Microsoft Sentinelは、マルチクラウドおよびマルチプラットフォーム環境全体でスケーラブルでコスト効率の高いセキュリティを提供するクラウドネイティブの SIEM ソリューションです。 AI、自動化、脅威インテリジェンスを組み合わせて、脅威の検出、調査、対応、プロアクティブハンティングをサポートします。
Microsoft Sentinel SIEM を使用すると、アナリストは、クラウドとプラットフォーム間の攻撃をより迅速かつ正確に予測して停止できます。
この記事では、Microsoft Sentinelの主な機能について説明します。
Microsoft Sentinelは、Azure Monitor の改ざん防止と不変性のプラクティスを継承します。 Azure Monitor は追加専用のデータ プラットフォームですが、コンプライアンスのためにデータを削除するためのプロビジョニングが含まれています。
このサービスでは、Azure Lighthouse がサポートされています。これにより、サービス プロバイダーは自分のテナントにサインインして、顧客が委任したサブスクリプションとリソース グループを管理できます。
すぐに使用するセキュリティ コンテンツを有効にする
Microsoft Sentinelは、データの取り込み、監視、アラート、検出、調査、対応、およびさまざまな製品、プラットフォーム、サービスとの接続を可能にする SIEM ソリューションにパッケージ化されたセキュリティ コンテンツを提供します。
詳細については、「Microsoft Sentinelのコンテンツとソリューションについて」を参照してください。
大規模なデータの収集
オンプレミスと複数のクラウドの両方で、すべてのユーザー、デバイス、アプリケーション、インフラストラクチャにわたってデータを収集します。
![使用可能なコネクタの一覧を示す Defender ポータルの [Microsoft Sentinel データ コネクタ] ページのスクリーンショット。](media/overview/data-connector-list-defender.png#lightbox)
![使用可能なコネクタの一覧を示すMicrosoft Sentinelの [データ コネクタ] ページのスクリーンショット。](media/overview/data-connectors.png#lightbox)
次の表では、データ収集のMicrosoft Sentinelの主な機能について説明します。
| 機能 | 説明 | 作業の開始 |
|---|---|---|
| すぐに使用するデータ コネクタ | 多くのコネクタは、Microsoft Sentinel用の SIEM ソリューションと共にパッケージ化され、リアルタイムの統合を提供します。 これらのコネクタには、Microsoft Entra ID、Azure アクティビティ、Azure Storage などの Microsoft ソースとAzure ソースが含まれます。 すぐに使用できるコネクタは、Microsoft 以外のソリューションの広範なセキュリティおよびアプリケーション エコシステムでも使用できます。 一般的なイベント形式、Syslog、または REST-API を使用して、データ ソースをMicrosoft Sentinelに接続することもできます。 |
Microsoft Sentinel データ コネクタ |
| カスタム コネクタ | Microsoft Sentinelでは、専用コネクタを使用しない一部のソースからのデータの取り込みをサポートしています。 既存のソリューションを使用してデータ ソースをMicrosoft Sentinelに接続できない場合は、独自のデータ ソース コネクタを作成します。 | カスタム コネクタを作成するためのリソースMicrosoft Sentinel。 |
| データ正規化 | Microsoft Sentinelでは、クエリ時間とインジェスト時間の正規化の両方を使用して、さまざまなソースを均一な正規化されたビューに変換します。 | 正規化と高度なセキュリティ情報モデル (ASIM) |
脅威の検出
以前検出されなかった脅威を検出し、Microsoft の分析と比類のない脅威インテリジェンスを使用して誤検知を最小限に抑えます。
次の表では、脅威検出のためのMicrosoft Sentinelの主要な機能を示します。
| キャパシティ | 説明 | 開始する |
|---|---|---|
| 分析 | ノイズを減らし、確認して調査する必要があるアラートの数を最小限に抑えるのに役立ちます。 Microsoft Sentinelでは、分析を使用してアラートをインシデントにグループ化します。 すぐに使用できる分析ルールをそのまま使用するか、独自のルールを作成するための出発点として使用します。 Microsoft Sentinelには、ネットワークの動作をマップし、リソース全体の異常を探すルールも用意されています。 これらの分析は、さまざまなエンティティに関する低忠実度アラートを潜在的な高忠実度セキュリティ インシデントに組み合わせることで、ドットを接続します。 | すぐに使用する脅威を検出する |
