Microsoft Sentinel コンテンツとソリューションについて
Microsoft Sentinel "コンテンツ" は、さまざまな製品、プラットフォーム、サービスに対してデータの取り込み、監視、アラート、監視、調査、応答、接続を行うことができるようにするセキュリティ情報イベント管理 (SIEM) のソリューション コンポーネントです。
Microsoft Sentinel のコンテンツには、次のいずれかの種類が含まれます。
- データ コネクタ によって、ログが、さまざまなソースから Microsoft Sentinel に取り込まれます
- パーサーでは、ログの書式設定または Advanced Security Information Model (ASIM) 形式への変換が提供され、Microsoft Sentinel コンテンツのさまざまな種類とシナリオでの使用に対応しています
- ブック によって、Microsoft Sentinel のデータの監視、視覚化、対話機能が提供され、ユーザーにとって意味のある分析情報が強調表示されます
- 分析ルールによって、インシデントを介して関連する SOC アクションを指すアラートが指定されます
- ハンティング クエリ は、SOC チームが、Microsoft Sentinel で脅威を事前にハンティングするために使用します
- Notebook は、SOC チームが Jupyter と Azure Notebooks の高度なハンティング機能を使用するのに役立ちます
- ウォッチリスト は、脅威の検出を強化し、アラート疲れを減らすために、特定のデータの取り込みをサポートします
- プレイブックと Azure Logic Apps カスタム コネクタの機能を使用して、Microsoft Sentinel で自動的な調査、修復、対応のシナリオを実現します
Microsoft Sentinel では、これらのコンテンツ タイプが ソリューション および スタンドアロン 項目として提供されます。 "ソリューション"は、Microsoft Sentinel コンテンツまたは Microsoft Sentinel API 統合のパッケージであり、Microsoft Sentinel のエンドツーエンドの製品、ドメイン、または業界の垂直シナリオを実現します。 ソリューションとスタンドアロン項目の両方が、コンテンツ ハブで検出および管理されます。
独自のニーズに合わせてすぐに使える (OOTB) コンテンツをカスタマイズすることも、コミュニティ内の他のユーザーと共有するコンテンツを含む独自のソリューションを作成することもできます。 詳細については、ソリューションの作成と発行に関する Microsoft Sentinel ソリューションのビルド ガイドを参照してください。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で、一般提供されています。 プレビュー段階の Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスなしの Defender ポータル内でご利用になれます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。
Microsoft Sentinel コンテンツを検出して管理する
Microsoft Sentinel コンテンツ ハブを使用して、すぐに使える (OOTB) コンテンツを一元的に検出してインストールします。
Microsoft Sentinel コンテンツ ハブを使用すると、Microsoft Sentinel のエンドツーエンドの製品、ドメイン、OOTB の垂直のソリューションとコンテンツを、製品内で簡単に検出し、ワンステップでデプロイして、有効にすることができます。
カテゴリとその他のパラメーターでフィルター処理するか、強力なテキスト検索を使用して、組織のニーズに最も適したコンテンツを見つけます。
コンテンツ ハブは、コンテンツの各部分に適用されるサポート モデルも示しています。一部のコンテンツは Microsoft によって管理されており、他のコンテンツはパートナーまたはコミュニティによって管理されています。
コンテンツ ハブで、すぐに使えるコンテンツの更新プログラムを管理します。 または、カスタム コンテンツの場合は、[リポジトリ] ページから更新プログラムを管理します。 詳細については、「Microsoft Sentinel のすぐに利用できるコンテンツを検出して管理する」を参照してください。
独自のニーズに合わせてすぐに使用するコンテンツをカスタマイズしたり、分析ルール、ハンティング クエリ、ノートブック、ブックなどのカスタム コンテンツを作成したりできます。
カスタム コンテンツは、Microsoft Sentinel API を使用して Microsoft Sentinel ワークスペースで直接管理するか、独自のソース管理リポジトリで管理します。 詳細については、Microsoft Sentinel API やリポジトリからのカスタム コンテンツのデプロイに関する記事を参照してください。
