次の方法で共有

Microsoft Defender ポータルにMicrosoft Sentinelを接続する

  • [アーティクル]
  • 適用対象:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinelは、Microsoft Defender ポータルの Microsoft の統合セキュリティ操作 (SecOps) プラットフォーム内で一般公開されています。 Microsoft Defender XDRを使用してMicrosoft Sentinelを Defender ポータルにオンボードすると、インシデント管理や高度なハンティングなどの機能が統合されます。 ツールの切り替えを減らし、インシデント対応を迅速化し、侵害を迅速に停止する、よりコンテキストに焦点を当てた調査を構築します。 詳細については、以下を参照してください:

プレビューの場合、Microsoft Sentinelは、Microsoft Defender XDRまたは E5 ライセンスなしで Defender ポータルで使用できます。

前提条件

開始する前に、機能ドキュメントを確認して、製品の変更と制限事項を理解してください。

Microsoft Defender ポータルでは、1 つのMicrosoft Entra テナントと、一度に 1 つのワークスペースへの接続がサポートされます。 この記事のコンテキストでは、ワークスペースは、Microsoft Sentinelが有効になっている Log Analytics ワークスペースです。

Microsoft Sentinelの前提条件

Defender ポータルでMicrosoft Sentinelをオンボードして使用するには、次のリソースとアクセス権が必要です。

  • Microsoft Sentinelが有効になっている Log Analytics ワークスペース

  • インシデントとアラートのMicrosoft Sentinelで有効になっているMicrosoft Defender XDRのデータ コネクタ。 Defender XDR ソリューションをインストールし、Microsoft Sentinelを Defender ポータルに接続するようにデータ コネクタを構成します。 詳細については、「すぐに使用Microsoft Sentinelコンテンツを検出して管理する」を参照してください。 Defender XDR データ コネクタ内では、Microsoft Sentinelを Defender ポータルにオンボードした後、インシデントとアラートを接続するための構成オプションがオフおよび無効になります。

  • Defender ポータルでMicrosoft Sentinelのサポート要求をオンボード、使用、作成するための適切なロールを持つ Azure アカウント。 次の表は、必要な主要なロールの一部を示しています。

    タスク Microsoft Entraまたは Azure 組み込みロールが必要 範囲
    Defender ポータルへのMicrosoft Sentinelのオンボード Microsoft Entra IDのグローバル管理者またはセキュリティ管理者 Tenant
    Microsoft Sentinelが有効になっているワークスペースを接続または切断する 所有者または
    ユーザー アクセス管理者Microsoft Sentinel共同作成者    		 - 所有者またはユーザー アクセス管理者ロールのサブスクリプション

    - 共同作成者 Microsoft Sentinelのサブスクリプション、リソース グループ、またはワークスペース リソース
    Defender ポータルでMicrosoft Sentinelを表示する Microsoft Sentinel リーダー サブスクリプション、リソース グループ、またはワークスペース リソース
    データ テーブルSentinelクエリを実行するか、インシデントを表示する Microsoft Sentinel閲覧者または次のアクションを持つロール:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read    		 サブスクリプション、リソース グループ、またはワークスペース リソース
    インシデントに対する調査アクションの実行 Microsoft Sentinel共同作成者または次のアクションを持つロール:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write    		 サブスクリプション、リソース グループ、またはワークスペース リソース
    サポート リクエストの作成 所有者 または
    Contributor または
    Support 要求共同作成者 、または Microsoft.Support/* を使用したカスタム ロール    		 サブスクリプション

    Microsoft Sentinelを Defender ポータルに接続した後、既存の Azure ロールベースのアクセス制御 (RBAC) アクセス許可を使用すると、アクセス権を持つMicrosoft Sentinel機能を操作できます。 引き続き、Azure portalからMicrosoft Sentinel ユーザーのロールとアクセス許可を管理します。 Azure RBAC の変更はすべて Defender ポータルに反映されます。 Microsoft Sentinelアクセス許可の詳細については、「Microsoft Sentinel のロールとアクセス許可 」 を参照してください。 |Microsoft Learn and Manage access to Microsoft Sentinel data by resource |Microsoft Learn

