Microsoft Sentinel を Microsoft Defender XDR に接続する

  • [アーティクル]
  • 適用対象:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft 統合セキュリティ運用プラットフォーム内で一般提供されています。 Microsoft Sentinel を Defender ポータルにオンボードすると、インシデント管理や高度なハンティングなどの機能が Microsoft Defender XDR と統合されます。 ツールの切り替えを減らし、インシデント対応を迅速化し、侵害を迅速に停止する、よりコンテキストに焦点を当てた調査を構築します。 詳細については、以下を参照してください:

前提条件

開始する前に、機能ドキュメントを確認して、製品の変更と制限事項を理解してください。

Microsoft Defender ポータルでは、1 つの Microsoft Entra テナントと、一度に 1 つのワークスペースへの接続がサポートされています。 この記事のコンテキストでは、ワークスペースは、Microsoft Sentinel が有効になっている Log Analytics ワークスペースです。

Microsoft Defender ポータルで Microsoft Sentinel をオンボードして使用するには、次のリソースとアクセス権が必要です。

  • Microsoft Sentinel が有効になっている Log Analytics ワークスペース

  • Microsoft Sentinel でインシデントとアラートに対して有効になっている Microsoft Defender XDR (旧称 Microsoft 365 Defender) のデータ コネクタ。 詳細については、「 Microsoft Defender XDR から Microsoft Sentinel にデータを接続する」を参照してください。

  • Defender ポータルでの Microsoft Defender XDR へのアクセス

  • Microsoft Entra テナントにオンボードされた Microsoft Defender XDR

  • Defender ポータルで Microsoft Sentinel のサポート要求をオンボード、使用、作成するための適切なロールを持つ Azure アカウント。 次の表は、必要な主要なロールの一部を示しています。

    タスク Azure 組み込みロールが必要 範囲
    Microsoft Sentinel を有効にしてワークスペースを接続または切断する 所有者 または
    ユーザー アクセス管理者Microsoft Sentinel 共同作成者    		 - 所有者またはユーザー アクセス管理者ロールのサブスクリプション

    - Microsoft Sentinel 共同作成者のサブスクリプション、リソース グループ、またはワークスペース リソース
    Defender ポータルで Microsoft Sentinel を表示する Microsoft Sentinel 閲覧者 サブスクリプション、リソース グループ、またはワークスペース リソース
    Sentinel データ テーブルのクエリまたはインシデントの表示 Microsoft Sentinel 閲覧者 または次のアクションを持つロール:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read    		 サブスクリプション、リソース グループ、またはワークスペース リソース
    インシデントに対する調査アクションの実行 Microsoft Sentinel 共同作成者 または次のアクションを持つロール:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft. SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write    		 サブスクリプション、リソース グループ、またはワークスペース リソース
    サポート リクエストの作成 所有者 または
    Contributor または
    Support 要求共同作成者 、または Microsoft.Support/* を使用したカスタム ロール    		 サブスクリプション

    Microsoft Sentinel を Defender ポータルに接続した後、既存の Azure ロールベースのアクセス制御 (RBAC) アクセス許可を使用すると、アクセス権を持つ Microsoft Sentinel 機能を操作できます。 引き続き、Azure portal から Microsoft Sentinel ユーザーのロールとアクセス許可を管理します。 Azure RBAC の変更はすべて Defender ポータルに反映されます。 Microsoft Sentinel のアクセス許可の詳細については、「 Microsoft Sentinel でのロールとアクセス許可 |Microsoft Learn and Manage access to Microsoft Sentinel data by resource |Microsoft Learn

Microsoft Sentinel のオンボード

Microsoft Sentinel が有効になっているワークスペースを Defender XDR に接続するには、次の手順を実行します。

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. Microsoft Defender XDR で、[概要] を選択 します

  3. [ ワークスペースの接続] を選択します

  4. 接続するワークスペースを選択し、[ 次へ] を選択します。

  5. ワークスペースの接続に関連する製品の変更を読み、理解します。 これらの変更は次のとおりです。

    • Microsoft Sentinel ワークスペースのログ テーブル、クエリ、関数は、Defender XDR 内の高度なハンティングでも使用できます。
    • Microsoft Sentinel 共同作成者ロールは、サブスクリプション内の Microsoft Threat Protection アプリと WindowsDefenderATP アプリに割り当てられます。
    • アクティブな Microsoft セキュリティ インシデント作成ルール は、重複するインシデントを回避するために非アクティブ化されます。 この変更は、Microsoft アラートのインシデント作成ルールにのみ適用され、他の分析ルールには適用されません。
    • Defender XDR 製品に関連するすべてのアラートは、一貫性を確保するために、メインの Defender XDR データ コネクタから直接ストリーミングされます。 ワークスペースで、このコネクタからのインシデントとアラートがオンになっていることを確認します。

  6. [接続] を選択します。

ワークスペースが接続されると、[ 概要 ] ページのバナーに、統合されたセキュリティ情報とイベント管理 (SIEM) と拡張検出と応答 (XDR) の準備ができていることが示されます。 [ 概要] ページは、データ コネクタの数や自動化ルールなどの Microsoft Sentinel からのメトリックを含む新しいセクションで更新されます。

Defender ポータルで Microsoft Sentinel の機能を確認する

ワークスペースを Defender ポータルに接続すると、左側のナビゲーション ウィンドウに Microsoft Sentinel が表示されます。 概要インシデント高度なハンティングなどのページには、Microsoft Sentinel と Defender XDR の統合データがあります。 統合された機能とポータル間の違いの詳細については、 Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。

既存の Microsoft Sentinel 機能の多くは、Defender ポータルに統合されています。 これらの機能については、Azure portal と Defender ポータルでの Microsoft Sentinel のエクスペリエンスが似ている点に注意してください。 Defender ポータルで Microsoft Sentinel の操作を開始するには、次の記事を使用します。 これらの記事を使用する場合、このコンテキストの出発点は Azure portal ではなく Defender ポータル であることに注意してください。

Defender ポータルの [ System>Settings>Microsoft Sentinel] で Microsoft Sentinel の設定を探します。

オフボード Microsoft Sentinel

一度に Defender ポータルに接続できるワークスペースは 1 つだけです。 Microsoft Sentinel が有効になっている別のワークスペースに接続する場合は、現在のワークスペースを切断し、もう一方のワークスペースを接続します。

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. Defender ポータルの [システム] で、[設定>Microsoft Sentinel] を選択します。

  3. [ワークスペース] ページ 、接続されているワークスペースと [切断] ワークスペースを選択します。

  4. ワークスペースを切断する理由を指定します。

  5. 選択内容を確認します。

    ワークスペースが切断されると、Defender ポータルの左側のナビゲーションから Microsoft Sentinel セクションが削除されます。 Microsoft Sentinel からのデータは、[概要] ページに含まれなくなりました。

別のワークスペースに接続する場合は、[ ワークスペース] ページでワークスペースと [ ワークスペースの接続] を選択します。

関連コンテンツ