ワークスペースおよびテナント全体での Microsoft Sentinel の拡張
Microsoft Sentinel をオンボードするときは、最初に Log Analytics ワークスペースを選択します。 1 つのワークスペースを使用しても Microsoft Sentinel エクスペリエンスの利点を最大限に活用できますが、場合によっては、ワークスペースを拡張して、複数のワークスペースとテナントでデータのクエリと分析を行いたい場合があります。 詳細については、「Log Analytics ワークスペース アーキテクチャを設計する」および「Microsoft Sentinel で複数のワークスペースとテナントを準備する」を参照してください。
Microsoft Defender ポータルに Microsoft Sentinel をオンボードする場合は、「Microsoft Defender マルチテナント管理」を参照してください。
複数のワークスペースのインシデントを管理する
Microsoft Sentinel は、複数のワークスペースでインシデントを一元的に管理および監視できる複数のワークスペースのインシデント ビューをサポートしています。 一元的なインシデント ビューを使用すると、インシデントを直接管理したり、元のワークスペースのコンテキストでインシデントの詳細に透過的にドリルダウンしたりできます。
複数のワークスペースにクエリを実行する
複数のワークスペースのクエリを実施できるため、1 つのクエリでの複数のワークスペースのデータを検索して関連付けることができます。
別のワークスペース内のテーブルを参照するには、引数としてのワークスペース識別子と共に
workspace( )式を使用します。- 適切なパフォーマンスを確保するための識別子形式の使用については、重要な情報をご覧ください。
複数のワークスペースの複数のテーブルに対してクエリを適用するには、
workspace( )式と共に union 演算子を使用します。保存されている関数を使用すると、クロスワークスペース クエリを簡単に行うことができます。 たとえば、式を保存することで、顧客 A のワークスペースにある SecurityEvent テーブルへの長い参照を短縮できます
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventSecurityEventCustomerAという関数として。 その後、関数SecurityEventCustomerA | where ...を使用して顧客 A の SecurityEvent テーブルをクエリできます。関数を使用すると、よく使用される和集合を簡略化することもできます。 たとえば、次の式を
unionSecurityEventという名前の関数として保存できます。union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEventその後、
unionSecurityEvent | where ...で始めることにより、両方のワークスペースに対するクエリを作成できます。
クロスワークスペース クエリをスケジュール化された分析ルールに組み込む
クロスワークスペース クエリをスケジュール化された分析ルールに組み込むことができます。 クロスワークスペース分析ルールは中央の SOC で使用でき、MSSP の場合は (Azure Lighthouse によって) 複数のテナントで使用できます。 この使用には、次の制限事項が適用されます。
- 1 つのクエリに含めることができるのは、最大で 20 個のワークスペースまでです。 ただし、適切なパフォーマンスを得るために、含めるのは 5 以下にすることをお勧めします。
- Microsoft Sentinel をクエリで参照するすべてのワークスペースにデプロイする必要があります。
- ワークスペースをまたぐ分析ルールにより生成される警告と、それらのルールにより作成されるインシデントは、ルールを定めているワークスペースにのみ存在します。 クエリで参照する他のワークスペースには警告は表示されません。
- ワークスペースをまたぐ分析ルールは、他の分析ルールと同様に、ルールを作成したユーザーがルールのクエリで参照されているワークスペースにアクセスできなくなった場合でも、引き続き実行されます。 これに対する唯一の例外は、分析ルールとは異なるサブスクリプションやテナント内のワークスペースの場合です。
クロスワークスペース分析ルールが作成する警告とインシデントには、参照されるすべてのワークスペースと “ホーム” ワークスペース (ルールを定めているワークスペース) のエンティティなど、関係するエンティティがすべて含まれます。 これにより、警告とインシデントの全体像を分析できます。
Note
