ステップ 2. Microsoft Sentinel ワークスペースの設定

Microsoft Sentinel 環境をデプロイするには、実際のセキュリティとコンプライアンスの要件に合わせてワークスペースの構成を設計する必要があります。 プロビジョニング プロセスには、Log Analytics ワークスペースの作成と適切な Microsoft Sentinel オプションの構成が含まれます。

この記事には、ゼロ トラストの原則に Microsoft Sentinel ワークスペースを設計と実装する方法に関する推奨事項が記載されています。

手順 1: ガバナンス戦略の設計

組織に多くの Azure サブスクリプションがある場合は、これらのサブスクリプションのアクセス、ポリシー、およびコンプライアンスを効率的に管理する方法が必要になることがあります。 管理グループは、サブスクリプションにガバナンス範囲を提供します。 管理グループ内でサブスクリプションを整理するとき、管理グループに対して構成するガバナンス条件は、管理グループに含まれるサブスクリプションに適用されます。 詳細については、「管理グループでリソースの整理」を参照してください。

たとえば、次の図の Microsoft Sentinel ワークスペースは、Microsoft Entra ID テナントの一部である Platform 管理グループの下の Security サブスクリプションにあります。

Security Azure サブスクリプションと Microsoft Sentinel ワークスペースは、プラットフォーム管理グループに適用されるロールベースのアクセス制御(RBAC)と Azure Policy を継承します。

手順 2: Log Analytics ワークスペースの作成

Microsoft Sentinel を使用するには、まず Log Analytics ワークスペースを作成します。 多くの環境では 1 つの Log Analytics ワークスペースで十分である場合がありますが、多くの組織はコストを最適化してさまざまなビジネス要件をより適切に満たすため、複数のワークスペースを作成します。

ベスト プラクティスは、データ所有権と Microsoft Sentinel のコスト管理のために、運用データとセキュリティ データ用に個別のワークスペースを作成するというものです。 たとえば、運用とセキュリティ ロールを管理するユーザーが複数いる場合、ゼロ トラストにおける最初の決定は、それらのロール用に個別のワークスペースを作成するかどうかです。

Defender ポータルで Microsoft Sentinel へのアクセスを提供する統合セキュリティ オペレーション プラットフォームは、1 つのワークスペースのみをサポートします。

詳細については、運用ロールとセキュリティ ロールに別個のワークスペースを使用する Contoso のサンプル ソリューションを参照してください。

Log Analytics ワークスペースの設計考慮事項

1 つのテナントの場合、Microsoft Sentinel ワークスペースを構成する方法は 2 つあります。

• 1 つの Log Analytics ワークスペースを持つ 1 つのテナント。 この場合、ワークスペースはテナント内のすべてのリソース間でログの中央リポジトリになります。

  長所:

  • ログの一元的な統合。
  • 情報のクエリをより簡単に実行。
  • Log Analytics と Microsoft Sentinel へのアクセスを制御するための Azure ロールベースのアクセス制御 (Azure RBAC)。 詳細については、「Log Analytics ワークスペースへのアクセスを管理する - Azure Monitor」と「Microsoft Sentinel のロールとアクセス許可」を参照してください。

  短所:

  • ガバナンス要件を満たさない場合があります。
  • リージョン間には帯域幅のコストがあります。

• リージョンの Log Analytics ワークスペースを持つシングル テナント。

  長所:

  • リージョン間の帯域幅のコストはありません。
  • ガバナンスを満たす必要がある場合があります。
  • 細分性データ アクセスの制御。
  • 細分性保持の設定。
  • 請求の分割。

  短所:

  • 包括的な 1 つのウィンドウはない。
  • 分析、ブック、その他の構成を複数回展開する必要があります。

詳しくは、「Log Analytics ワークスペース アーキテクチャを設計する」を参照してください。

手順 3: Microsoft Sentinel ワークスペースを設計する

Microsoft Sentinel をオンボードするには、Log Analytics ワークスペースを選択する必要があります。 Microsoft Sentinel 用にログ分析を設定するときの考慮事項は次のとおりです。

• ガバナンスの目的で Security リソース グループを作成します。これにより、Microsoft Sentinel リソースと、コレクションへのロールベースのアクセスを分離できます。 詳しくは、「Log Analytics ワークスペース アーキテクチャを設計する」を参照してください。

• Security リソース グループに Log Analytics ワークスペースを作成し、それに Microsoft Sentinel をオンボードします。 これにより、無料評価版の一環として1 日最大 10 GB のデータ インジェストが 31 日間無料で自動的に付与されます。

• Microsoft Sentinel をサポートする Log Analytics ワークスペースを少なくとも 90 日間の保持期間に設定します。

Microsoft Sentinel を Log Analytics ワークスペースにオンボードすると、追加コストなしで 90 日間のデータ保持期間が得られ、ログ データの 90 日間のロールオーバーが確保されます。 90 日後にワークスペース内のデータの合計量に対してコストが発生します。 政府の要件に基づいて、ログ データの保持期間を長くすることを検討できます。 詳細については、「Log Analytics ワークスペースを作成する」と「クイック スタート: Microsoft Sentinel にオンボードする」を参照してください。

