Microsoft Defender ポータルの Microsoft Sentinel

この記事では、Microsoft Defender ポータルでの Microsoft Sentinel エクスペリエンスについて説明します。 Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されるようになりました。 詳細については、以下を参照してください:

新機能および強化された機能

次の表では、Microsoft Sentinel と Defender XDR の統合により、Defender ポータルで使用できる新機能または強化された機能について説明しています。

Capabilities 説明
高度な検出 異なるデータ セット間で 1 つのポータルからクエリを実行して、より効率的なハンティングを実現するとともに、コンテキストを切り替える必要をなくします。 Copilot for Security を使用すると、KQL の生成に役立ちます。 Microsoft セキュリティ サービスと Microsoft Sentinel のデータを含むすべてのデータを表示してクエリを実行します。 クエリや関数など、既存のすべての Microsoft Sentinel ワークスペース コンテンツを使用します。

詳細については、次の記事をご覧ください。
- Microsoft Defender ポータルでの高度な追求
- 高度な追求における Copilot for Security
攻撃の中断 統合セキュリティ オペレーション プラットフォームと SAP 向け Microsoft Sentinel ソリューション アプリケーションの両方を使用して、SAP の自動攻撃中断をデプロイします。 たとえば、財務処理操作攻撃の場合は、疑わしい SAP ユーザーをロックすることで、資産の侵害を阻止します。

SAP の攻撃中断機能は、Defender ポータルでのみ使用できます。 SAP の攻撃中断を使用するには、データ コネクタ エージェントのバージョンを更新し、関連する Azure ロールがエージェントの ID に割り当てられていることを確認します。

詳細については、「SAP の自動攻撃中断」を参照してください。
SOC の最適化 以下の領域を特定するのに役立つ、忠実度が高く実用的な推奨事項がわかります。
- コストの削減
- セキュリティ制御の追加
- 欠落しているデータの追加
SOC の最適化は、Defender と Azure ポータルで利用でき、環境に合わせて調整され、現在のカバレッジと脅威の状況に基づいています。

詳細については、次の記事をご覧ください。
- セキュリティ オペレーションを最適化する
- SOC の最適化による推奨事項のリファレンス
統合エンティティ Defender ポータルのデバイス、ユーザー、IP アドレス、Azure リソースのエンティティ ページには、Microsoft Sentinel および Defender データ ソースからの情報が表示されます。 これらのエンティティ ページでは、Defender ポータルでインシデントとアラートを調査するための拡張されたコンテキストを入手できます。

詳細については、Microsoft Sentinel でのエンティティ ページを使用したエンティティの調査に関する記事を参照してください。
統合インシデント Defender ポータルの 1 つのキューから、および 1 つの場所で、セキュリティ インシデントを管理および調査します。 Copilot for Security を使用して、集計、応答、報告を行います。 インシデントには次のものが含まれます。
- 拡張されたソースのデータ
- セキュリティ情報とイベント管理 (SIEM) の AI 分析ツール
- 拡張検出と応答 (XDR) によって提供されるコンテキストと軽減ツール

詳細については、次の記事をご覧ください。
- Microsoft Defender ポータルを使用したインシデント応答
- Copilot for Security で Microsoft Sentinel インシデントを調査する

ポータル間の機能の違い

ほとんどの Microsoft Sentinel 機能は、Azure ポータルでも、Defender ポータルでも使用できます。 Defender ポータルでは、ユーザーがタスクを完了できるように、一部の Microsoft Sentinel エクスペリエンスが Azure portal に表示されます。

このセクションでは、Azure portal または Defender ポータルでのみ使用できる統合セキュリティ オペレーション プラットフォームの Microsoft Sentinel の機能または統合について、またはこれらのプラットフォームのその他の重要な相違点について説明します。 ここでは、Defender ポータルから Azure portal を開く Microsoft Sentinel エクスペリエンスは除外します。

機能 可用性 説明
ブックマークを使用した高度なハンティング Azure portal のみ ブックマークは、Microsoft Defender ポータルの高度な検出エクスペリエンスではサポートされていません。 Defender ポータルでは、[Microsoft Sentinel] > [脅威管理] > [ハンティング] でサポートされています。

