次の方法で共有

クイック スタート: Microsoft Sentinel をオンボードする

このクイックスタートでは、Microsoft Sentinel を有効にして、コンテンツ ハブからソリューションをインストールします。 次に、データ コネクタを設定して、Microsoft Sentinel へのデータの取り込みを開始します。

Microsoft Sentinel には、Microsoft Defender XDR サービス間コネクタなど、Microsoft 製品用の多くのコネクタが付属しています。 また、Syslog や Common Event Format (CEF) など、Microsoft 以外の製品用の組み込みコネクタを有効にすることもできます。 このクイックスタートでは、Microsoft Sentinel 用の Azure アクティビティ ソリューションで使用できる Azure アクティビティ データ コネクタを使用します。

API を使用して Microsoft Sentinel にオンボードするには、サポートされている最新バージョンの Sentinel オンボードの状態を参照してください。

前提条件

Microsoft Sentinel を有効にします

作業を開始するには、既存のワークスペースに Microsoft Sentinel を追加するか、新しいワークスペースを作成します。

  1. Azure Portal にサインインします。

  2. Microsoft Sentinel を検索して選択します。

    Microsoft Sentinel を有効にしているときのサービスの検索のスクリーンショット。

  3. [作成] を選択します

  4. 使用するワークスペースを選択するか、新しいワークスペースを作成します。 複数のワークスペースで Microsoft Sentinel を実行できますが、データは 1 つのワークスペースに分離されます。

    Microsoft Sentinel を有効にしているときのワークスペースの選択のスクリーンショット。

    • Microsoft Defender for Cloud によって作成された既定のワークスペースは一覧に表示されません。 これらのワークスペースに Microsoft Sentinel をインストールすることはできません。
    • Microsoft Sentinel は、一度ワークスペースにデプロイされると、そのワークスペースを他のリソース グループやサブスクリプションに移動することをサポートしていません

  5. [追加] を選択します。

ヒント

Microsoft Sentinel と他の Microsoft セキュリティ サービスの両方でセキュリティ操作 (SecOps) を管理する際の統一されたエクスペリエンスを得るために、ワークスペースを Defender ポータルにオンボードすることをお勧めします。

ワークスペースを今すぐオンボードする場合は、Defender ポータルからこの記事の手順を続行できます。 詳細については、「 Microsoft Sentinel を Defender ポータルにオンボードする」を参照してください。

コンテンツ ハブからソリューションをインストールする

Microsoft Sentinel のコンテンツ ハブは、データ コネクタを含むすぐに使用できるコンテンツを検出して管理するための一元的な場所です。 このクイックスタートでは、Azure アクティビティ用のソリューションをインストールします。

  1. Microsoft Sentinel で、[コンテンツ ハブ] を選択します。

  2. [Azure アクティビティ] ソリューションを見つけて選択します。

  1. 右側のソリューションの詳細ウィンドウで、[インストール] を選択 します

データ コネクタを設定する

Microsoft Sentinel でサービスとアプリからのデータを取り込むには、サービスに接続して、Microsoft Sentinel にイベントとログを転送します。 このクイックスタートでは、データ コネクタをインストールして、Azure アクティビティのデータを Microsoft Sentinel に転送します。

  1. Microsoft Sentinel で、 Configuration>Data コネクタ を選択し、 Azure アクティビティ データ コネクタを検索して選択します。

  2. コネクタの詳細ウィンドウで、[ コネクタ ページを開く] を選択します。 Azure アクティビティ コネクタ ページの手順を使用して、データ コネクタを設定します。

    1. [[Azure Policy の割り当て] ウィザードの起動] を選択します。

    2. [基本] タブで、[スコープ] を、Microsoft Sentinel に送信するアクティビティがあるサブスクリプションとリソース グループに設定します。 たとえば、Microsoft Sentinel インスタンスを含むサブスクリプションを選択します。

    3. [ パラメーター ] タブを選択し、 プライマリ Log Analytics ワークスペースを設定します。 これは、Microsoft Sentinel がインストールされているワークスペースである必要があります。

    4. [確認と作成][作成] の順に選択します。

アクティビティ データを生成する

Microsoft Sentinel 用の Azure アクティビティ ソリューションに含まれていたルールを有効にして、いくつかのアクティビティ データを生成してみましょう。 この手順では、コンテンツ ハブでコンテンツを管理する方法も示します。

  1. Microsoft Sentinel で[コンテンツ ハブ]を選択し、Azure アクティビティ ソリューションで疑わしいリソースデプロイルールテンプレートを検索して選択します。

  2. 詳細ウィンドウで、[ルールの 作成 ] を選択し、 分析ルール ウィザードを使用して新しいルールを作成します。

  3. [分析ルール ウィザード - 新しいスケジュールされたルールの作成] ページで、[状態][有効] に変更します。

    このタブとウィザードの他のすべてのタブでは、既定値をそのまま使用します。

  4. [確認と作成] タブで、[作成] を選択します。

Microsoft Sentinel に取り込まれたデータを表示する

Azure アクティビティ データ コネクタを有効にし、いくつかのアクティビティ データを生成したので、ワークスペースに追加されたアクティビティ データを表示しましょう。

  1. Microsoft Sentinel で、 Configuration>Data コネクタ を選択し、 Azure アクティビティ データ コネクタを検索して選択します。

  2. コネクタの詳細ウィンドウで、[ コネクタ ページを開く] を選択します。

  3. データ コネクタの [状態] を確認します。 [接続済み] である必要があります。

    状態が接続済みと表示されている Azure アクティビティ用データ コネクタのスクリーンショット。

  4. 使用しているポータルに応じて、続行するタブを選択します。

    1. [ ログ分析に移動] を選択して 、[高度なハンティング ] ページを開きます。

    2. ペインの上部にある [ 新しいクエリ ] タブの横にある + を選択して、新しいクエリ タブを追加します。

    3. 次のクエリを実行して、ワークスペースに取り込まれたアクティビティの日付を表示します。

      AzureActivity

    例えば次が挙げられます。

    Defender ポータルの [ログ] ページの AzureActivity クエリのスクリーンショット。

次の手順

このクイックスタートでは、Microsoft Sentinel を有効にして、コンテンツ ハブからソリューションをインストールしました。 次に、データ コネクタを設定して、Microsoft Sentinel へのデータの取り込みを開始しました。 また、ワークスペース内でデータを表示することで、データが取り込まれていることも確認しました。