オンボード Microsoft Sentinel

このクイック スタートでは、Microsoft Sentinelを有効にし、コンテンツ ハブからソリューションをインストールします。 次に、データ コネクタを設定して、Microsoft Sentinelへのデータの取り込みを開始します。

Microsoft Sentinelには、Microsoft Defender XDR サービス間コネクタなど、Microsoft 製品用の多くのデータ コネクタが付属しています。 Syslog や Common Event Format (CEF) などの Microsoft 以外の製品の組み込みコネクタを有効にすることもできます。 このクイック スタートでは、Microsoft SentinelのAzure アクティビティ ソリューションで使用できるAzure アクティビティ データ コネクタを使用します。

API を使用してMicrosoft Sentinelにオンボードするには、サポートされている最新バージョンのSentinelオンボード状態に関するページを参照してください。

前提条件

  • アクティブなAzure サブスクリプション。 アカウントをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

  • アクセス許可:

    • Microsoft Sentinelを有効にするには、Microsoft Sentinel ワークスペースが存在するサブスクリプションに対する共同作成者のアクセス許可が必要です。

    • Microsoft Sentinelを使用するには、ワークスペースが属Microsoft Sentinelリソース グループに対する共同作成者またはMicrosoft Sentinel閲覧者のアクセス許可が必要です。

    • コンテンツ ハブにソリューションをインストールまたは管理するには、ワークスペースが属するリソース グループにMicrosoft Sentinel共同作成者ロールが必要です。

    • 新しいMicrosoft Sentinel顧客で、サブスクリプション所有者またはユーザー アクセス管理者のアクセス許可を持っている場合、ワークスペースは自動的に Defender ポータルにオンボードされます。 このようなワークスペースのユーザーは、Defender ポータルでのみMicrosoft Sentinelを使用します。

  • Microsoft Sentinelは有料サービスです価格オプションMicrosoft Sentinel価格ページを確認します。

  • Microsoft Sentinelを運用環境にデプロイする前に、デプロイ前のアクティビティと、Microsoft Sentinelをデプロイするための前提条件を確認してください。

Log Analytics ワークスペースを作成する

Microsoft Sentinelワークスペースに追加する必要があります。 既に Log Analytics ワークスペースがある場合は、Log Analytics ワークスペースへのMicrosoft Sentinelの追加に進みます。 Log Analytics ワークスペースがまだない場合は、以下の手順を使用して作成するか、詳細な説明については、「 Log Analytics ワークスペースの作成」を参照してください。 Log Analytics ワークスペースの詳細については、「Azureログのデプロイの監視の設計」を参照してください。

Microsoft Sentinelに使用される Log Analytics ワークスペースには、既定の 30 日間の保持期間が設定されている場合があります。 すべてのMicrosoft Sentinel機能と機能を確実に使用できるようにするには、リテンション期間を 90 日に引き上げます。 Azure モニター ログでデータ保持ポリシーとアーカイブ ポリシーを構成します

  1. Azure portal にサインインし

  2. Microsoft Sentinelを検索して選択します。
    Azure portalからMicrosoft Sentinelを検索して選択しているスクリーンショット。

  3. [作成] を選択します。 [作成] を選択して新しい Log Analytics ワークスペースの作成を開始するスクリーンショット。

  4. [Create a new workspace]\(新しいワークスペースを作成\) を選択します。 [新しいワークスペースの作成] を選択したスクリーンショット。

  5. [ サブスクリプション>リソース グループ] で、[ 新規作成] を選択します。 リソース グループの名前を入力し、[ OK] を選択します Log Analytics ワークスペースの作成画面のスクリーンショット。[サブスクリプションとリソース グループ] で、[新規作成] が選択されています。

  6. ワークスペースに名前を付けてリージョンを選択し、[ 確認と作成] を選択します。 ( Log Analytics が使用可能なリージョンを参照してください)。

  7. 検証に合格したら、[ 作成] を選択します。 デプロイが完了するまで待ちます。

Microsoft Sentinelを Log Analytics ワークスペースに追加する

  1. Azure portalで、[Microsoft Sentinel] を検索して選択します。

  2. [作成] を選択します。 [作成] を選択して新しい Log Analytics ワークスペースを作成するスクリーンショット。

  3. 使用するワークスペースを選択し、[ 追加] を選択します。 Microsoft Sentinelは複数のワークスペースで実行できますが、データは 1 つのワークスペースに分離されます。

    • Microsoft Defender for Cloud によって作成された既定のワークスペースは一覧に表示されません。 これらのワークスペースにMicrosoft Sentinelをインストールすることはできません。
    • ワークスペースにデプロイした後、Microsoft Sentinelでは、そのワークスペースを別のリソース グループまたはサブスクリプションに移動することはできません

注:

ワークスペースが Defender ポータルに自動的にオンボードされていない場合は、Microsoft Sentinelとその他の Microsoft セキュリティ サービスの両方でセキュリティ操作 (SecOps) を管理する際の統合エクスペリエンスのオンボードをお勧めします。 詳細については、「Microsoft Sentinelを Defender ポータルにオンボードする」を参照してください。

ワークスペースが自動的にオンボードされている場合、またはワークスペースを今すぐオンボードする場合は、Defender ポータルからこの記事の手順を続行できます。 Defender ポータルを初めて使用する場合は、プロセスが完了するまでに数分の遅延が発生します。

