Microsoft Sentinel は、Microsoft Defender XDRまたは E5 ライセンスの有無にかかわらず、Microsoft Defender ポータルで一般提供されています。 Defender ポータルで Microsoft Sentinel をMicrosoft Defender XDR サービスと共に使用すると、インシデント管理や高度なハンティングなどの機能を統合できます。 ツールの切り替えを減らし、インシデント対応を迅速化し、侵害を迅速に停止する、よりコンテキストに焦点を当てた調査を構築します。
この記事は、Microsoft Sentinel ワークスペースがまだ Defender ポータルに接続されていないお客様に関連しています。 多くの場合、 2025 年 7 月 1 日以降に Microsoft Sentinel にオンボードするお客様は、自動的に Defender ポータルにオンボードされます。
詳細については、以下を参照してください:
- 統合セキュリティ操作とは
- Microsoft Defender ポータルの Microsoft Sentinel
- Microsoft Sentinel との統合のMicrosoft Defender XDR
前提条件
開始する前に、機能ドキュメントを確認して、製品の変更と制限事項を理解してください。
- Microsoft Defender ポータルの Microsoft Sentinel
- Microsoft Defender ポータルでの高度な捜索
- Microsoft Defender XDRでのアラート、インシデント、相関関係
- Defender ポータルでの Microsoft Sentinel オートメーション
Microsoft Defender ポータルでは、1 つのMicrosoft Entra テナントと、プライマリ ワークスペースと複数のセカンダリ ワークスペースへの接続がサポートされています。 Microsoft Sentinel のオンボード時にワークスペースが 1 つだけの場合、そのワークスペースはプライマリ ワークスペースとして指定されます。 詳細については、 Defender ポータルの「複数の Microsoft Sentinel ワークスペース」を参照してください。 この記事のコンテキストでは、ワークスペースは、Microsoft Sentinel が有効になっている Log Analytics ワークスペースです。
Microsoft Sentinel の前提条件
Defender ポータルで Microsoft Sentinel をオンボードして使用するには、次のリソースとアクセス権が必要です。
Microsoft Sentinel が有効になっている Log Analytics ワークスペース
Defender ポータルで Microsoft Sentinel のサポート要求をオンボード、使用、作成するための適切なロールを持つ Azure アカウント。 Defender ポータルには、必要なアクセス許可がない場所にオンボードするワークスペースは表示されません。 次の表は、必要な主要なロールの一部を示しています。
タスク Microsoft Entraまたは Azure 組み込みロールが必要 範囲 Defender ポータルへの Microsoft Sentinel のオンボード Microsoft Entra ID のグローバル管理者またはセキュリティ管理者
所有者 または
ユーザー アクセス管理者 と Microsoft Sentinel 共同作成者Tenant
- 所有者またはユーザー アクセス管理者ロールのサブスクリプション
- Microsoft Sentinel 共同作成者のサブスクリプション、リソース グループ、またはワークスペース リソースセカンダリ ワークスペースの接続または切断 Microsoft Entra ID のグローバル管理者またはセキュリティ管理者
所有者 または
ユーザー アクセス管理者 と Microsoft Sentinel 共同作成者Tenant
- 所有者またはユーザー アクセス管理者ロールのサブスクリプション
- Microsoft Sentinel 共同作成者のサブスクリプション、リソース グループ、またはワークスペース リソースプライマリ ワークスペースを変更する Microsoft Entra ID のグローバル管理者またはセキュリティ管理者
所有者 または
ユーザー アクセス管理者 と Microsoft Sentinel 共同作成者Tenant
- 所有者またはユーザー アクセス管理者ロールのサブスクリプション
- Microsoft Sentinel 共同作成者のサブスクリプション、リソース グループ、またはワークスペース リソースDefender ポータルで Microsoft Sentinel を表示する Microsoft Sentinel 閲覧者 サブスクリプション、リソース グループ、またはワークスペース リソース Microsoft Sentinel データ テーブルのクエリまたはインシデントの表示 Microsoft Sentinel 閲覧者 または次のアクションを持つロール:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readサブスクリプション、リソース グループ、またはワークスペース リソース インシデントに対する調査アクションの実行 Microsoft Sentinel 共同作成者 または次のアクションを持つロール:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft. SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeサブスクリプション、リソース グループ、またはワークスペース リソース サポート リクエストの作成 所有者 または
Contributor または
Support 要求共同作成者 、または Microsoft.Support/* を使用したカスタム ロールサブスクリプション 複数のテナントを使用している場合は、詳細 な委任された管理者特権 (GDAP) と Azure Lighthouse は、Defender ポータルの Microsoft Sentinel データではサポートされていないことに注意してください。 代わりに、B2B 認証Microsoft Entra使用します。 詳細については、「マルチテナント管理Microsoft Defender設定する」を参照してください。
Microsoft Sentinel を Defender ポータルに接続した後、既存の Azure ロールベースのアクセス制御 (RBAC) アクセス許可を使用すると、アクセス権を持つ Microsoft Sentinel 機能を操作できます。 Azure RBAC の変更が Defender ポータルに反映されるため、引き続きAzure portalから Microsoft Sentinel ユーザーのロールとアクセス許可を管理します。
詳細については、「 Microsoft Sentinel のロールとアクセス許可」および「リソース別に MicrosoftSentinel データへのアクセスを管理する」を参照してください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
統合セキュリティ操作の前提条件
Defender ポータルでMicrosoft Defender XDRと Microsoft Sentinel のセキュリティ操作を統合するには、次のリソースとアクセス権が必要です。