同じクエリ内で複数のワークスペースに対してクエリを実行すると、パフォーマンスに影響する可能性があるので、ロジックでこの機能が必要なときにのみ推奨されます。
クロスワークスペース ブックを使用する
ブックでは、Microsoft Sentinel にダッシュボードとアプリが提供されます。 複数のワークスペースを使用する場合、ブックが複数のワークスペースに対する監視とアクションを提供します。
エンド ユーザーの知識レベルに基づき、ブックでは 3 つの方法のいずれかでクロスワークスペース クエリを提供できます。
| メソッド | 説明 | 使用すべきとき |
|---|---|---|
| クロスワークスペース クエリを作成する | ブックの作成者は、ブック内でクロスワークスペース クエリ (前述) を作成できます。 | ブックの作成者がユーザーにとって透過的なワークスペース構造を作成できるようにしたい。 |
| ワークスペース セレクターをブックに追加する | ブックの作成者は、ブックの一部としてワークスペース セレクターを実装できます。 | ユーザーが使いやすいドロップダウン ボックスを使用して、ブックに表示されるワークスペースを制御できるようにしたい。 |
| ブックを対話形式で編集する | 既存のブックを変更する高度なユーザーは、その中のクエリを編集し、エディターのワークスペース セレクターを使用して対象のワークスペースを選択できます。 | パワー ユーザーが既存のブックを簡単に変更して、複数のワークスペースで作業できるようにしたい。 |
複数のワークスペース間でハンティングする
Microsoft Sentinel には事前に読み込まれたクエリ例が用意されており、初めて使用するときや、テーブルとクエリ言語に不慣れなときに役立ちます。 Microsoft のセキュリティ研究者は、常に新たな組み込みクエリを追加し、既存のクエリを微調整しています。 このようなクエリを使用すると、新たな検出項目を参照し、セキュリティ ツールが見逃した可能性のある侵入の兆候を特定できます。
脅威探索者がクロスワークスペース検出機能を活用すると、上記の union 演算子と workspace () 式を使用して、新たなハンティング クエリを作成し、既存のクエリを調整し、複数のワークスペースをクエリの対象とすることができます。
オートメーションを使用して複数のワークスペースを管理する
Microsoft Sentinel で有効になっている複数の Log Analytics ワークスペースを構成して管理するには、Microsoft Sentinel 管理 API の使用を自動化する必要があります。
- 警告ルール、ハンティング クエリ、ブック、プレイブックなど、Microsoft Sentinel リソースのデプロイを自動化する方法について確認してください。
- リポジトリからカスタム コンテンツをデプロイする方法について確認してください。 Microsoft Sentinel をコードとして管理し、プライベート Azure DevOps または GitHub リポジトリからリソースをデプロイし構成するための総合的な方法については、このリソースを参照してください。
Azure Lighthouse を使用したテナント間でのワークスペースの管理
前述のように、多くのシナリオでは、Microsoft Sentinel に対して有効になっているさまざまな Log Analytics ワークスペースを、異なる Microsoft Entra テナントに配置できます。 Azure Lighthouse を使用すると、テナントの境界を越えてすべてのクロスワークスペース アクティビティを拡張することができ、管理するテナントのユーザーは、すべてのテナントでワークスペースを使用できるようになります。
Azure Lighthouse をオンボードした後、Azure portal でディレクトリとサブスクリプション セレクターを使用して、管理するワークスペースが含まれるすべてのサブスクリプションを選択します。これにより、ポータルの異なるワークスペース セレクターですべてのサブスクリプションを使用できるようになります。
Azure Lighthouse を使用するときは、Microsoft Sentinel ロールごとにグループを作成し、各テナントからそれらのグループにアクセス許可を委任することをお勧めします。
次の手順
この記事では、Microsoft Sentinel の機能を複数のワークスペースとテナントに拡張する方法について説明しました。 Microsoft Sentinel のクロスワークスペース アーキテクチャの実装に関する実用的なガイダンスについては、次の記事を参照してください。
- Azure Lighthouse を使用して、Microsoft Sentinel で複数のテナントを操作する方法を確認します。
- シームレスに複数のワークスペースのインシデントを表示および管理する方法を確認します。