Defender ポータルでMicrosoft Sentinelにアクセスする

Defender ポータルでMicrosoft Sentinelにアクセスするには:

  1. Defender ポータルにサインインします。

    Defender ポータルに初めてアクセスするときは、テナントのプロビジョニングに時間がかかります。

  2. プロビジョニングが完了すると、ナビゲーション ウィンドウに使用可能なMicrosoft Sentinelが表示され、Microsoft Sentinelノードが入れ子になります。 例:

    Defender ポータルのMicrosoft Sentinelのスクリーンショット。

  3. ナビゲーション ウィンドウで下にスクロールし、[設定] > Microsoft Sentinel > [ワークスペース] を選択して、Defender ポータルにオンボードされ、使用可能なワークスペースを表示します。

Defender ポータルでは複数のワークスペースがサポートされ、1 つのワークスペースがテナントごとにプライマリ ワークスペースとして機能します。 詳細については、「Defender ポータルの複数のMicrosoft Sentinel ワークスペース」および「マルチテナント管理Microsoft Defender」を参照してください。

コンテンツ ハブからソリューションをインストールする

Microsoft Sentinelのコンテンツ ハブは、データ コネクタを含むすぐに利用できるコンテンツを検出して管理するための一元的な場所です。 このクイック スタートでは、Azure アクティビティのソリューションをインストールします。

  1. Microsoft Sentinelで、[コンテンツ ハブ] ページを参照し、Azure アクティビティ ソリューションを見つけて選択します。

  2. 側面のソリューションの詳細ウィンドウで、[インストール] を選択 します

データ コネクタを設定する

Microsoft Sentinelは、サービスに接続し、イベントとログをMicrosoft Sentinelに転送することで、サービスとアプリからデータを取り込みます。 このクイック スタートでは、データ コネクタをインストールして、Azure アクティビティのデータをMicrosoft Sentinelに転送します。

  1. Microsoft Sentinelで、[構成>Data コネクタ] を選択し、Azure アクティビティ データ コネクタを検索して選択します。

  2. コネクタの詳細ウィンドウで、[ コネクタ ページを開く] を選択します。 [Azure アクティビティ コネクタ] ページの手順を使用して、データ コネクタを設定します。

    1. [割り当てウィザードAzure Policy起動] を選択します

    2. [基本] タブで、[スコープ] を、Microsoft Sentinelに送信するアクティビティがあるサブスクリプションとリソース グループに設定します。 たとえば、Microsoft Sentinel インスタンスを含むサブスクリプションを選択します。

    3. [ パラメーター ] タブを選択し、[ プライマリ Log Analytics] ワークスペースを設定します。 これは、Microsoft Sentinelがインストールされているワークスペースである必要があります。

    4. [ 確認と作成と作成 ] を 選択します

アクティビティ データを生成する

Microsoft SentinelのAzure アクティビティ ソリューションに含まれていたルールを有効にして、アクティビティ データをいくつか生成してみましょう。 この手順では、コンテンツ ハブでコンテンツを管理する方法についても説明します。

  1. Microsoft Sentinelで、[コンテンツ ハブ] を選択し、Azure アクティビティ ソリューションで [不審なリソースのデプロイ ルール テンプレート] を検索して選択します。

  2. 詳細ウィンドウで、[ルールの 作成 ] を選択し、 分析ルール ウィザードを使用して新しいルールを作成します。

  3. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ページで、[状態][有効] に変更します。

    このタブとウィザードの他のすべてのタブでは、既定値はそのままにします。

  4. [ 確認と作成 ] タブで、[ 作成] を選択します。

Microsoft Sentinelに取り込まれたデータを表示する

Azure アクティビティ データ コネクタを有効にし、いくつかのアクティビティ データを生成したので、ワークスペースに追加されたアクティビティ データを表示しましょう。

  1. Microsoft Sentinelで、[構成>Data コネクタ] を選択し、Azure アクティビティ データ コネクタを検索して選択します。

  2. コネクタの詳細ウィンドウで、[ コネクタ ページを開く] を選択します。

  3. データ コネクタの 状態 を確認します。 接続 されている必要があります。

    Azure アクティビティのデータ コネクタのスクリーンショット。状態が [接続済み] と表示されています。

  4. 使用しているポータルに応じて、タブを選択して続行します。

    1. [ ログ分析に移動] を 選択して、[ 高度なハンティング ] ページを開きます。

    2. ウィンドウの上部にある [ 新しいクエリ ] タブの横にある + を選択して、新しいクエリ タブを追加します。

    3. 次のクエリを実行して、ワークスペースに取り込まれたアクティビティの日付を表示します。

      AzureActivity

    例:

    Defender ポータルの [ログ] ページの AzureActivity クエリのスクリーンショット。

次の手順

このクイック スタートでは、Microsoft Sentinelを有効にし、コンテンツ ハブからソリューションをインストールしました。 次に、データ コネクタを設定して、Microsoft Sentinelへのデータの取り込みを開始します。 また、ワークスペース内のデータを表示することで、データが取り込まれていることも確認しました。

Defender ポータルに自動的にオンボードされた新しい顧客の場合、ユーザーは Defender ポータルでのみMicrosoft Sentinelにアクセスします。 Microsoft Sentinelドキュメントを使用するときは、必ず Defender ポータルバージョンのドキュメントを選択してください。

  • Last updated on