| MITRE ATT&CK カバレッジ | Microsoft Sentinelは、取り込まれたデータを分析し、脅威を検出して調査するのに役立つだけでなく、MITRE ATT&CK® フレームワークからの戦術と手法に基づいて、organizationのセキュリティ状態の性質とカバレッジを視覚化します。 | MITRE ATT&CK® フレームワークによるセキュリティ カバレッジを理解する |
| 脅威インテリジェンス | 脅威インテリジェンスの多数のソースをMicrosoft Sentinelに統合して、環境内の悪意のあるアクティビティを検出し、情報に基づいた対応の決定のためにセキュリティ調査担当者にコンテキストを提供します。 | Microsoft Sentinelの脅威インテリジェンス |
| ウォッチリスト | 提供したデータ ソース(ウォッチリスト)のデータを、Microsoft Sentinel環境内のイベントと関連付けます。 たとえば、環境内の価値の高い資産、退職した従業員、またはサービス アカウントの一覧を含むウォッチリストを作成できます。 検索、検出ルール、脅威ハンティング、応答プレイブックでウォッチリストを使用します。 | Microsoft Sentinelのウォッチリスト |
| ブック | ブックを使用して対話型ビジュアル レポートを作成します。 Microsoft Sentinelには、データ ソースを接続するとすぐにデータ全体の分析情報をすばやく取得できる組み込みのブック テンプレートが付属しています。 または、独自のカスタム ブックを作成します。 | 収集されたデータを視覚化します。 |
脅威を調査する
長年にわたるマイクロソフトのサイバー セキュリティ作業を活用し、人工知能を使用して脅威を調査し、疑わしいアクティビティを大規模に捜索します。
次の表では、脅威調査のためのMicrosoft Sentinelの主な機能を示します。
| 機能 | 説明 | 開始する |
|---|---|---|
| インシデント | Microsoft Sentinel詳細な調査ツールは、スコープを理解し、潜在的なセキュリティ上の脅威の根本原因を見つけるのに役立ちます。 対話型グラフ上のエンティティを選択して、特定のエンティティについて興味深い質問をし、そのエンティティとその接続をドリルダウンして、脅威の根本原因に到達できます。 | Microsoft Sentinelでのインシデントの移動と調査 |
| 狩り | MITRE フレームワークに基づくMicrosoft Sentinelの強力なハンティング検索およびクエリ ツールを使用すると、アラートがトリガーされる前に、organizationのデータ ソース全体でセキュリティ上の脅威を事前に検出できます。 ハンティング クエリに基づいてカスタム検出ルールを作成します。 次に、これらの分析情報をセキュリティ インシデント対応者へのアラートとして表示します。 | Microsoft Sentinelでの脅威ハンティング |
| ノートブック | Microsoft Sentinelでは、機械学習、視覚化、データ分析用の完全なライブラリなど、Azure Machine Learning ワークスペースの Jupyter ノートブックがサポートされています。 Microsoft Sentinelのノートブックを使用して、Microsoft Sentinel データで実行できる操作の範囲を拡張します。 例: - 一部の Python 機械学習機能など、Microsoft Sentinelに組み込まれていない分析を実行します。 - カスタム タイムラインやプロセス ツリーなど、Microsoft Sentinelに組み込まれていないデータ視覚化を作成します。 - オンプレミス データ セットなど、Microsoft Sentinelの外部にあるデータ ソースを統合します。 |
Microsoft Sentinelハンティング機能を備えた Jupyter ノートブック |
インシデントへの迅速な対応
一般的なタスクを自動化し、Azure サービスや既存のツールと統合するプレイブックを使用してセキュリティ オーケストレーションを簡素化します。 Microsoft Sentinelの自動化とオーケストレーションは、拡張性の高いアーキテクチャを提供し、新しいテクノロジや脅威が発生するにつれてスケーラブルな自動化を実現します。
Microsoft Sentinelのプレイブックは、Azure Logic Apps に組み込まれているワークフローに基づいています。 たとえば、ServiceNowチケットシステムを使用する場合は、Azure Logic Apps を使用してワークフローを自動化し、特定のアラートまたはインシデントが生成されるたびにServiceNowでチケットを開きます。
次の表では、脅威対応のMicrosoft Sentinelの主な機能を示します。
| 機能 | 説明 | 開始する |
|---|---|---|
