Microsoft Sentinel コンテンツには、データの取り込み、監視、警告、セキュリティの脅威への対応に役立つセキュリティ情報およびイベント管理 (SIEM) ソリューション コンポーネントが含まれています。 この記事では、Microsoft Sentinel のコンテンツとソリューションの種類と、それらがセキュリティ運用にどのように役立つかについて説明します。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。
サポートされているコンテンツ
コンテンツは Microsoft Sentinel コンテンツ ハブで使用でき、次の種類が含まれます。
| コンテンツの種類 | 説明 |
|---|---|
| 分析ルール | インシデントを通じて関連する SOC アクションを指すアラートを作成します。 |
| データ コネクタ | さまざまなソースから Microsoft Sentinel にログを取り込みます。 |
| ハンティング クエリ | SOC チームが Microsoft Sentinel で脅威を事前に検出できるように支援します。 |
| パーサー | さまざまなコンテンツ タイプやシナリオで使用するために、ログを 高度なセキュリティ情報モデル (ASIM) 形式にフォーマットして変換します。 |
| プレイブックと Azure Logic Apps カスタム コネクタ | Microsoft Sentinel で調査、修復、応答のシナリオを自動化します。 |
| ウォッチリスト | 特定のデータを取り込んで、脅威の検出を改善し、アラートの疲労を軽減します。 |
| ブック | Microsoft Sentinel のデータを監視、視覚化、操作して、意味のある分析情報を確認します。 |
コンテンツ ハブは、これらのコンテンツ タイプをソリューションおよびスタンドアロンアイテムとして提供します。 ソリューション は、Microsoft Sentinel のエンド ツー エンドの製品、ドメイン、業界の垂直シナリオをサポートする Microsoft Sentinel コンテンツまたは Microsoft Sentinel API 統合のパッケージです。
ニーズに合わせてすぐに使用できる (OOTB) コンテンツをカスタマイズしたり、コミュニティの他のユーザーと共有するための独自のソリューションを作成したりできます。 詳細については、ソリューションの作成と発行に関する Microsoft Sentinel ソリューション ビルド ガイド を参照してください。
Microsoft Sentinel でコンテンツを検出して管理する
Microsoft Sentinel コンテンツ ハブ を使用して、すぐに使用できる (OOTB) コンテンツを一元的に検索してインストールします。
Microsoft Sentinel コンテンツ ハブ を使用すると、製品内のコンテンツを検索し、1 つの手順で展開し、Microsoft Sentinel でエンド ツー エンドの製品、ドメイン、または垂直方向の OOTB ソリューションとコンテンツを有効にすることができます。
カテゴリやその他のパラメーターでフィルター処理するか、テキスト検索を使用して、組織に最適なコンテンツを見つけます。
コンテンツ ハブには、コンテンツの各部分のサポート モデルも表示されます。 一部のコンテンツは Microsoft によって管理され、他のコンテンツはパートナーまたはコミュニティによって管理されます。
コンテンツ ハブで、すぐに使えるコンテンツの更新プログラムを管理します。 カスタム コンテンツの場合は、[ リポジトリ ] ページから更新を管理します。 詳細については、「Microsoft Sentinel の標準コンテンツの検出と管理」を参照してください。
ニーズに合わせてすぐに使えるコンテンツをカスタマイズしたり、分析ルール、ハンティング クエリ、ブックなどのカスタム コンテンツを作成したりできます。
Microsoft Sentinel API を使用するか、ソース管理リポジトリから、Microsoft Sentinel ワークスペースでカスタム コンテンツを直接管理します。 詳細については、 Microsoft Sentinel API と リポジトリからのカスタム コンテンツのデプロイに関するページを参照してください。
Microsoft Sentinel ソリューションを使用する理由
Microsoft Sentinel ソリューションは、 コンテンツ ハブ内の 1 つ以上のドメインまたは垂直シナリオに対してエンドツーエンドの製品価値を提供するパッケージ化された統合です。