詳細については、「Microsoft Sentinel によるハンティング中にデータを追跡する」を参照してください。
SAP の攻撃中断 Defender ポータルのみ この機能は、Azure portal では使用できません。

詳細については、「Microsoft Defender XDR での攻撃の自動中断」を参照してください。
オートメーション 一部の自動化手順は、Azure portal でのみ使用できます。

その他の自動化手順は、Defender ポータルおよび Azure portal では同じですが、Azure portal では、統合セキュリティ オペレーション プラットフォームにオンボードされているワークスペースとそうでないワークスペースとでは異なります。


詳細については、「統合セキュリティ オペレーション プラットフォームを使用した自動化」を参照してください。
データ コネクタ: 統合セキュリティ オペレーション プラットフォームで使用されるコネクタの可視性 Azure portal のみ Defender ポータルでは、Microsoft Sentinel をオンボードした後、統合セキュリティ オペレーション プラットフォームの一部である次のデータ コネクタが [データ コネクタ] ページに表示されません。
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365 (プレビュー)
  • Microsoft Defender XDR
  • サブスクリプションベースの Microsoft Defender for Cloud (レガシ)
  • テナントベースの Microsoft Defender for Cloud (プレビュー)

    Azure portal では、これらのデータ コネクタは、Microsoft Sentinel にインストールされているデータ コネクタとともに引き続き一覧表示されます。
  • エンティティ: インシデントから脅威インテリジェンスにエンティティを追加する Azure portal のみ この機能は、統合セキュリティ オペレーション プラットフォームでは使用できません。

    詳細については、「脅威インジケーターにエンティティを追加する」を参照してください。
    Fusion: 高度なマルチステージ攻撃の検出 Azure portal のみ Fusion 相関エンジンによって行われたアラートの相関関係に基づいてインシデントを作成する Fusion 分析ルールは、統合セキュリティ オペレーション プラットフォームに Microsoft Sentinel をオンボードすると無効になります。

    統合セキュリティ オペレーション プラットフォームでは、Microsoft Defender XDR のインシデント作成と相関関係の機能を使用して、Fusion エンジンの機能を置き換えます。

    詳細については、「Microsoft Sentinel の高度なマルチステージ攻撃の検出」を参照してください
    インシデント: インシデントへのアラートの追加/
    インシデントからのアラートの削除
    Defender ポータルのみ 統合セキュリティ オペレーション プラットフォームに Microsoft Sentinel をオンボードした後、Azure portal でアラートを追加したり、インシデントからアラートを削除したりできなくなります。

    Defender ポータルでインシデントからアラートを削除することはできますが、アラートを別のインシデント (既存または新規) にリンクすることによってのみ削除できます。
    インシデント: コメントの編集 Azure portal のみ 統合セキュリティ オペレーション プラットフォームに Microsoft Sentinel をオンボードした後、どちらのポータルでもインシデントにコメントを追加できますが、既存のコメントを編集することはできません。

    Azure portal で編集したコメントは、統合セキュリティ オペレーション プラットフォームには同期されません。
    インシデント: インシデントのプログラムによる作成と手動による作成 Azure portal のみ API を介して Microsoft Sentinel で、ロジック アプリのプレイブックで、または Azure portal から手動で作成されたインシデントは、統合セキュリティ オペレーション プラットフォームに同期されません。 これらのインシデントは、Azure portal と API で引き続きサポートされています。 「Microsoft Sentinel で独自のインシデントを手動で作成する」を参照してください。
    インシデント: 閉じられたインシデントを再度開く Azure portal のみ 統合セキュリティ オペレーション プラットフォームでは、新しいアラートが追加された場合に閉じられたインシデントを再度開くために、Microsoft Sentinel 分析ルールでアラートのグループ化を設定することはできません。
    この場合、閉じられたインシデントは再度開かれず、新しいアラートによって新しいインシデントがトリガーされます。
    インシデント: タスク Azure portal のみ タスクは、統合セキュリティ オペレーション プラットフォームでは使用できません。