Microsoft の統合 SecOps プラットフォームの前提条件

Microsoft の統合 SecOps プラットフォームでDefender XDRと機能を統合するには、次のリソースとアクセス権が必要です。

オンボード Microsoft Sentinel

Microsoft Sentinel ワークスペースを Defender ポータルに接続するには、次の手順を実行します。 Defender XDR (プレビュー) なしでMicrosoft Sentinelをオンボードする場合は、Microsoft Sentinelと Defender ポータルとの接続をトリガーする追加の手順があります。

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. Defender ポータルでDefender XDRせずにMicrosoft Sentinelをオンボードするには:

    1. Microsoft Sentinelを使用して接続をトリガーするには、[調査 & 応答>Incidents] を選択します。
    2. 接続が完了するまで数分待ちます。

  3. Defender ポータルで、[概要] を選択 します

  4. [ ワークスペースの接続] を選択します

  5. 接続するワークスペースを選択し、[ 次へ] を選択します。

  6. ワークスペースの接続に関連する製品の変更を読み、理解します。 これらの変更は次のとおりです。

    • Microsoft Sentinel ワークスペースのログ テーブル、クエリ、および関数は、Defender ポータル内の高度なハンティングでも使用できます。
    • Microsoft Sentinel共同作成者ロールは、サブスクリプション内の Microsoft Threat Protection アプリと WindowsDefenderATP アプリに割り当てられます。
    • アクティブな Microsoft セキュリティ インシデント作成ルール は、重複するインシデントを回避するために非アクティブ化されます。 この変更は、Microsoft アラートのインシデント作成ルールにのみ適用され、他の分析ルールには適用されません。
    • Defender XDR製品に関連するすべてのアラートは、一貫性を確保するために、メイン Defender XDR データ コネクタから直接ストリーミングされます。 ワークスペースで、このコネクタからのインシデントとアラートがオンになっていることを確認します。

  7. [接続] を選択します。

ワークスペースが接続されると、[ 概要 ] ページのバナーに、環境の準備ができていることが示されます。 [概要] ページは、データ コネクタの数や自動化ルールなどのMicrosoft Sentinelからのメトリックを含む新しいセクションで更新されます。

Defender ポータルでMicrosoft Sentinel機能を調べる

ワークスペースを Defender ポータルに接続すると、Microsoft Sentinel左側のナビゲーション ウィンドウに表示されます。 Defender XDRが有効になっている場合、概要インシデント高度なハンティングなどのページには、Microsoft SentinelとDefender XDRのデータが統合されています。 Defender XDRを有効にしていない場合、これらのページにはMicrosoft Sentinel (プレビュー) からのデータだけが含まれます。 統合された機能とポータル間の違いの詳細については、Microsoft Defender ポータルのMicrosoft Sentinelに関するページを参照してください。

既存のMicrosoft Sentinel機能の多くは、Defender ポータルに統合されています。 これらの機能については、Azure portal ポータルと Defender ポータルでのMicrosoft Sentinel間のエクスペリエンスが似ている点に注意してください。 Defender ポータルでMicrosoft Sentinelの操作を開始するには、次の記事を使用します。 これらの記事を使用する場合、このコンテキストの出発点は、Azure portalではなく Defender ポータルであることに注意してください。

Defender ポータルの [System>Settings>Microsoft Sentinel でMicrosoft Sentinel設定を見つけます。

オフボード Microsoft Sentinel

一度に Defender ポータルに接続できるワークスペースは 1 つだけです。 Microsoft Sentinel有効になっている別のワークスペースに接続する場合は、現在のワークスペースを切断し、もう一方のワークスペースを接続します。

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. Defender ポータルの [システム] で、[設定>Microsoft Sentinel] を選択します。

  3. [ワークスペース] ページ 、接続されているワークスペースと [切断] ワークスペースを選択します。

  4. ワークスペースを切断する理由を指定します。

  5. 選択内容を確認します。

    ワークスペースが切断されると、Defender ポータルの左側のナビゲーションから Microsoft Sentinel セクションが削除されます。 Microsoft Sentinelからのデータは、[概要] ページに含まれなくなりました。

別のワークスペースに接続する場合は、[ ワークスペース] ページでワークスペースと [ ワークスペースの接続] を選択します。

関連コンテンツ