Azure Marketplace を利用したソリューション エクスペリエンスは、必要なコンテンツを見つけてデプロイするのに役立ちます。 Azure Marketplace でのソリューションの作成と発行の詳細については、 Microsoft Sentinel ソリューション ビルド ガイドを参照してください。
パッケージコンテンツ は、 Microsoft Sentinel コンテンツの 1 つ以上のコンポーネントのコレクションです。
統合には、 Azure と既存の顧客アプリケーション間の統合をサポートする Microsoft Sentinel または Azure Log Analytics API を使用して構築されたサービスやツール、またはそれらのアプリケーションから Microsoft Sentinel へのデータ、クエリなどの移動が含まれます。
ソリューションを使用して、すぐに使用できる (OOTB) コンテンツのパッケージを 1 つの手順でインストールします。 多くの場合、コンテンツはすぐに使用できます。 プロバイダーとパートナーは Sentinel ソリューションを使用し、統合された製品、ドメイン、または垂直の価値を届けることにより、顧客の投資に価値を追加します。
コンテンツ ハブを使用して、シナリオに基づいてソリューションと OOTB コンテンツを一元的に検索して展開します。
詳細については、次を参照してください。
- Microsoft Sentinel の設定不要ですぐに利用可能なコンテンツとソリューションを一元的に見つけてデプロイする
- Azure Marketplace の Microsoft Sentinel ソリューション カタログ
- Microsoft Sentinel カタログ
Microsoft Sentinel のすぐに使えるコンテンツとソリューションのカテゴリ
Microsoft Sentinel のすぐに使用するコンテンツは、これらのカテゴリの 1 つ以上に適合します。 コンテンツ ハブで、表示するカテゴリを選択して、表示されるコンテンツを変更します。 コミュニティで配信されたアイテムは 、スタンドアロン コンテンツ またはソリューションとしてコンテンツ ハブに表示されます。
ドメイン カテゴリ
| カテゴリ名 | 説明 |
|---|---|
| アプリケーション | Web、サーバー ベース、SaaS、データベース、通信、または生産性サービス |
| クラウド プロバイダー | クラウド サービス |
| クラウドセキュリティ | クラウド セキュリティ サービス |
| コンプライアンス | 準拠製品、サービス、プロトコル |
| DevOps | 開発オペレーション ツールとサービス |
| 同一性 | ID サービス プロバイダーと統合 |
| モノのインターネット (IoT) | IoT、運用テクノロジ (OT) デバイスとインフラストラクチャ、工業制御サービス |
| IT 運用 | IT 管理を行う製品とサービス |
| 移動 | 移行の有効化の製品とサービス |
| ネットワーキング | ネットワーク製品、サービス、ツール |
| プラットホーム | Microsoft Sentinel の汎用またはフレームワークのコンポーネント、クラウド インフラストラクチャ、プラットフォーム |
| セキュリティ | 一般的なセキュリティ製品 |
| セキュリティ - 0 日間の脆弱性 | ゼロデイ脆弱性攻撃に特化したソリューション |
| セキュリティ - オートメーション (SOAR) | セキュリティ自動化、SOAR (セキュリティ操作と自動化された応答)、セキュリティ操作、インシデント対応の製品とサービス。 |
| セキュリティ - クラウド セキュリティ | CASB (Cloud Access Service Broker)、CWPP (クラウド ワークロード保護プラットフォーム)、CSPM (クラウド セキュリティ体制管理)、その他のクラウド セキュリティ製品とサービス |
| セキュリティ - 情報保護 | 情報保護とドキュメント保護の製品およびサービス |
| セキュリティ - 内部脅威 | セキュリティ製品およびサービスの内部関係者による脅威およびユーザー/エンティティ行動分析 (UEBA) |
| セキュリティ - ネットワーク | セキュリティ ネットワーク デバイス、ファイアウォール、NDR (ネットワークの検出と応答)、NIDP (ネットワークの侵入と検出の防止)、ネットワーク パケット キャプチャ |
| セキュリティ - その他 | その他の明確なカテゴリを持たない他のセキュリティ製品とサービス |
| セキュリティ - 脅威インテリジェンス | 脅威インテリジェンスのプラットフォーム、フィード、製品、サービス |