Microsoft Sentinel でゼロ トラスト

ゼロトラスト アーキテクチャを実装するには、ワークスペースを拡張してワークスペースとテナント間でデータのクエリと分析を行うことを検討してください。 サンプルの Microsoft Sentinel ワークスペース デザインを使用し、ワークスペースとテナント間で Microsoft Sentinel を拡張して、組織に最適なワークスペース設計を決定します。

さらに、クラウド ロールと運用管理の規範ガイダンスとその Excel スプレッドシート(ダウンロード)を使用します。 このガイドでは、Microsoft Sentinel のために考慮するゼロ トラストタスクは次のとおりです。

• 関連付けられている Microsoft Entra グループで Microsoft Sentinel RBACの 役割を定義します。
• Microsoft Sentinel に実装されたアクセスプラクティスが、組織の要件をまだ満たしていることを確認してください。
• カスタマー マネージド キーの使用を検討します。

RBAC でゼロ トラスト

ゼロ トラストに準拠するため、ユーザーに Microsoft Sentinel 環境全体へのアクセスを提供するのではなく、許可されているリソースに基づく Azure RBAC を構成することをお勧めします。

次のテーブルには、Microsoft Sentinel 固有のロールの一部をリストします。

Microsoft Sentinel 固有の Azure ロールの割り当てでは、他の Azure および Log Analytics のロールが他の目的でユーザーに割り当てられている可能性があります。 たとえば、"Log Analytics 共同作成者" ロールと "Log Analytics 閲覧者" ロールは、Log Analytics ワークスペースへのアクセス権を付与します。

詳細については、「Microsoft Sentinel のロールとアクセス許可」と「リソースによる Microsoft Sentinel データへのアクセスを管理する」を参照してください。

Azure Lighthouse を使用したマルチテナント アーキテクチャでのゼロ トラスト

Azure Lighthouse は、リソース間でのスケーラビリティ、自動化の向上、ガバナンスの強化など、マルチテナントの管理を実現します。 Azure Lighthouse を使用すると、Microsoft Entra テナント間で複数の Microsoft Sentinel インスタンスの大規模な管理を行うことができます。 次に例を示します。

Azure Lighthouse を使用すると、複数のワークスペースでクエリを実行するか、ブックを作成し、接続されたデータ ソースからのデータを視覚化および監視して、さらに洞察を得ることができます。 ゼロ トラスト原則を配慮することが重要です。 Azure Lighthouse に最小限の特権アクセス制御を実装するには、「推奨されるセキュリティプラクティス」を参照してください。

Azure Lighthouse にセキュリティのベスト プラクティスを実装するとき、次の質問を考慮してください。

• データの所有権の責任者は?
• データ分離とコンプライアンス要件は?
• テナント全体に最小限の特権を実装するにはどうすればよいか
• 複数の Microsoft Sentinel ワークスペースで複数のデータ コネクタが管理される方法は?
• Office 365 環境を監視する方法
• たとえば、プレイブック、ノートブック、分析ルールなど、テナント間で知的財産を保護する方法

Microsoft Sentinel と Azure Lighthouse のセキュリティのベスト プラクティスについては、「大規模な Microsoft Sentinel ワークスペースの管理: 細分性 Azure RBAC」を参照してください。

統合セキュリティ オペレーション プラットフォームにワークスペースをオンボードする

1 つのワークスペースで作業している場合は、統合セキュリティ オペレーション プラットフォームにワークスペースをオンボードして、Microsoft Defender ポータルで XDR データとともにすべての Microsoft Sentinel データを表示することをお勧めします。

統合セキュリティ オペレーション プラットフォームは、SAP システムに対する攻撃の自動中断、Defender の [高度な追求] ページからの統合クエリ、Microsoft Defender と Microsoft Sentinel の両方にまたがって統合されたインシデントとエンティティなどの、強化された機能も提供します。

詳細については、以下を参照してください:

• Microsoft Sentinel を Microsoft Defender XDR に接続する
• Microsoft Defender ポータルの Microsoft Sentinel

推奨されるトレーニング

トレーニング コンテンツは現在、統合セキュリティ オペレーション プラットフォームには対応していません。

Microsoft Sentinel の概要

トレーニング	Microsoft Sentinel の概要
	Microsoft Sentinel を使用してクラウドとオンプレミスのデータから貴重なセキュリティ分析情報の取得できる方法について説明します。

Microsoft Sentinel 環境の構成

トレーニング	Microsoft Sentinel 環境の構成
	Microsoft Sentinel ワークスペースを適切に構成して、Microsoft Sentinel の使用を開始します。

Microsoft Sentinel ワークスペースの作成と管理

トレーニング	Microsoft Sentinel ワークスペースの作成と管理
	組織のセキュリティ運用要件を満たすようにシステムを確実に構成するために、Microsoft Sentinel ワークスペースのアーキテクチャについて学習します。

次のステップ

手順 3に進み、データ ソースを取り込んでインシデント検出を構成するように Microsoft Sentinel を構成します。

関連情報

この記事に記述されているサービスとテクノロジの説明については、次のリンクを参照してください。