次の方法で共有

Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel のコンテンツ ハブは、そのまま使える (組み込みの) コンテンツを検出して管理するための一元的な場所です。 そこでは、ドメインまたは業界別に、エンド ツー エンドの製品用のパッケージ ソリューションを見つけることができます。 GitHub リポジトリと機能ブレードでホストされている膨大な数のスタンドアロン コントリビューションにアクセスできます。

  • 状態、コンテンツ タイプ、サポート、プロバイダー、カテゴリに基づく一貫した一連のフィルター機能を使って、ソリューションとスタンドアロン コンテンツを検出します。

  • 一度に、または個別に、コンテンツをワークスペースにインストールします。

  • リスト ビューでコンテンツを表示し、更新プログラムのあるソリューションをすばやく確認します。 スタンドアロン コンテンツが自動的に更新される間に、すべてのソリューションを一度に更新します。

  • ソリューションを管理してそのコンテンツ タイプをインストールし、最新の変更を取得します。

  • 最新のテンプレートに基づいて新しいアクティブなアイテムを作成するように、スタンドアロン コンテンツを構成します。

独自のソリューションを作成するパートナーの場合は、ソリューションの作成と発行に関する Microsoft Sentinel ソリューション ビルド ガイド を参照してください。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

2026 年 7 月以降、Microsoft Sentinel は Defender ポータルでのみサポートされ、Azure portal を使用している残りの顧客は自動的にリダイレクトされます。

Azure で Microsoft Sentinel を使用しているお客様は、Microsoft Defender によって提供される完全な統合セキュリティ操作エクスペリエンスのために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 すべての Microsoft Sentinel ユーザー向けの Microsoft Defender ポータルへの移行の計画」を参照してください。

前提条件

コンテンツ ハブ内のスタンドアロン コンテンツまたはソリューションをインストール、更新、削除するには、リソース グループ レベルで Microsoft Sentinel 共同作成者 ロールが必要です。

Microsoft Sentinel でサポートされている他のロールとアクセス許可の詳細については、「Microsoft Sentinel のアクセス許可」を参照してください。

コンテンツの検出

コンテンツ ハブには、新しいコンテンツを検索したり、既にインストールされているソリューションを管理したりするための、最適な方法が用意されています。

  1. Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Content 管理>Content ハブを選択しますAzure portal の Microsoft Sentinel の場合、[コンテンツ管理] で [コンテンツ ハブ] を選択します。

    [コンテンツ ハブ] ページには、検索可能なグリッドまたはソリューションとスタンドアロン コンテンツの一覧が表示されます。

  2. 必要なソリューション、またはスタンドアロン コンテンツ項目を検索します。 フィルターから特定の値を選択するか、[ 検索] ボックス に検索語句を入力します。 検索では AI が使用され、あいまい検索と近似語彙がサポートされています。

    検索するときは、 必ず Enter キー を押して検索を開始してください。 検索結果の数は、ソリューションとソリューション内にあるコンテンツ項目の両方を含め、50 項目に制限されています。 探しているものが見つからない場合は、検索式を絞り込むか、別のフィルターを使用してみてください。

    詳細については、「Microsoft Sentinel の標準コンテンツとソリューションのカテゴリ」を参照してください。

  3. リスト ビュー ( ) で、一覧からソリューションを選択すると、ソリューションに関する情報と、それに含まれるコンテンツ項目の種類が表示されます。

    検索結果またはフィルター結果でソリューションを展開して、含まれるコンテンツ項目の一覧を表示します。 横の情報ウィンドウには、コンテンツ項目に関する詳細情報が表示されます。

    または、カード ビュー ( ) を選択して、グリッドに表示されるソリューションを表示します。 各カードには、ソリューション名、説明、カテゴリが表示されます。 カードを選択すると、横にソリューションに関する詳細情報が表示されます。

ソリューションの一部であるコンテンツ項目を使用するには、ソリューション全体をインストールする必要があります。 リスト ビューで特定のコンテンツ項目を選択した場合は、サイドの詳細ウィンドウで [ ソリューションのインストール ] を選択して、関連するソリューションをインストールします。

詳細については、「Microsoft Sentinel の標準コンテンツとソリューションのカテゴリ」を参照してください。

コンテンツをインストールまたは更新する

スタンドアロン コンテンツとソリューションを、個別に、またはすべてまとめて、インストールします。 一括操作の詳細については、次のセクションの コンテンツの一括インストールと更新 を参照してください。

展開したソリューションに前回デプロイした後の更新プログラムがある場合は、リスト ビューに [更新] が状態 列に表示 されます。 このソリューションは、ページの上部にある [更新プログラム ] の数にも含まれます。