| セキュリティ - 脅威の防止 | 脅威からの保護、電子メール保護、拡張された検出と対応 (XDR)、およびエンドポイント保護製品とサービス |
| セキュリティ - 脆弱性管理 | 脆弱性管理の製品とサービス |
| 貯蔵 | ファイル ストアとファイル共有の製品とサービス |
| トレーニングとチュートリアル | トレーニング、チュートリアル、オンボード資産 |
| ユーザーの動作 (UEBA) | ユーザー動作分析の製品とサービス |
業界の垂直カテゴリ
| カテゴリ名 | 説明 |
|---|---|
| 航空学 | 航空業界に固有の製品、サービス、コンテンツ |
| 教育 | 教育業界に固有の製品、サービス、コンテンツ |
| 金融 | 金融業界に固有の製品、サービス、コンテンツ |
| 医療 | 医療業界に固有の製品、サービス、コンテンツ |
| 加工 | 製造業界固有の製品、サービス、コンテンツ |
| 小売 | 小売業界に固有の製品、サービス、コンテンツ |
| ソフトウェア | ソフトウェア業界に固有の製品、サービス、およびコンテンツ |
Microsoft Sentinel のすぐに使えるコンテンツおよびソリューションのサポート モデル
Microsoft およびその他の組織は、Microsoft Sentinel のすぐに使用するコンテンツとソリューションを作成します。 すぐに使えるコンテンツまたはソリューションの各部分には、次のいずれかのサポートの種類があります。
| サポート モデル | 説明 |
|---|---|
| Microsoft でサポートされている | 適用対象: - Microsoft がデータ プロバイダーであり、該当する場合は作成者であるコンテンツまたはソリューション。 - Microsoft 以外のデータ ソース用の Microsoft が作成したコンテンツまたはソリューションの一部。 Microsoft は、Microsoft Azure サポート プランに従って、このサポート モデルのコンテンツまたはソリューションをサポートおよび維持します。 パートナーまたはコミュニティは、Microsoft 以外の当事者によって作成されたコンテンツまたはソリューションをサポートします。 |
| パートナーサポート | Microsoft 以外の関係者によって作成されたコンテンツまたはソリューションに適用されます。 パートナー企業は、これらのコンテンツまたはソリューションのサポートまたはメンテナンスを提供します。 パートナー企業は、独立系ソフトウェア ベンダー、マネージド サービス プロバイダー (MSP または MSSP)、システム インテグレーター (SI)、または選択したコンテンツまたはソリューションの Microsoft Sentinel ページで連絡先情報が提供されている任意の組織にすることができます。 パートナーがサポートするソリューションに関する問題については、指定されたサポートの連絡先にお問い合わせください。 |
| コミュニティでサポートされている | Microsoft または、Microsoft Sentinel にサポートとメンテナンスのための連絡先が記載されていないパートナー開発者が作成したコンテンツまたはソリューションに適用されます。 これらのソリューションに関する質問や問題については、Microsoft Sentinel GitHub コミュニティに問題を提出してください。 |
Microsoft Sentinel のコンテンツとソリューションのコンテンツ ソース
コンテンツまたはソリューションの各部分には、次のいずれかのコンテンツ ソースがあります。
| コンテンツ ソース | 説明 |
|---|---|
| ソリューション | ライフサイクル管理をサポートする コンテンツ ハブ によってデプロイされたソリューション。 |
| スタンドアロン | 自動的に最新の状態に保たれる コンテンツ ハブ によって展開されるスタンドアロン コンテンツ。 |
| カスタム | ワークスペースでカスタマイズするコンテンツまたはソリューション。 |
| リポジトリ | ワークスペースに接続されているリポジトリのコンテンツまたはソリューション。 |
次のステップ
Microsoft Sentinel ワークスペースの コンテンツ ハブ からソリューションとスタンドアロン コンテンツを検出してインストールします。
詳細については、こちらをご覧ください。
- すぐに使用するコンテンツとソリューションを一元的に検出して展開する
- Azure Marketplace の Microsoft Sentinel ソリューション カタログ
- Microsoft Sentinel カタログ
- Microsoft Sentinel データ コネクタ
- Microsoft Sentinel データ コネクタを見つける