クイック スタート: Microsoft Sentinel をオンボードする

このクイックスタートでは、Microsoft Sentinel を有効にし、環境を監視および保護するためのデータ コネクタを設定します。 データ コネクタを使用してデータ ソースを接続した後、優れた設計のブックのギャラリーから選択し、データに基づいて分析情報を表示できます。 これらのブックは、ニーズに合わせて簡単にカスタマイズできます。

Microsoft Sentinel には、Microsoft 365 Defender サービス間コネクタなど、Microsoft 製品用の多くのコネクタが付属しています。 また、Syslog や Common Event Format (CEF) など、Microsoft 以外の製品の組み込みコネクタを有効にすることもできます。 データ コネクタの詳細について確認してください。

重要

「Microsoft Sentinel の価格」と Microsoft Sentinel のコストと課金に関する情報を確認してください。

グローバルな前提条件

• アクティブな Azure サブスクリプション。 お持ちでない場合は、開始する前に無料アカウントを作成してください。

• Log Analytics ワークスペース。 Log Analytics ワークスペースの作成方法を確認してください。 Log Analytics ワークスペースの詳細については、「Azure Monitor ログのデプロイの設計」を参照してください。

  Microsoft Sentinel に使用される Log Analytics ワークスペースに既定の 30 日の保持期間が設定されている場合があります。 Microsoft Sentinel のすべての機能を使用できるようにするには、保持期間を 90 日間に引き上げてください。 データ保持とアーカイブの各ポリシーを Azure Monitor ログで構成します。

• アクセス許可:

  • Microsoft Sentinel を有効にするには、Microsoft Sentinel ワークスペースが存在するサブスクリプションへの共同作成者のアクセス許可が必要です。

  • Microsoft Sentinel を使用するには、ワークスペースが属しているリソース グループに対する共同作成者または閲覧者のいずれかのアクセス許可が必要です。

  • 特定のデータ ソースに接続するには、他のアクセス許可が必要になる場合があります。

• Microsoft Sentinel は有料サービスです。 価格オプションと「Microsoft Sentinel の価格」ページを確認します。

• Microsoft Sentinel のデプロイ前のアクティビティとデプロイの前提条件すべてについて確認します。

Microsoft Sentinel を有効にする

1. Azure portal にサインインします。 Microsoft Sentinel が作成されたときのサブスクリプションが選択されていることをご確認ください。

2. Microsoft Sentinel を検索して選択します。

   

3. [追加] を選択します。

4. 使用するワークスペースを選択するか、新しいワークスペースを作成します。 複数のワークスペースで Microsoft Sentinel を実行できますが、データは 1 つのワークスペースに分離されます。 Microsoft Defender for Cloud によって作成された既定のワークスペースは一覧に表示されないことに注意してください。 これらのワークスペースに Microsoft Sentinel をインストールすることはできません。

   

   重要

   • Microsoft Sentinel がワークスペースにデプロイされた後に、そのワークスペースを他のリソース グループやサブスクリプションに移動することは、現在はサポートされていません。

     ワークスペースを既に移動している場合は、 [Analytics] の下のアクティブなルールをすべて無効にし、5 分後に再び有効にします。 これは、ほとんどの場合に効果的です。ただし、繰り返しますが、サポートされておらず、ご自身の責任で行ってください。

5. [Microsoft Sentinel の追加] を選びます。

データ コネクタを設定する

Microsoft Sentinel でサービスとアプリからのデータを取り込むには、サービスに接続して、Microsoft Sentinel にイベントとログを転送します。

• 物理マシンと仮想マシンの場合、ログを収集して Microsoft Sentinel に転送する Log Analytics エージェントをインストールできます。
• ファイアウォールとプロキシの場合は、Microsoft Sentinel によって Log Analytics エージェントが Linux Syslog サーバーにインストールされます。ここからエージェントがログ ファイルを収集して Microsoft Sentinel に転送します。

1. メイン メニューで [Data connectors](データ コネクタ) を選択します。 これにより、データ コネクタ ギャラリーが開きます。

2. データ コネクタを選択し、[Open connector page] (コネクタ ページを開く) ボタンを選択します。

3. コネクタ ページには、コネクタを構成するための手順や、必要になる可能性のあるその他の手順が示されます。

   たとえば、Azure AD から Microsoft Sentinel にログをストリーム配信できる Azure Active Directory データ コネクタを選択した場合、取得するログの種類 (サインイン ログまたは監査ログ、あるいはその両方) を選択できます。
   インストール手順に従います。 詳細については、関連する接続ガイドを参照するか、Microsoft Sentinel データ コネクタを確認してください。

4. コネクタ ページの [次の手順] タブには、データ コネクタに付随する組み込みのブック、サンプル クエリ、および分析ルール テンプレートが表示されます。 これらはそのまま使用することも、変更することもできます。どちらの場合も、データに関する興味深い分析情報をすぐに得ることができます。

データ コネクタを設定すると、データは Microsoft Sentinel へのストリーム配信を始め、操作を開始する準備が整います。 組み込みのブックでログを表示したり、Log Analytics でクエリを作成してデータを調査したりできます。

「データ収集のベスト プラクティス」を確認してください。

次のステップ

詳細については、次を参照してください。

• 代替のデプロイ/管理オプション:

  • ARM テンプレートを使用して Microsoft Sentinel をデプロイする
  • API を使用して Microsoft Sentinel を管理する
  • PowerShell を使用して Microsoft Sentinel を管理する

• 作業開始:

  • Microsoft Quantum の概要
  • 脅威を検出するためのカスタム分析規則を作成する
  • 共通イベント形式を使用して外部ソリューションを接続する