- 前提条件の説明に従って、Defender XDRのライセンスMicrosoft Defender XDR
- Defender XDRのアカウントは、Microsoft Sentinel が関連付けられているのと同じMicrosoft Entra テナントのメンバーです
- 「Microsoft Defender XDRの前提条件」で説明されているように、Defender ポータルでMicrosoft Defender XDRにアクセスする
該当する場合は、次の前提条件を満たします。
| サービス | 前提条件 |
|---|---|
| Microsoft Purview インサイダー リスク管理 | organizationでMicrosoft Purview インサイダー リスク管理を使用する場合は、Microsoft Sentinel のプライマリ ワークスペースでデータ コネクタ Microsoft 365 Insider Risk Management を有効にして、そのデータを統合します。 Defender ポータルにオンボードする予定の Microsoft Sentinel 用のセカンダリ ワークスペースで、そのコネクタを無効にします。 - プライマリ ワークスペースの Content ハブからMicrosoft Purview インサイダー リスク管理 ソリューションをインストールします。 - データ コネクタを構成します。 詳細については、「 Microsoft Sentinel のすぐに使えるコンテンツの検出と管理」を参照してください。 |
| Microsoft Defender for Cloud | テナントのすべてのサブスクリプション間で関連付けられた Defender for Cloud インシデントを Microsoft Sentinel のプライマリ ワークスペースにストリーミングするには: - プライマリ ワークスペース内のテナント ベースの Microsoft Defender for Cloud (プレビュー) データ コネクタを接続します。 - テナント内のすべてのワークスペースからサブスクリプション ベースの Microsoft Defender for Cloud (レガシ) アラート コネクタを切断します。 Defender for Cloud の相関テナント データをプライマリ ワークスペースにストリーミングしない場合は、ワークスペースで引き続きサブスクリプション ベースの Microsoft Defender for Cloud (レガシ) コネクタを使用します。 詳細については、「統合を使用してクラウド インシデントのMicrosoft Defender Microsoft Defender XDR取り込む」を参照してください。 |
Microsoft Sentinel のオンボード
この手順では、Microsoft Sentinel 対応ワークスペースを Defender ポータルにオンボードする方法について説明します。
- Microsoft Defender ポータルに移動し、サインインします。
- [ System>Settings>Microsoft Sentinel>ワークスペースの接続] を選択します。
- 接続するワークスペースを選択し、[ 次へ] を選択します。
- [ プライマリ] ワークスペースを選択します。
- ワークスペースの接続に関連する製品の変更を読み、理解します。
- [接続] を選択します。
ワークスペースが接続されると、[ ホーム ] ページのバナーに環境の準備ができていることが示されます。 [ホーム] ページは、データ コネクタやオートメーション ルールの数など、Microsoft Sentinel からのメトリックを含む新しいセクションで更新されます。
Defender ポータルで Microsoft Sentinel の機能を確認する
ワークスペースを Defender ポータルに接続すると、左側のナビゲーション ウィンドウに Microsoft Sentinel が表示されます。 Defender XDRが有効になっている場合、ホーム、インシデント、Advanced Hunting などのページには、Microsoft Sentinel とDefender XDRのプライマリ ワークスペースからの統合データがあります。 Defender XDRが有効になっていない場合、これらのページには Microsoft Sentinel からのデータだけが含まれます。 統合された機能とポータル間の違いの詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関するページを参照してください。
既存の Microsoft Sentinel 機能の多くは、Defender ポータルに統合されています。 これらの機能については、Azure portalポータルと Defender ポータルでの Microsoft Sentinel のエクスペリエンスが似ている点に注意してください。 Defender ポータルで Microsoft Sentinel の操作を開始するには、次の記事を使用します。 これらの記事を使用する場合、このコンテキストの出発点は、Azure portalではなく Defender ポータルであることに注意してください。
Defender ポータルの [ System>Settings>Microsoft Sentinel] で Microsoft Sentinel の設定を探します。
プライマリ ワークスペースを変更する
一度に Defender ポータルに接続できるプライマリ ワークスペースは 1 つだけです。 ただし、プライマリ ワークスペースは変更できます。
- Defender ポータルで、System>Settings>Microsoft Sentinel>Workspaces に移動します。
- プライマリにするワークスペースの名前を選択します。
- [ プライマリとして設定] を選択します。
- プライマリ ワークスペースの変更に関連する製品の変更を読み、理解します。
- [ 確認] を選択して続行します。
Microsoft Sentinel のプライマリ ワークスペースを切り替えると、Defender XDR コネクタが新しいプライマリに接続され、前のプライマリから自動的に切断されます。 詳細については、 Defender ポータルの「複数の Microsoft Sentinel ワークスペース」を参照してください。
オフボード Microsoft Sentinel
Defender ポータルからワークスペースをオフボードする場合は、Microsoft Sentinel の設定からワークスペースを切断します。
ワークスペースにMicrosoft Defender XDR コネクタが構成されている場合、Defender ポータルからワークスペースをオフボードすると、Microsoft Defender XDR コネクタも切断されます。
Microsoft Defender ポータルに移動し、サインインします。
Defender ポータルの [システム] で、[設定>Microsoft Sentinel] を選択します。
[ワークスペース] ページ で 、接続されているワークスペースと [切断] ワークスペースを選択します。
ワークスペースを切断する理由を指定します。
選択内容を確認します。
ワークスペースが切断されると、Defender ポータルの左側のナビゲーションから Microsoft Sentinel セクションが削除されます。 Microsoft Sentinel からのデータは ホーム ページに含まれなくなりました。
別のワークスペースに接続する場合は、[ ワークスペース] ページでワークスペースと [ ワークスペースの接続] を選択します。