Microsoft Sentinel ワークスペースを作成する

  • 6 分

ワークスペース アーキテクチャを設計したら、Azure portal にログインします。 検索バーで、「Sentinel」を検索し、[Microsoft sentinel] を選択します。 Microsoft Sentinel ワークスペースに現在のワークスペースの一覧が表示されます。 [+ 追加] ボタンを選択して作成プロセスを開始します。

Note

この演習を実行する場合は、ご自分の Azure サブスクリプションでコストが発生する場合があるのでご注意ください。 コストを見積もるには、「Azure Sentinel の価格」を参照してください。 また、演習後の対話型ラボ シミュレーションも含まれています。

Microsoft Sentinel のインストールの前提条件

Microsoft Sentinel を有効にするには、Microsoft Sentinel ワークスペースが存在するサブスクリプションへの共同作成者のアクセス許可が必要です。 Microsoft Sentinel を使用するには、ワークスペースが属しているリソース グループに対する共同作成者または閲覧者のいずれかのアクセス許可が必要です。

Log Analytics ワークスペースを作成して構成する

  1. 次のページ、[Add Microsoft Sentinel to a workspace](ワークスペースへの Microsoft Sentinel の追加) では、Microsoft Sentinel を追加するために使用できる Log Analytics ワークスペースの一覧が表示されます。 [+ 新しいワークスペースの作成] ボタンを選択して "Log Analytics ワークスペースの作成" プロセスを開始します。

  2. [基本] タブには次のオプションがあります。

    オプション 説明
    サブスクリプション サブスクリプションを選択します
    リソース グループ リソース グループを選択または作成します
    名前 [名前] は Log Analytics ワークスペースの名前であり、Microsoft Sentinel ワークスペースの名前にもなります
    リージョン リージョンは、ログ データが保存される場所です。

    重要

    [名前] は、Microsoft Sentinel ワークスペースの名前になります。 Microsoft Sentinel 名は、既定で Log Analytics ワークスペース名になります。 リージョンは、取り込まれたデータが格納される場所です。 データの場所は、データ ガバナンス要件に影響を及ぼします。 ワークスペースはリージョン間で移動できません。リージョンのオプションを変更することが必要になった場合は、ワークスペースを再作成する必要があります。

  3. [確認と作成] ボタンを選択し、次に [作成] ボタンを選択します。

Microsoft Sentinel をワークスペースに追加する

ここまでの手順を完了すると、[Add Microsoft Sentinel to Workspace](ワークスペースへの Microsoft Sentinel の追加) 画面が表示されます。

  1. 新しく作成された "Log Analytics ワークスペース" が一覧に表示されるまで待ちます。 この操作には数分かかる場合があります。

  2. 新しく作成された Log Analytics ワークスペースを選択します。 それから [追加] ボタンを選択します。

新しい Microsoft Sentinel ワークスペースがアクティブ画面になります。 Microsoft Sentinel の左側のナビゲーションには 4 つの領域があります。

  • 全般
  • 脅威管理
  • コンテンツ管理
  • 構成

[概要] タブには、取り込まれたデータ、アラート、インシデントに関する情報を示す標準ダッシュボードが表示されます。

対話型ラボ シミュレーション

注意

サムネイル画像を選んでラボ シミュレーションを開始します。 完了したら、学習を続けるためにこのページに戻ってください。

Screenshot of the lab simulation page.

Microsoft Sentinel で Log Analytics ワークスペースを共有する

Microsoft Sentinel ワークスペースが Log Analytics ワークスペースを使用することを考えた場合、選択肢として他のソリューションで使用される Log Analytics ワークスペースで Sentinel ワークスペースを有効にできます。 最も一般的なシナリオは、Microsoft Defender for Cloud で使用される Log Analytics ワークスペースの共有です。 このワークスペースを共有すると、1 つの中央のワークスペースでセキュリティ データのクエリを実行できます。

Microsoft Defender for Cloud

Microsoft Sentinel ワークスペースを作成するときに、既定の Microsoft Defender for Cloud Log Analytics ワークスペースを使用することはできません。 Log Analytics ワークスペースを手動で作成し、Microsoft Defender for Cloud 層を更新する必要があります。 これで、手動で作成した Log Analytics ワークスペースを、Microsoft Defender for Cloud で使用できるよう選択できます。