Microsoft Defender ポータルの Microsoft Sentinel
この記事では、Microsoft Defender ポータルでの Microsoft Sentinel エクスペリエンスについて説明します。 Microsoft Sentinel は、Microsoft Defender XDR を使用する Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 詳細については、以下を参照してください:
- ブログ記事: Microsoft 統合セキュリティ オペレーション プラットフォームの一般提供
- ブログ記事: 統合セキュリティ オペレーション プラットフォームに関してよく寄せられる質問
- Microsoft Sentinel を Microsoft Defender XDR に接続する
- Azure 商用またはその他のクラウド向けの Microsoft Sentinel 機能のサポート
プレビューの場合、Microsoft Sentinel は、Microsoft Defender XDR または E5 のライセンスなしで Defender ポータルで使用できます。
新機能および強化された機能
次の表では、Microsoft Sentinel の統合により、Defender ポータルで使用できる新機能または強化された機能について説明しています。 Microsoft は、Defender ポータル専用の機能を備えたこの新しいエクスペリエンスの革新を続けています。
Capabilities | 説明 |
---|---|
高度な検出 | 異なるデータ セット間で 1 つのポータルからクエリを実行して、より効率的なハンティングを実現するとともに、コンテキストを切り替える必要をなくします。 Security Copilot を使用して KQL を生成します。 Microsoft セキュリティ サービスと Microsoft Sentinel のデータを含むすべてのデータを表示してクエリを実行します。 クエリや関数など、既存のすべての Microsoft Sentinel ワークスペース コンテンツを使用します。 詳細については、次の記事をご覧ください。 - Microsoft Defender ポータルでの高度な追求 - 高度な追求における Security Copilot |
SOC の最適化 | 以下の領域を特定するのに役立つ、忠実度が高く実用的な推奨事項がわかります。 - コストの削減 - セキュリティ制御の追加 - 欠落しているデータの追加 SOC の最適化は、Defender と Azure ポータルで利用でき、環境に合わせて調整され、現在のカバレッジと脅威の状況に基づいています。 詳細については、次の記事をご覧ください。 - セキュリティ オペレーションを最適化する - SOC の最適化による推奨事項のリファレンス |
Microsoft Copilot in Microsoft Defender | Defender ポータルでインシデントを調査する場合、 - インシデントを要約する - スクリプトを分析する - ファイルの分析 - インシデント レポートを作成する 高度な追求で脅威を追求する場合は、クエリ アシスタントを使用して、そのまま実行できる KQL クエリを作成します。 詳細については、「高度な追求における Microsoft Security Copilot」を参照してください。 |
次の表は、Microsoft の統合セキュリティ オペレーション プラットフォームの一部として Microsoft Sentinel と Microsoft Defender XDR を統合することにより、Defender ポータルで使用できるその他の機能について説明したものです。
Capabilities | 説明 |
---|---|
攻撃の中断 | Defender ポータルと SAP アプリケーション向け Microsoft Sentinel ソリューションの両方を使用して、SAP に対して自動攻撃かく乱をデプロイします。 たとえば、財務処理操作攻撃の場合は、疑わしい SAP ユーザーをロックすることで、資産の侵害を阻止します。 SAP の攻撃中断機能は、Defender ポータルでのみ使用できます。 SAP の攻撃中断を使用するには、データ コネクタ エージェントのバージョンを更新し、関連する Azure ロールがエージェントの ID に割り当てられていることを確認します。 詳細については、「SAP の自動攻撃中断」を参照してください。 |
統合エンティティ | Defender ポータルのデバイス、ユーザー、IP アドレス、Azure リソースのエンティティ ページには、Microsoft Sentinel および Defender データ ソースからの情報が表示されます。 これらのエンティティ ページでは、Defender ポータルでインシデントとアラートを調査するための拡張されたコンテキストを入手できます。 詳細については、Microsoft Sentinel でのエンティティ ページを使用したエンティティの調査に関する記事を参照してください。 |
統合インシデント | Defender ポータルの 1 つのキューから、および 1 つの場所で、セキュリティ インシデントを管理および調査します。 Security Copilot を使用して、要約、応答、レポートを行います。 インシデントには次のものが含まれます。 - 拡張されたソースのデータ - セキュリティ情報とイベント管理 (SIEM) の AI 分析ツール - 拡張検出と応答 (XDR) によって提供されるコンテキストと軽減ツール 詳細については、次の記事をご覧ください。 - Microsoft Defender ポータルを使用したインシデント応答 - Security Copilot で Microsoft Sentinel インシデントを調査する |
Microsoft Copilot in Microsoft Defender | Defender XDR と統合された Microsoft Sentinel を使用してインシデントを調査する場合、 - ガイド付き応答によるインシデントのトリアージと調査 - デバイス情報を要約する - ID 情報を要約する 環境に影響を与える関連する脅威を要約し、露出レベルに基づいて脅威の解決に優先順位を付けたり、脅威インテリジェンスで Security Copilot を使用して業界をターゲットにしている可能性のある脅威アクターを見つけたりします。 詳細については、「脅威インテリジェンスに Microsoft Security Copilot を使用する」を参照してください。 |