コンテンツ ハブとソリューションを使用する理由
Microsoft Sentinel "ソリューション" は、コンテンツ ハブで 1 つまたは複数のドメインまたは垂直のシナリオについてエンドツーエンドの製品価値を提供するパッケージ統合です。
Azure Marketplace を利用したソリューション エクスペリエンスは、目的のコンテンツを検出して展開するのに役立ちます。 Azure Marketplace でのソリューションの作成と発行の詳細については、Microsoft Sentinel ソリューション ビルド ガイドを参照してください。
パッケージ化されたコンテンツは、データ コネクタ、ブック、分析ルール、プレイブック、ハンティング クエリ、ウォッチリスト、パーサーなど、1 つまたは複数の Microsoft Sentinel コンテンツ コンポーネントからなるコレクションです。
統合には、Microsoft Sentinel または Azure Log Analytics API を使用して構築されたサービスまたはツールが含まれ、Azure と既存の顧客アプリケーション間の統合をサポートしたり、データやクエリなどをアプリケーションから Microsoft Sentinel に移行したりすることができます。
ソリューションを使用して、すぐに使える (OOTB) コンテンツのパッケージを 1 回の手順でインストールすることもできます。インストール後は、多くの場合、コンテンツをすぐに使用できます。 プロバイダーとパートナーは Sentinel ソリューションを使用し、統合された製品、ドメイン、または垂直の価値を届けることにより、顧客の投資に価値を追加します。
コンテンツ ハブを使用すると、シナリオに基づく方法でソリューションと OOTB コンテンツを一元的に検出してデプロイできます。
詳細については、次を参照してください。
- Microsoft Sentinel のすぐに使えるコンテンツとソリューションを一元的に検出してデプロイする
- Azure Marketplace の Microsoft Sentinel ソリューション カタログ
- Microsoft Sentinel カタログ
Microsoft Sentinel のすぐに使えるコンテンツとソリューションのカテゴリ
Microsoft Sentinel のすぐに使えるコンテンツは、次の 1 つまたは複数のカテゴリで適用できます。 コンテンツ ハブで、表示するカテゴリを選択して、表示されるコンテンツを変更します。 コミュニティで配信されたアイテムは、スタンドアロンのコンテンツまたはソリューションとしてコンテンツ ハブで一元的に検出できます。
ドメイン カテゴリ
カテゴリ名 | 説明 |
---|---|
Application | Web、サーバーベース、SaaS、データベース、通信、または生産性のワークロード |
クラウド プロバイダー | クラウド サービス |
コンプライアンス | 準拠製品、サービス、プロトコル |
DevOps | 開発オペレーション ツールとサービス |
ID | ID サービス プロバイダーと統合 |
モノのインターネット (IoT) | IoT、運用テクノロジ (OT) デバイスとインフラストラクチャ、工業制御サービス |
IT 運用 | IT 管理を行う製品とサービス |
移行 | 移行の有効化製品、サービス、および |
ネットワーク | ネットワーク製品、サービス、ツール |
プラットフォーム | Microsoft Sentinel の汎用またはフレームワークのコンポーネント、クラウド インフラストラクチャ、プラットフォーム |
セキュリティ - その他 | その他の明確なカテゴリを持たない他のセキュリティ製品とサービス |
セキュリティ - 脅威インテリジェンス | 脅威インテリジェンスのプラットフォーム、フィード、製品、サービス |
セキュリティ - 脅威からのデータ保護 | 脅威からの保護、電子メール保護、拡張された検出と対応 (XDR)、およびエンドポイント保護製品とサービス |
セキュリティ - ゼロデイの脆弱性 | Nobelium などのゼロデイ攻撃に特化したソリューション |
セキュリティ - Automation (SOAR) | セキュリティ自動化、SOAR (セキュリティ操作と自動化された応答)、セキュリティ操作、インシデント対応の製品とサービス。 |
セキュリティ - クラウド セキュリティ | CASB (クラウド アクセス セキュリティ ブローカー)、CWPP (クラウド ワークロード保護プラットフォーム)、CSPM (クラウド セキュリティの状態管理)、その他のクラウド セキュリティ製品およびサービス |
セキュリティ - Information Protection | 情報保護とドキュメント保護の製品およびサービス |
セキュリティ - 内部関係者による脅威 | セキュリティ製品およびサービスの内部関係者による脅威およびユーザー/エンティティ行動分析 (UEBA) |
