Microsoft Sentinel を Microsoft Defender XDRに接続する (プレビュー)

  • [アーティクル]
  • 適用対象:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ運用プラットフォームのパブリック プレビューの一部として使用できます。 Microsoft Sentinel をMicrosoft Defender ポータルにオンボードすると、インシデント管理や高度なハンティングなどのMicrosoft Defender XDRと機能を統合できます。 ツールの切り替えを減らし、インシデント対応を迅速化し、侵害を迅速に停止する、よりコンテキストに焦点を当てた調査を構築します。 詳細については、以下を参照してください:

重要

この記事の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

前提条件

開始する前に、機能ドキュメントを確認して、製品の変更と制限事項を理解してください。

Microsoft Defender ポータルでは、1 つのMicrosoft Entra テナントと、一度に 1 つのワークスペースへの接続がサポートされます。 この記事のコンテキストでは、ワークスペースは、Microsoft Sentinel が有効になっている Log Analytics ワークスペースです。

Microsoft Defender ポータルで Microsoft Sentinel をオンボードして使用するには、次のリソースとアクセス権が必要です。

  • Microsoft Sentinel が有効になっている Log Analytics ワークスペース

  • インシデントとアラートに対して Microsoft Sentinel で有効になっているMicrosoft Defender XDR (旧称 Microsoft 365 Defender) のデータ コネクタ

  • Defender ポータルでMicrosoft Defender XDRにアクセスする

  • Microsoft Entra テナントにオンボードされたMicrosoft Defender XDR

  • Defender ポータルで Microsoft Sentinel のサポート要求をオンボード、使用、作成するための適切なロールを持つ Azure アカウント。 次の表は、必要な主要なロールの一部を示しています。

    タスク Azure 組み込みロールが必要 範囲
    Microsoft Sentinel を有効にしてワークスペースを接続または切断する 所有者 または
    ユーザー アクセス管理者Microsoft Sentinel 共同作成者    		 - 所有者またはユーザー アクセス管理者ロール

    のサブスクリプション - Microsoft Sentinel 共同作成者のサブスクリプション、リソース グループ、またはワークスペース リソース
    Defender ポータルで Microsoft Sentinel を表示する Microsoft Sentinel 閲覧者 サブスクリプション、リソース グループ、またはワークスペース リソース
    Sentinel データ テーブルのクエリまたはインシデントの表示 Microsoft Sentinel 閲覧者 または次のアクションを持つロール:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read    		 サブスクリプション、リソース グループ、またはワークスペース リソース
    インシデントに対する調査アクションの実行 Microsoft Sentinel 共同作成者 または次のアクションを持つロール:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/
    relations/read- Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write    		 サブスクリプション、リソース グループ、またはワークスペース リソース
    サポート リクエストの作成 Microsoft.Support /* を使用した所有者または
    共同作成者 または
    サポートリクエストの共同作成者 またはカスタム ロール    		 サブスクリプション

    Microsoft Sentinel を Defender ポータルに接続した後、既存の Azure ロールベースのアクセス制御 (RBAC) アクセス許可を使用すると、アクセス権を持つ Microsoft Sentinel 機能を操作できます。 引き続き、Azure portalから Microsoft Sentinel ユーザーのロールとアクセス許可を管理します。 Azure RBAC の変更はすべて Defender ポータルに反映されます。 Microsoft Sentinel のアクセス許可の詳細については、「 Microsoft Sentinel でのロールとアクセス許可 |Microsoft Learn and Manage access to Microsoft Sentinel data by resource |Microsoft Learn

Microsoft Sentinel のオンボード

Microsoft Sentinel が有効になっているワークスペースをDefender XDRに接続するには、次の手順を実行します。

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. Microsoft Defender XDRで、[概要] を選択します

  3. [ ワークスペースの接続] を選択します

  4. 接続するワークスペースを選択し、[ 次へ] を選択します。

  5. ワークスペースの接続に関連する製品の変更を読み、理解します。 これらの変更は次のとおりです。

    • Microsoft Sentinel ワークスペースのログ テーブル、クエリ、関数は、Defender XDR内の高度なハンティングでも使用できます。
    • Microsoft Sentinel 共同作成者ロールは、サブスクリプション内の Microsoft Threat Protection アプリと WindowsDefenderATP アプリに割り当てられます。
    • アクティブな Microsoft セキュリティ インシデント作成ルール は、重複するインシデントを回避するために非アクティブ化されます。 この変更は、Microsoft アラートのインシデント作成ルールにのみ適用され、他の分析ルールには適用されません。
    • Defender XDR製品に関連するすべてのアラートは、一貫性を確保するために、メイン Defender XDR データ コネクタから直接ストリーミングされます。 ワークスペースで、このコネクタからのインシデントとアラートがオンになっていることを確認します。

  6. [接続] を選択します。

ワークスペースが接続されると、[ 概要 ] ページのバナーに、統合されたセキュリティ情報とイベント管理 (SIEM) と拡張検出と応答 (XDR) の準備ができていることが示されます。 [ 概要] ページは、データ コネクタの数や自動化ルールなどの Microsoft Sentinel からのメトリックを含む新しいセクションで更新されます。

Defender ポータルで Microsoft Sentinel の機能を確認する

ワークスペースを Defender ポータルに接続すると、左側のナビゲーション ウィンドウに Microsoft Sentinel が表示されます。 概要インシデント高度なハンティングなどのページには、Microsoft Sentinel とDefender XDRからの統合データがあります。 統合された機能とポータル間の違いの詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関するページを参照してください。

既存の Microsoft Sentinel 機能の多くは、Defender ポータルに統合されています。 これらの機能については、Azure portalポータルと Defender ポータルでの Microsoft Sentinel のエクスペリエンスが似ている点に注意してください。 Defender ポータルで Microsoft Sentinel の操作を開始するには、次の記事を使用します。 これらの記事を使用する場合、このコンテキストの出発点は、Azure portalではなく Defender ポータルであることに注意してください。

Defender ポータルの [システム>設定] [Microsoft Sentinel] で Microsoft Sentinelの設定>を見つけます。

オフボード Microsoft Sentinel

一度に Defender ポータルに接続できるワークスペースは 1 つだけです。 Microsoft Sentinel が有効になっている別のワークスペースに接続する場合は、現在のワークスペースを切断し、もう一方のワークスペースを接続します。

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. Defender ポータルの [システム] で、[設定][Microsoft Sentinel] を選択します>。

  3. [ワークスペース] ページ 、接続されているワークスペースと [切断] ワークスペースを選択します。

  4. 選択内容を確認します。

    ワークスペースが切断されると、Defender ポータルの左側のナビゲーションから Microsoft Sentinel セクションが削除されます。 Microsoft Sentinel からのデータは、[概要] ページに含まれなくなりました。

別のワークスペースに接続する場合は、[ ワークスペース] ページでワークスペースと [ ワークスペースの接続] を選択します。

関連コンテンツ