個々のソリューションをインストールする例を次に示します。

  1. コンテンツ ハブで、ソリューションを検索して選択します。

  2. ソリューションの詳細ウィンドウで、右下にある [ 詳細の表示] を選択します。

  3. [ 作成 ] または [ 更新] を選択します。

  4. [ 基本 ] タブで、ソリューションをデプロイするサブスクリプション、リソース グループ、ワークスペースを入力します。 次に例を示します。

    ソリューション インストール ウィザードのスクリーンショット。[基本] タブが表示されています。

  5. [ 次へ ] を選択して、残りのタブを確認し、場合によっては各コンテンツ コンポーネントを構成します。

    タブは、ソリューションによって提供されるコンテンツに対応しています。 ソリューションによってコンテンツの種類が異なる場合があるため、すべてのソリューションに同じタブが表示されるわけではありません。

    Microsoft Sentinel でシステムに対して認証できるように、Microsoft 以外のサービスに資格情報を入力するように求められる場合もあります。 たとえば、プレイブックでは、システムで規定されている応答アクションを実行しなければならないことがあります。

  6. [ 確認と作成 ] タブで、 Validation Passed メッセージが表示されるまで待ちます。

  7. [ 作成 ] または [更新] を選択してソリューションをデプロイします。 [ Automation 用テンプレートのダウンロード ] リンクを選択して、ソリューションをコードとしてデプロイすることもできます。

依存関係を含めてインストールする

一部のソリューションには、CEF、Syslog、またはカスタム ログ用の統合 AMA コネクタを使用する多くのドメイン ソリューションやソリューションなど、インストールする依存関係があります。

このような場合は、[ 依存関係のあるインストール ] を選択して、必要なデータ コネクタも確実にインストールされるようにします。 そこから、1 つ以上の依存関係を選択して、元のソリューションと共にインストールします。 インストールすることを選択した元のソリューションは、既定で常に選択されます。

1 つ以上の依存関係ソリューションが既にインストールされているが、更新プログラムがある場合は、[ インストール/更新 ] ボタンを使用して、選択したすべてのソリューションを一括でインストールおよび更新します。 次に例を示します。

複数のソリューション依存関係を一括インストールするスクリーンショット。

ソリューションをインストールした後、ソリューション内の各コンテンツ タイプを構成するために追加の手順が必要になる場合があります。 詳細については、「 ソリューションのコンテンツ 項目を有効にする」を参照してください。

コンテンツを一括でインストールおよび更新する

コンテンツ ハブでは、既定のカード ビューに加えてリスト ビューがサポートされています。 リスト ビューを選択すると、複数のソリューションとスタンドアロン コンテンツを一度にインストールできます。 スタンドアロン コンテンツは自動的に最新の状態に保たれます。 コンテンツ ハブからインストールされたソリューションまたはスタンドアロン コンテンツに基づいて作成されたアクティブまたはカスタムのコンテンツは変更されません。

  1. 項目を一括でインストールしたり更新したりするには、リスト ビューに変更します。

  2. 検索またはフィルター処理して、一括でインストールまたは更新するコンテンツを検出します。

  3. インストールまたは更新する各ソリューションまたはスタンドアロン コンテンツのチェックボックスをオンにします。

  4. [ インストール/更新 ] ボタンを選択します。 複数のソリューションが選択され、インストールが進行中のソリューションの一覧ビューのスクリーンショット。

    選択したソリューションまたはスタンドアロン コンテンツが既にインストールまたは更新されている場合、その項目に対するアクションは実行されません。 この操作が他の項目の更新やインストールを妨げることはありません。

  5. インストールした各ソリューションの [管理 ] を選択します。 ソリューション内のコンテンツ タイプには、構成のための詳細情報が必要になるものがあります。 詳細については、「 ソリューションのコンテンツ 項目を有効にする」を参照してください。