ポータル間の機能の違い
ほとんどの Microsoft Sentinel 機能は、Azure ポータルでも、Defender ポータルでも使用できます。 Defender ポータルでは、ユーザーがタスクを完了できるように、一部の Microsoft Sentinel エクスペリエンスが Azure portal に表示されます。
このセクションでは、Azure portal または Defender ポータルでのみ使用できる Microsoft Sentinel の機能または統合と、これらのプラットフォームのその他の重要な相違点について説明します。 ここでは、Defender ポータルから Azure portal を開く Microsoft Sentinel エクスペリエンスは除外します。
機能 | 可用性 | 説明 |
---|---|---|
ブックマークを使用した高度なハンティング | Azure portal のみ | ブックマークは、Microsoft Defender ポータルの高度な検出エクスペリエンスではサポートされていません。 Defender ポータルでは、[Microsoft Sentinel] > [脅威管理] > [ハンティング] でサポートされています。 詳細については、「Microsoft Sentinel によるハンティング中にデータを追跡する」を参照してください。 |
SAP の攻撃中断 | Defender XDR を使用した Defender ポータルのみ | この機能は、Azure portal では使用できません。 詳細については、「Microsoft Defender XDR での攻撃の自動中断」を参照してください。 |
オートメーション | 一部の自動化手順は、Azure portal でのみ使用できます。 その他の自動化手順は、Defender ポータルと Azure portal で同じですが、Azure portal では、Defender ポータルにオンボードされているワークスペースとオンボードされていないワークスペースで異なります。 |
詳細については、「統合セキュリティ オペレーション プラットフォームを使用した自動化」を参照してください。 |
データ コネクタ: 統合セキュリティ オペレーション プラットフォームで使用されるコネクタの可視性 | Azure portal のみ | Defender ポータルでは、Microsoft Sentinel をオンボードした後、統合セキュリティ オペレーション プラットフォームの一部である次のデータ コネクタが [データ コネクタ] ページに表示されません。 Azure portal では、これらのデータ コネクタは、Microsoft Sentinel にインストールされているデータ コネクタとともに引き続き一覧表示されます。 |
エンティティ: インシデントから脅威インテリジェンスにエンティティを追加する | Azure portal のみ | この機能は、Defender ポータルでは使用できません。 詳細については、「脅威インジケーターにエンティティを追加する」を参照してください。 |
Fusion: 高度なマルチステージ攻撃の検出 | Azure portal のみ | Fusion 相関エンジンによって行われたアラートの相関関係に基づいてインシデントを作成する Fusion 分析ルールは、Microsoft Sentinel を Defender ポータルにオンボードすると無効になります。 Defender ポータルでは、Microsoft Defender XDR のインシデント作成と相関関係の機能を使用して、Fusion エンジンの機能を置き換えます。 詳細については、「Microsoft Sentinel の高度なマルチステージ攻撃の検出」を参照してください |
インシデント: インシデントへのアラートの追加/ インシデントからのアラートの削除 |
Defender ポータルのみ | Defender ポータルに Microsoft Sentinel をオンボードした後、Azure portal でアラートを追加したり、インシデントからアラートを削除したりできなくなります。 Defender ポータルでインシデントからアラートを削除することはできますが、アラートを別のインシデント (既存または新規) にリンクすることによってのみ削除できます。 |
インシデント: コメントの編集 | Azure portal のみ | Microsoft Sentinel を Defender ポータルにオンボードした後、どちらのポータルでもインシデントにコメントを追加できますが、既存のコメントを編集することはできません。 Azure portal でコメントに加えられた編集は、Defender ポータルに同期されません。 |
インシデント: インシデントのプログラムによる作成と手動による作成 | Azure portal のみ | API を介して Microsoft Sentinel で、ロジック アプリのプレイブックで、または Azure portal から手動で作成されたインシデントは、Defender ポータルに同期されません。 これらのインシデントは、Azure portal と API で引き続きサポートされています。 「Microsoft Sentinel で独自のインシデントを手動で作成する」を参照してください。 |
インシデント: 閉じられたインシデントを再度開く | Azure portal のみ | Defender ポータルでは、新しいアラートが追加された場合に閉じられたインシデントを再度開くために、Microsoft Sentinel 分析ルールでアラートのグループ化を設定することはできません。 この場合、閉じられたインシデントは再度開かれず、新しいアラートによって新しいインシデントがトリガーされます。 |
インシデント: タスク | Azure portal のみ | Defender ポータルではタスクを使用できません。 詳細については、「Microsoft Sentinel でタスクを使用してインシデントを管理する」を参照してください。 |
Microsoft Sentinel の複数のワークスペース管理 | Defender ポータル: テナントごとに 1 つの Microsoft Sentinel ワークスペースに制限 Azure portal: テナントの複数の Microsoft Sentinel ワークスペースを一元管理する |
