Microsoft Sentinel の新機能

[アーティクル]
04/10/2024

この記事では、Microsoft Sentinel 用に最近追加された機能と、Microsoft Sentinel のユーザーエクスペリエンスを向上させる関連サービスの新機能について説明します。

リストされた機能は、過去 3 か月間にリリースされました。以前に提供された機能については、Tech Community のブログを参照してください。

次の URL をフィードリーダーにコピーして貼り付け、このページが更新されたときに通知を受け取ります: https://aka.ms/sentinel/rss

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

2024 年 4 月

Microsoft Defender ポータルの統合セキュリティオペレーションプラットフォーム (プレビュー)
Azure China 21Vianet での Microsoft Sentinel の一般提供 (GA) 開始
2 つの異常検出の廃止
Microsoft Sentinel がイタリア北部リージョンで利用可能になりました

Microsoft Defender ポータルの統合セキュリティオペレーションプラットフォーム (プレビュー)

Microsoft Defender ポータルで統合セキュリティオペレーションプラットフォームが利用できるようになりました。このリリースでは、Microsoft Sentinel、Microsoft Defender XDR、Microsoft Copilot のすべての機能が Microsoft Defender に統合されています。詳細については、次のリソースを参照してください。

Azure China 21Vianet での Microsoft Sentinel の一般提供 (GA) 開始

Azure China 21Vianet で Microsoft Sentinel の一般提供 (GA) が開始されました。 Azure 商用またはその他のクラウド向けの Microsoft Sentinel 機能のサポートに記載されているように、個々の機能は引き続きパブリックプレビュー段階にある可能性があります。

詳細については、「Microsoft Sentinel でのリージョン別の提供状況とデータの保存場所」を参照してください。

2 つの異常検出の廃止

次の異常検出は、結果の品質が低いため、2024 年 3 月 26 日の時点で廃止されます。

ドメイン評価の Palo Alto の異常
Palo Alto GlobalProtect を使用した 1 日のうちのマルチリージョンログイン

異常検出の完全な一覧については、異常のリファレンスページを参照してください。

Microsoft Sentinel がイタリア北部リージョンで利用可能になりました

Microsoft Sentinel は、他のすべての Azure Commercial リージョンと同じ機能セットを使用して、イタリア北部の Azure リージョンで使用できるようになりました。この機能セットは、「Azure 商用またはその他のクラウド向けの Microsoft Sentinel 機能のサポート」に記載されています。

詳細については、「Microsoft Sentinel でのリージョン別の提供状況とデータの保存場所」を参照してください。

2024 年 3 月

SIEM 移行エクスペリエンスの一般提供 (GA) 開始
アマゾンウェブサービス S3 コネクタの一般提供 (GA) 開始
コードレスコネクタビルダー (プレビュー)
Azure Monitor Agent に基づく Syslog および CEF 用のデータコネクタが一般公開 (GA)

SIEM 移行エクスペリエンスの一般提供 (GA) 開始

月の初めに、SIEM 移行プレビューを発表しました。月末には、既に GA が開始されています。新しい Microsoft Sentinel 移行エクスペリエンスは、お客様とパートナーが、Microsoft 以外の製品でホストされているセキュリティ監視ユースケースを Microsoft Sentinel に移行するプロセスを自動化するのに役立ちます。

このツールの最初のバージョンでは、Splunk からの移行がサポートされます

詳細については、「SIEM 移行エクスペリエンスを使用して Microsoft Sentinel に移行する」を参照してください。

Microsoft のセキュリティコミュニティでは、SIEM 移行エクスペリエンスを紹介するウェビナーを 2024 年 5 月 2 日に行います。ぜひご参加ください。

アマゾンウェブサービス S3 コネクタの一般提供 (GA) 開始

Microsoft Sentinel で、AWS S3 データコネクタの一般提供 (GA) がリリースされました。このコネクタを使用すると、S3 バケットと AWS のシンプルなメッセージキューサービスを使用して、複数の AWS サービスから Microsoft Sentinel にログを取り込むことができます。

このリリースと同時に、このコネクタの構成が Azure Commercial Cloud のお客様向けに多少変更されました。 AWS へのユーザー認証は、Microsoft Sentinel アプリケーション ID と顧客ワークスペース ID の組み合わせを使用する代わりに、OpenID Connect (OIDC) Web ID プロバイダーを使用して行われるようになりました。既存のお客様は、当分の間、現在の構成を引き続き使用でき、変更を行う必要が生じた場合は事前に通知されます。

AWS S3 コネクタの詳細については、「Microsoft Sentinel をアマゾンウェブサービスに接続し、AWS サービスログデータを取り込む」を参照してください

コードレスコネクタビルダー (プレビュー)

コードレスコネクタプラットフォーム (CCP) データコネクタ用の ARM テンプレートのデプロイに関連する複雑な JSON の使用時に役立つブックが与えられました。 コードレスコネクタビルダーのわかりやすいインターフェイスを使用して開発を簡略化します。

コードレスコネクタビルダー (プレビュー) を使用してコードレスコネクタを作成する方法については、ブログ記事を参照してください。

CCP の詳細については、「Microsoft Sentinel 用のコードレスコネクタを作成する (パブリックプレビュー)」を参照してください。

Azure Monitor Agent に基づく Syslog および CEF 用のデータコネクタが一般公開 (GA)