| 自動化ルール | さまざまなシナリオに対応する少数のルールセットを定義して調整することで、Microsoft Sentinelでのインシデント処理の自動化を一元的に管理します。 | 自動化ルールを使用してMicrosoft Sentinelの脅威対応を自動化する |
| プレイブック | 修復アクションのコレクションであるプレイブックを使用して、脅威の対応を自動化および調整します。 プレイブックをオンデマンドで実行するか、自動化ルールによってトリガーされたときに、特定のアラートまたはインシデントに応答して自動的に実行します。 Azure Logic Apps を使用してプレイブックを構築するには、ServiceNow、Jira などのさまざまなサービスやシステム用のコネクタの絶えず拡大するギャラリーから選択します。 これらのコネクタを使用すると、ワークフロー内の任意のカスタム ロジックを適用できます。 |
Microsoft Sentinelのプレイブックを使用して脅威対応を自動化する すべての Logic App コネクタの一覧 |
Azure portal除却タイムラインのMicrosoft Sentinel
Microsoft Sentinelは、Microsoft Defender XDRや E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般公開されています。 つまり、他のMicrosoft Defender サービスを使用していない場合でも、Defender ポータルでMicrosoft Sentinelを使用できます。
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。
現在、Azure portalでMicrosoft Sentinelを使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、今すぐ Defender ポータルへの移行の計画を開始することをお勧めします。
詳細については、以下を参照してください:
- Microsoft Defender ポータルの Microsoft Sentinel
- Microsoft Sentinel環境を Defender ポータルに移行する
- すべてのMicrosoft Sentinel顧客向けのMicrosoft Defender ポータルへの移行を計画する (ブログ)
2025 年 7 月以降の新規顧客の変更
このセクションで説明する変更のために、新しいMicrosoft Sentinelのお客様は、テナント内の最初のワークスペースをMicrosoft Sentinelにオンボードしているお客様です。
2025 年 7 月以降、サブスクリプション所有者またはユーザー アクセス管理者のアクセス許可も持ち、Lighthouse 委任されたユーザー Azureされていない新しい顧客は、ワークスペースを自動的に Defender ポータルにオンボードし、Microsoft Sentinelへのオンボードを行います。
このようなワークスペースのユーザー (Lighthouse 委任されたユーザーもAzureしていない) は、Azure portalのMicrosoft Sentinelで Defender ポータルにリダイレクトするリンクを参照してください。
例:
このようなユーザーは、Defender ポータルでのみMicrosoft Sentinelを使用します。
関連するアクセス許可を持たない新しい顧客は、Defender ポータルに自動的にオンボードされませんが、引き続きAzure portalにリダイレクト リンクが表示され、関連するアクセス許可を持つユーザーが手動で Defender ポータルにワークスペースをオンボードするように求められます。
次の表は、次のエクスペリエンスをまとめたものです。
| お客様の種類 | エクスペリエンス |
|---|---|
| テナントに新しいワークスペースを作成している既存のお客様が、Microsoft Sentinelに対して有効になっているワークスペースが既にある場合 | ワークスペースは自動的にオンボードされず、ユーザーにはリダイレクト リンクが表示されません |
| Azure Lighthouse から委任されたユーザーが任意のテナントに新しいワークスペースを作成する | ワークスペースは自動的にオンボードされず、ユーザーにはリダイレクト リンクが表示されません |
| テナント内の最初のワークスペースをMicrosoft Sentinelにオンボードする新しい顧客 |
-
必要なアクセス許可を持つユーザー は、ワークスペースが自動的にオンボードされます。 このようなワークスペースの他のユーザーには、Azure portalにリダイレクト リンクが表示されます。 - 必要なアクセス許可を持たないユーザー には、ワークスペースが自動的にオンボードされていません。 このようなワークスペースのすべてのユーザーには、Azure portalにリダイレクト リンクが表示され、必要なアクセス許可を持つユーザーは、ワークスペースを Defender ポータルにオンボードする必要があります。 |