によって) 複数のテナントで使用できます。 この使用には、次の制限事項が適用されます。
- 1 つのクエリ に最大 20 個のワークスペースを含めることができます。 ただし、適切なパフォーマンスを得るために、含めるのは 5 以下にすることをお勧めします。
- クエリで参照 されるすべてのワークスペースに Microsoft Sentinel をデプロイする必要があります。
- クロスワークスペース分析ルールによって生成されたアラートと、そこから作成されたインシデントは、 ルールが定義されたワークスペースにのみ存在します。 クエリで参照する他のワークスペースには警告は表示されません。
- ワークスペースをまたぐ分析ルールは、他の分析ルールと同様に、ルールを作成したユーザーがルールのクエリで参照されているワークスペースにアクセスできなくなった場合でも、引き続き実行されます。 唯一の例外は、分析ルール とは異なるサブスクリプションやテナント内のワークスペースの場合 です。
クロスワークスペース分析ルールが作成する警告とインシデントには、参照されるすべてのワークスペースと “ホーム” ワークスペース (ルールを定めているワークスペース) のエンティティなど、関係するエンティティがすべて含まれます。 これにより、警告とインシデントの全体像を分析できます。
注
同じクエリ内で複数のワークスペースに対してクエリを実行すると、パフォーマンスに影響する可能性があるので、ロジックでこの機能が必要なときにのみ推奨されます。
クロスワークスペース ブックを使用する
ブックでは、Microsoft Sentinel にダッシュボードとアプリが提供されます。 複数のワークスペースを使用する場合、ブックが複数のワークスペースに対する監視とアクションを提供します。
エンド ユーザーの知識レベルに基づき、ブックでは 3 つの方法のいずれかでクロスワークスペース クエリを提供できます。
メソッド | 説明 | 使用すべきとき |
---|---|---|
クロスワークスペース クエリを作成する | ブックの作成者は、ブック内でクロスワークスペース クエリ (前述) を作成できます。 | ブックの作成者がユーザーにとって透過的なワークスペース構造を作成できるようにしたい。 |
ワークスペース セレクターをブックに追加する | ブック作成者は、 ブックの一部としてワークスペース セレクターを実装できます。 | ユーザーが使いやすいドロップダウン ボックスを使用して、ブックに表示されるワークスペースを制御できるようにしたい。 |
ブックを対話形式で編集する | 既存のブックを変更する高度なユーザーは、その中のクエリを編集し、エディターのワークスペース セレクターを使用して対象のワークスペースを選択できます。 | パワー ユーザーが既存のブックを簡単に変更して、複数のワークスペースで作業できるようにしたい。 |
複数のワークスペース間でハンティングする
Microsoft Sentinel には事前に読み込まれたクエリ例が用意されており、初めて使用するときや、テーブルとクエリ言語に不慣れなときに役立ちます。 Microsoft のセキュリティ研究者は、常に新たな組み込みクエリを追加し、既存のクエリを微調整しています。 このようなクエリを使用すると、新たな検出項目を参照し、セキュリティ ツールが見逃した可能性のある侵入の兆候を特定できます。
クロスワークスペースハンティング機能を使用すると、脅威ハンターは 、上に示すように共用体演算子と workspace() 式を使用して、新しいハンティング クエリを作成したり、既存のクエリを調整して複数のワークスペースをカバーしたりできます。
オートメーションを使用して複数のワークスペースを管理する
Microsoft Sentinel で有効になっている複数の Log Analytics ワークスペースを構成して管理するには、Microsoft Sentinel 管理 API の使用を自動化する必要があります。
- アラート ルール、ハンティング クエリ、ブック、プレイブックなど、 Microsoft Sentinel リソースのデプロイを自動化する方法について説明します。
- リポジトリからカスタム コンテンツをデプロイする方法について説明します。 Microsoft Sentinel をコードとして管理し、プライベート Azure DevOps または GitHub リポジトリからリソースをデプロイし構成するための総合的な方法については、このリソースを参照してください。
テナント間でワークスペースを管理する
多くのシナリオでは、Microsoft Sentinel に対して有効になっているさまざまな Log Analytics ワークスペースを、異なる Microsoft Entra テナントに配置できます。 Azure Lighthouse を使用すると、テナント境界を越えてすべてのワークスペース間アクティビティを拡張できます。これにより、管理テナント内のユーザーはすべてのテナントのワークスペースで作業できます。
Azure Lighthouse が オンボードされたら、Azure portal の ディレクトリ + サブスクリプション セレクター を使用して、管理するワークスペースを含むすべてのサブスクリプションを選択して、ポータルの異なるワークスペース セレクターで使用できるようにします。
Azure Lighthouse を使用するときは、Microsoft Sentinel ロールごとにグループを作成し、各テナントからそれらのグループにアクセス許可を委任することをお勧めします。
Defender ポータルを使用している場合、Microsoft Defender XDR と Microsoft Sentinel のマルチテナント管理により、管理するすべてのテナントの単一の統合ビューがセキュリティ運用チームに提供されます。 詳細については、「 Microsoft Defender マルチテナント管理」を参照してください。
関連コンテンツ
Azure portal の Microsoft Sentinel については、次を参照してください。
- Azure Lighthouse を使用して MICROSOFT Sentinel で MSSP として複数のテナントを管理する
- Azure portal で多数のワークスペースのインシデントを一度に操作する
Defender ポータルの Microsoft Sentinel については、次を参照してください。