Microsoft Sentinel では、Azure Monitor Agent (AMA) に基づいてさらに 2 つのデータコネクタを一般提供にリリースしました。これらのコネクタを使用して、データ収集規則 (DCR) を Azure Monitor エージェントにインストールされたマシンにデプロイし、共通イベント形式 (CEF) を含む Syslog メッセージを収集できるようになりました。

Syslog および CEF コネクタの詳細については、「Azure Monitor エージェントを使用した Syslog および CEF ログの取り込み」を参照してください。

2024 年 2 月

Microsoft Power Platform 向け Microsoft Sentinel ソリューション (プレビュー) が利用可能
Security Command Center の検出結果を取り込むための新しい Google Pub/Sub ベースのコネクタ (プレビュー)
インシデントタスクは一般提供 (GA) になりました
AWS および GCP データコネクタが Azure Government クラウドのサポートを開始
AMA コネクタを介した Windows DNS イベントの一般提供 (GA) 開始

Microsoft Power Platform 向け Microsoft Sentinel ソリューション (プレビュー) が利用可能

Microsoft Power Platform 向け Microsoft Sentinel ソリューション (プレビュー) を使用すると、Power Platform 環境内の疑わしいアクティビティや悪意のあるアクティビティを監視して検出できます。このソリューションでは、さまざまな Power Platform コンポーネントとインベントリデータからアクティビティログを収集し、これらのアクティビティログを分析して、次のような脅威や疑わしいアクティビティを検出します:

承認されていない地域からの Power Apps の実行
Power Apps による疑わしいデータの破壊
Power Apps の大量削除
Power Apps を介して可能になったフィッシング攻撃
退職する従業員による Power Automate フローアクティビティ
環境に追加された Microsoft Power Platform コネクタ
Microsoft Power Platform のデータ損失防止ポリシーの更新または削除

このソリューションは、Microsoft Sentinel コンテンツハブ内にあります。

詳細については、以下を参照してください:

Security Command Center の検出結果を取り込むための新しい Google Pub/Sub ベースのコネクタ (プレビュー)

新しい Google Cloud Platform (GCP) Pub/Sub ベースのコネクタ (現在プレビュー段階) を使用して、Google Security Command Center からログを取り込めるようになりました。

Google Cloud Platform (GCP) Security Command Center は、Google Cloud 用の堅牢なセキュリティおよびリスク管理プラットフォームであり、資産のインベントリと検出、脆弱性と脅威の検出、リスクの軽減と修復などの機能を提供します。これらの機能は、組織のセキュリティ態勢とデータ攻撃面について分析情報を得て、それらを制御するのに役立ちます。また、検出結果と資産に関連するタスクを効率的に処理する能力の強化にも役立ちます。

Microsoft Sentinel との統合により、マルチクラウド環境全体を "1 つのウィンドウ" から可視化し、制御できるようになります。

新しいコネクタを設定する方法と Google Security Command Center からイベントを取り込む方法については、こちらを参照してください。

インシデントタスクは一般提供 (GA) になりました

インシデントの調査と対応のプラクティスを標準化してインシデントワークフローをより効果的に管理できるようにするインシデントタスクが、Microsoft Sentinel で一般公開 (GA) になりました。

インシデントタスクの詳細については、Microsoft Sentinel のドキュメントを参照してください。
インシデントタスクをウォッチリスト、自動化ルール、プレイブックと組み合わせて使用して、次の 2 つの部分でタスク管理ソリューションをビルドする方法を示す、Benji Kovacevic によるこのブログ記事を参照してください。
- インシデントタスクのリポジトリ。
- インシデントのタイトルに従って、新しく作成されたインシデントにタスクを自動的にアタッチし、適切な担当者に割り当てるメカニズム。

AWS および GCP データコネクタが Azure Government クラウドのサポートを開始

アマゾンウェブサービス (AWS) と Google Cloud Platform (GCP) 用の Microsoft Sentinel データコネクタに、Azure Government クラウド内のワークスペースにデータを取り込むためのサポート構成が含まれるようになりました。

Azure Government のお客様を対象としたこれらのコネクタの構成は、パブリッククラウドの構成とは少し異なります。詳細については、関連ドキュメントを参照してください。

AMA コネクタを介した Windows DNS イベントの一般提供 (GA) 開始

Windows DNS イベントは、Azure Monitor エージェントを一般提供されるようになったデータコネクタと合わせて使用することで Microsoft Sentinel に取り込むことができるようになりました。このコネクタを使用すると、必要な特定の DNS レコードとフィールドのみを取り込めるように、データ収集ルール (DCR) と強力で複雑なフィルターを定義できます。

詳細については、「AMA コネクタを使用して Windows DNS サーバーからデータをストリーミングおよびフィルター処理する」を参照してください。

2024 年 1 月

分析ルールを使用して SAP システムの擬陽性を減らす

分析ルールを SAP® アプリケーション用の Microsoft Sentinel ソリューションと共に使用することで、SAP® システムからトリガーされた擬陽性の数を減らします。 SAP® アプリケーション用の Microsoft Sentinel ソリューションには、次の機能強化が含まれるようになりました。

SAPUsersGetVIP 関数で、SAP 指定のロールまたはプロファイルに従ってユーザーを除外できるようになりました。
SAP_User_Config ウォッチリストで、SAPUser フィールドでワイルドカードを使用して、特定の構文を持つすべてのユーザーを除外できるようになりました。

詳細については、SAP® アプリケーション向け Microsoft Sentinel ソリューションのデータ参照に関するページおよび「Microsoft Sentinel での擬陽性の処理」を参照してください。

次のステップ

Azure Sentinel をオンボードする

アラートの視覚化