    詳細については、「Microsoft Sentinel でタスクを使用してインシデントを管理する」を参照してください。
    Microsoft Sentinel の複数のワークスペース管理 Defender ポータル: テナントごとに 1 つの Microsoft Sentinel ワークスペースに制限

    Azure portal: テナントの複数の Microsoft Sentinel ワークスペースを一元管理する
    現在、統合セキュリティ オペレーション プラットフォームでは、テナントごとに 1 つの Microsoft Sentinel ワークスペースのみがサポートされています。 そのため、Microsoft Defender マルチテナント管理では、テナントごとに 1 つの Microsoft Sentinel ワークスペースがサポートされます。

    詳細については、次の記事をご覧ください。
    - Defender ポータル: Microsoft Defender マルチテナント管理
    - Azure portal: ワークスペース マネージャーを使用して複数の Microsoft Sentinel ワークスペースを管理する

    クイック リファレンス

    統合インシデント キューなどの一部の Microsoft Sentinel 機能は、統合セキュリティ オペレーション プラットフォームの Microsoft Defender XDR に統合されています。 その他の多くの Microsoft Sentinel 機能は、Defender ポータルの [Microsoft Sentinel] セクションで使用できます。

    次の図は、Defender ポータルの [Microsoft Sentinel] メニューを示しています。

    [Microsoft Sentinel] セクションを含む Defender ポータルの左側のナビゲーションのスクリーンショット。

    次のセクションでは、Defender ポータルで Microsoft Sentinel 機能を検索する場所について説明します。 セクションは、Microsoft Sentinel が Azure portal に存在するように整理されています。

    全般

    次の表は、Azure portal の [全般] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。

    Azure portal Defender ポータル
    概要 概要
    ログ [調査と応答] > [ハンティング] > [高度な検出]
    ニュースとガイド 使用不可
    検索する [Microsoft Sentinel] > [検索]

    脅威管理

    次の表は、Azure portal の [脅威管理] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。

    Azure portal Defender ポータル
    インシデント [調査と応答] > [インシデントとアラート] > [インシデント]
    Workbooks [Microsoft Sentinel] > [脅威管理]> [Workbooks]
    ハンティング [Microsoft Sentinel] > [脅威管理]> [ハンティング]
    ノートブック [Microsoft Sentinel] > [脅威管理]> [Notebooks]
    エンティティの動作 "ユーザー エンティティ ページ:" [資産] > [ID] >{user}> [Sentinel イベント]
    "デバイス エンティティ ページ:" [資産] > [デバイス] >{device}> [Sentinel イベント]

    また、ユーザー、デバイス、IP、Azure リソース エンティティの種類が表示されたら、インシデントとアラートから、そのエンティティ ページを見つけます。
    脅威インテリジェンス [Microsoft Sentinel] > [脅威管理]> [脅威インテリジェンス]
    MITRE ATT&CK [Microsoft Sentinel] > [脅威管理]> [MITRE ATT&CK]

    コンテンツ管理

    次の表は、Azure portal の [コンテンツ管理] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。

    Azure portal Defender ポータル
    コンテンツ ハブ [Microsoft Sentinel] > [コンテンツ管理] > [コンテンツ ハブ]
    リポジトリ [Microsoft Sentinel] > [コンテンツ管理] > [リポジトリ]
    Community [Microsoft Sentinel] > [コンテンツ管理] > [Community]

    構成

    次の表は、Azure portal の [構成] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。

    Azure portal Defender ポータル
    ワークスペース マネージャー 使用不可
    データ コネクタ [Microsoft Sentinel] > [構成] > [データ コネクタ]
    分析 [Microsoft Sentinel] > [構成] > [Analytics]
    ウォッチリスト [Microsoft Sentinel] > [構成] > [ウォッチリスト]
    Automation [Microsoft Sentinel] > [構成] > [自動化]
    設定 [システム] > [設定] > [Microsoft Sentinel]