現在、Defender ポータルでは、テナントごとに 1 つの Microsoft Sentinel ワークスペースのみがサポートされています。 そのため、Microsoft Defender マルチテナント管理では、テナントごとに 1 つの Microsoft Sentinel ワークスペースがサポートされます。 詳細については、次の記事をご覧ください。 - Defender ポータル: Microsoft Defender マルチテナント管理 - Azure portal: ワークスペース マネージャーを使用して複数の Microsoft Sentinel ワークスペースを管理する |
制限されている、または使用できない機能
Defender XDR またはその他のサービスを有効にせずに Microsoft Sentinel を Defender ポータルにオンボードした場合、Defender ポータルに表示される次の機能は現在制限されるか、使用できません。
機能 | 必要なサービス |
---|---|
露出管理 | Microsoft セキュリティ露出管理 |
カスタム検出ルール | Microsoft Defender XDR |
アクション センター | Microsoft Defender XDR |
次の制限は、Defender XDR またはその他のサービスが有効になっていない Defender ポータルの Microsoft Sentinel にも適用されます。
- 新しい Microsoft Sentinel のお客様は、イスラエル リージョンで作成された Log Analytics ワークスペースをオンボードできません。 Defender ポータルにオンボードするには、別のリージョンに Microsoft Sentinel 用の別のワークスペースを作成します。 この追加のワークスペースには、データを含める必要はありません。
- Microsoft Sentinel ユーザーとエンティティ動作分析 (UEBA) を使用するお客様には、限定バージョンの IdentityInfo テーブルが提供されます。
クイック リファレンス
統合インシデント キューなどの一部の Microsoft Sentinel 機能は、Microsoft の統合セキュリティ オペレーション プラットフォームの Microsoft Defender XDR に統合されています。 その他の多くの Microsoft Sentinel 機能は、Defender ポータルの [Microsoft Sentinel] セクションで使用できます。
次の図は、Defender ポータルの [Microsoft Sentinel] メニューを示しています。
次のセクションでは、Defender ポータルで Microsoft Sentinel 機能を検索する場所について説明します。 セクションは、Microsoft Sentinel が Azure portal に存在するように整理されています。
全般
次の表は、Azure portal の [全般] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。
Azure portal | Defender ポータル |
---|---|
概要 | 概要 |
ログ | [調査と応答] > [ハンティング] > [高度な検出] |
ニュースとガイド | 使用不可 |
検索する | [Microsoft Sentinel] > [検索] |
脅威管理
次の表は、Azure portal の [脅威管理] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。
Azure portal | Defender ポータル |
---|---|
インシデント | [調査と応答] > [インシデントとアラート] > [インシデント] |
Workbooks | [Microsoft Sentinel] > [脅威管理]> [Workbooks] |
ハンティング | [Microsoft Sentinel] > [脅威管理]> [ハンティング] |
ノートブック | [Microsoft Sentinel] > [脅威管理]> [Notebooks] |
エンティティの動作 | "ユーザー エンティティ ページ:" [資産] > [ID] >{user}> [Sentinel イベント] "デバイス エンティティ ページ:" [資産] > [デバイス] >{device}> [Sentinel イベント] また、ユーザー、デバイス、IP、Azure リソース エンティティの種類が表示されたら、インシデントとアラートから、そのエンティティ ページを見つけます。 |
脅威インテリジェンス | [Microsoft Sentinel] > [脅威管理]> [脅威インテリジェンス] |
MITRE ATT&CK | [Microsoft Sentinel] > [脅威管理]> [MITRE ATT&CK] |
コンテンツ管理
次の表は、Azure portal の [コンテンツ管理] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。
Azure portal | Defender ポータル |
---|---|
コンテンツ ハブ | [Microsoft Sentinel] > [コンテンツ管理] > [コンテンツ ハブ] |
リポジトリ | [Microsoft Sentinel] > [コンテンツ管理] > [リポジトリ] |
Community | [Microsoft Sentinel] > [コンテンツ管理] > [Community] |
構成
次の表は、Azure portal の [構成] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。
Azure portal | Defender ポータル |
---|---|
ワークスペース マネージャー | 使用不可 |
データ コネクタ | [Microsoft Sentinel] > [構成] > [データ コネクタ] |
分析 | [Microsoft Sentinel] > [構成] > [Analytics] |
ウォッチリスト | [Microsoft Sentinel] > [構成] > [ウォッチリスト] |
Automation | [Microsoft Sentinel] > [構成] > [自動化] |
設定 | [システム] > [設定] > [Microsoft Sentinel] |