API を使用してパッケージとテンプレートをインストールする

API を使用してソリューション パッケージまたは個々のテンプレートをインストールする場合は、次の手順に従います。

  1. ソリューション パッケージまたはテンプレートを取得します。

  2. API 応答で、 properties.mainTemplate フィールドを見つけます。 このフィールドには、ソリューションまたはテンプレート リソースを定義する ARM テンプレート JSON が含まれています。

  3. REST API、Azure CLI、または PowerShell を使用して、ARM テンプレートのデプロイを使用して、抽出されたmainTemplateをデプロイします。

ソリューションのコンテンツ項目を有効にする

コンテンツ ハブからインストールされたソリューションのコンテンツ項目を一元的に管理します。

  1. コンテンツ ハブで、バージョンが 2.0.0 以降のインストール済みソリューションを選択します。

  2. ソリューションの詳細ページで、[管理] を選択 します

    Azure アクティビティ コンテンツ ハブ ソリューションの詳細ページの [管理] ボタンのスクリーンショット。

  3. コンテンツ項目の一覧を確認します。

    Azure アクティビティ ソリューションのソリューションの説明とコンテンツ項目の一覧のスクリーンショット。

  4. 開始するコンテンツ項目を選択します。

各コンテンツ タイプを管理する

次のセクションでは、ソリューションを管理する場合に、さまざまなコンテンツ タイプを扱う方法についていくつかのヒントを示します。

データ コネクタ

データ コネクタを接続するには、構成手順を完了します。

  1. [ コネクタ ページを開く] を選択します。

  2. データ コネクタの構成手順を完了します。

    状態が切断されている Azure アクティビティ ソリューションのデータ コネクタ コンテンツ項目のスクリーンショット。

    データ コネクタを構成し、ログが検出されると、状態が [接続済み] に変わります。

分析ルール

テンプレートからルールを作成するか、既存のルールを編集します。

  1. 分析テンプレート ギャラリーでテンプレートを表示します。

  2. テンプレートがまだ使用されていない場合は、[ 開く>作成ルール ] を選択し、手順に従って分析ルールを有効にします。

    ルールを作成すると、テンプレートから作成されたアクティブなルールの数が [ 作成されたコンテンツ ] 列に表示されます。

  3. アクティブなルールのリンクを選択して、既存のルールを編集します。 たとえば、次の図のアクティブなルール リンクは、[ 作成されたコンテンツ] の下にあり、 2 つの項目が表示されます。

    Azure アクティビティのソリューションの分析ルールコンテンツ項目のスクリーンショット。

ハンティング クエリ

指定されたハンティング クエリを実行するか、カスタマイズしてください。

  1. すぐに検索を開始するには、詳細ページから [ クエリの実行 ] を選択して簡単な結果を得られます。

    Azure アクティビティのソリューションで複製されたハンティング クエリ コンテンツ項目のスクリーンショット。

  2. ハンティング クエリをカスタマイズするには、[ コンテンツ名 ] 列のリンクを選択します。

    ハンティング ギャラリーから、省略記号メニューにアクセスして、読み取り専用のハンティング クエリ テンプレートの複製を作成できます。 この方法で作成されたハンティング クエリは、コンテンツ ハブの [ 作成されたコンテンツ ] 列にアイテムとして表示されます。

ブック

テンプレートから作成されたブックをカスタマイズするには、ブックのインスタンスを作成します。

  1. テンプレートを表示 を選択してブックを開き、ビジュアライゼーションを確認します。

  2. [ 保存] を 選択して、ブック テンプレートのインスタンスを作成します。

  3. 保存したカスタマイズ可能なブックを表示するには、[ 保存されたブックの表示] を選択します。

  4. コンテンツ ハブから、[作成済みコンテンツ] 列の 1 つの項目リンクを選択してブックを管理します。

    Azure アクティビティ ソリューションに保存されたワークブック項目のスクリーンショット。

パーサー

ソリューションがインストールされると、含まれているパーサーはすべて Log Analytics のワークスペース関数として追加されます。

  1. [ 関数コードの読み込み ] を選択して Log Analytics を開き、関数コードを表示または実行します。

  2. [ エディターで使用 ] を選択して、カスタム クエリに追加するパーサー名で Log Analytics を開きます。

    ソリューション内のパーサー コンテンツ タイプのスクリーンショット。

プレイブック

テンプレートからプレイブックを作成します。

  1. プレイブックの [コンテンツ名 ] リンクを選択します。

  2. テンプレートを選択し、[ プレイブックの作成] を選択します。

  3. プレイブックが作成されると、[作成された コンテンツ ] 列にアクティブなプレイブックが表示されます。

  4. アクティブなプレイブック 1 項目 のリンクを選択してプレイブックを管理します。

    ソリューション内のプレイブックタイプのコンテンツタイプのスクリーンショット。

コンテンツのサポート モデルを見つける

各ソリューションとスタンドアロン コンテンツ項目は、Microsoft またはパートナーの名前が一覧表示されている [サポート] ボックスの詳細ウィンドウで、サポート モデルについて説明します。 次に例を示します。

ソリューションのサポート モデルが見つかる場所のスクリーンショット。

サポートに連絡する場合は、パブリッシャー、プロバイダー、プラン ID の値など、ソリューションに関するその他の詳細が必要になる場合があります。 この情報は、[ 使用状況情報] > [サポート ] タブの詳細ページで確認できます。

ソリューションの使用状況とサポートの詳細のスクリーンショット。

次のステップ

このドキュメントでは、Microsoft Sentinel 用の組み込みのソリューションとスタンドアロン コンテンツを検索してデプロイする方法について説明しました。

多くのソリューションには、Microsoft Sentinel へのデータの取り込みを開始するために構成する必要があるデータ コネクタが含まれます。 各データ コネクタには、Microsoft Sentinel のデータ コネクタ ページで詳しく説明されている、独自の要件のセットが指定されます。

詳細については、「 データ ソースの接続」を参照してください