セキュリティ - ネットワーク | セキュリティ ネットワーク デバイス、ファイアウォール、NDR (ネットワークの検出と応答)、NIDP (ネットワークの侵入と検出の防止)、ネットワーク パケット キャプチャ |
セキュリティ - 脆弱性管理 | 脆弱性管理の製品とサービス |
Storage | ファイル ストアとファイル共有の製品とサービス |
トレーニングとチュートリアル | トレーニング、チュートリアル、オンボード資産 |
ユーザーの行動 (UEBA) | ユーザー動作分析の製品とサービス |
業界の垂直カテゴリ
カテゴリ名 | 説明 |
---|---|
航空 | 航空業界に固有の製品、サービス、コンテンツ |
Education | 教育業界に固有の製品、サービス、コンテンツ |
ファイナンス | 金融業界に固有の製品、サービス、コンテンツ |
医療 | 医療業界に固有の製品、サービス、コンテンツ |
Manufacturing | 製造業界固有の製品、サービス、コンテンツ |
小売 | 小売業界に固有の製品、サービス、コンテンツ |
Microsoft Sentinel のすぐに使えるコンテンツおよびソリューションのサポート モデル
Microsoft と他の組織の両方が、Microsoft Sentinel のすぐに使えるコンテンツとソリューションを作成しています。 すぐに使えるコンテンツまたはソリューションの各部分には、次のいずれかのサポートの種類があります。
サポート モデル | 説明 |
---|---|
Microsoft によるサポート | 適用対象: - Microsoft がデータ プロバイダー、関連、作成者であるコンテンツまたはソリューション。 - Microsoft 以外のデータ ソース用に Microsoft が作成した一部のデータ コネクタ。 Microsoft では、Microsoft Azure サポート プランに従って、このサポート モデルでのコンテンツまたはソリューションをサポートし、管理しています。 パートナーまたはコミュニティでは、Microsoft 以外の任意のパーティーによって作成されたコンテンツまたはソリューションをサポートしています。 |
パートナーによるサポート | Microsoft 以外のパーティーによって作成されたコンテンツまたはソリューションに適用されます。 パートナー企業は、これらのコンテンツまたはソリューションのサポートまたはメンテナンスを提供しています。 パートナー企業には、独立系ソフトウェア ベンダー、マネージド サービス プロバイダー (MSP/MSSP)、システム インテグレーター (SI)、その一部のコンテンツまたはソリューションについて Microsoft Sentinel ページに連絡先情報が記載されている組織があります。 パートナーがサポートするソリューションに関する問題については、指定されたサポートの連絡先にお問い合わせください。 |
コミュニティによるサポート | Microsoft または、Microsoft Sentinel にサポートとメンテナンスのための連絡先が記載されていないパートナー開発者が作成したコンテンツまたはソリューションに適用されます。 これらのソリューションについてご質問または問題がある場合は、Microsoft Sentinel GitHub コミュニティで問題を報告してください。 |
Microsoft Sentinel のコンテンツとソリューションのコンテンツ ソース
コンテンツまたはソリューションの各部分には、次のいずれかのコンテンツ ソースがあります。
コンテンツ ソース | 説明 |
---|---|
コンテンツ ハブ | ライフサイクル管理をサポートするコンテンツ ハブによってデプロイされるソリューション |
スタンドアロン | 自動的に最新の状態に保たれるコンテンツ ハブによってデプロイされるスタンドアロン コンテンツ |
カスタム | ワークスペースでカスタマイズしたコンテンツまたはソリューション |
ギャラリーのコンテンツ | ライフサイクル管理をサポートしていない機能ギャラリーのコンテンツ。 このコンテンツ ソースはまもなく廃止されます。 詳細については、「OOTB コンテンツの一元化の変更」を参照してください。 |
リポジトリ | ワークスペースに接続されているリポジトリのコンテンツまたはソリューション |
次のステップ
Microsoft Sentinel ワークスペースのコンテンツ ハブでソリューションとスタンドアロン コンテンツを検出してインストールします。
詳細については、以下を参照してください:
- すぐに使えるコンテンツとソリューションを一元的に検出してデプロイする
- Azure Marketplace の Microsoft Sentinel ソリューション カタログ
- Microsoft Sentinel カタログ
- Microsoft Sentinel データ コネクタ
- Microsoft Azure Sentinel データ コネクタを見つける