Microsoft Sentinel Data Lake へのオンボード (プレビュー)

Microsoft Defender ポータルで使用できる Microsoft Sentinel Data Lake は、テナント全体にわたるリポジトリであり、さまざまなソースから大量のセキュリティ関連データを収集、格納、管理できます。 これにより、セキュリティランドスケープ全体の包括的で統一された分析と可視性が可能になります。 高度な分析、機械学習、人工知能を活用することで、Data Lake は脅威の検出、インシデントの調査と対応、全体的なセキュリティ体制の改善に役立ちます。

詳細については、「 Microsoft Sentinel Data Lake とは (プレビュー)」を参照してください。

オンボーディングでは、次の変更が行われます。

オンボーディングが完了すると、次の変更を行います。

• 選択したサブスクリプションとリソース グループに対して Data Lake がプロビジョニングされます。

• Microsoft Entra テナント のホーム リージョンと同じリージョンにある Microsoft Defender に接続されているプライマリ ワークスペースとその他のワークスペースは、Microsoft Sentinel データ レイクに接続されます。 接続されていないワークスペースは、データ レイクにアタッチされません。

• Microsoft Sentinel データ レイクが有効になると、Microsoft Sentinel 分析レベルのデータは、その時点から Microsoft Sentinel データ レイク層でも追加料金なしで利用できます。 既存の Microsoft Sentinel ワークスペース コネクタを使用して、分析層とデータ レイク層の両方、またはデータ レイク層のみに新しいデータを取り込むことができます。

• 初めてインジェストを有効にするか、レベル間でインジェストを切り替える場合、データがテーブルに表示されるまでに 90 ~ 120 分かかります。 データ レイク層に対してインジェストが有効になると、データはデータ レイクと分析層テーブルに同時に表示されます。

• Microsoft 資産に関連するデータは自動的に取り込まれます。

  • Microsoft Entra
  • Microsoft 365
  • Azure Resource Graph

• 組織が現在 Microsoft Sentinel SIEM (セキュリティ情報とイベント管理) を使用している場合、検索ジョブとクエリ、補助ログ、長期保有期間 ("アーカイブ" とも呼ばれます) などの機能の課金と価格は、Microsoft Sentinel データ レイクベースの課金に切り替え、コストが増加する可能性があります。

• 補助ログ テーブルは、Microsoft Sentinel データ レイクに統合されます。 Microsoft Sentinel データ レイクにオンボードされている Microsoft Defender 接続ワークスペースの補助テーブルは、データ レイクの不可欠な部分となり、データ レイクのクエリやジョブで使用できるようになります。 オンボード後、補助ログ テーブルは Microsoft Defender Advanced ハンティングでは使用できなくなります。 代わりに、Defender ポータルでデータ レイク探索 KQL クエリを使用してアクセスできます。

• マネージド ID は、プレフィックス msg-resources- の後に guid が続く状態で作成されます。 このマネージド ID は、データ レイク機能に必要です。 この ID には、Data Lake にオンボードされたサブスクリプションに対する Azure 閲覧者 ロールがあります。 このマネージド ID から必要なアクセス許可を削除したり削除したりしないでください。 分析レベルでカスタム テーブルの作成を有効にするには、関連する Log Analytics ワークスペースのこの ID に Log Analytics 共同作成者 ロールを割り当てます。 詳細については、「 Microsoft Sentinel Data Lake での KQL ジョブの作成 (プレビュー)」を参照してください。

Microsoft Sentinel データ レイクにオンボードしたら、Defender ポータルで次の機能を使用できます。

• データ レイク探索 KQL クエリ
• Microsoft Sentinel データ レイク ジョブ
• データ層とリテンション期間の管理
• Microsoft Sentinel のコスト管理

この記事では、現在 Microsoft Defender と Microsoft Sentinel を使用しているお客様のために Microsoft Sentinel データ レイクにオンボードする方法について説明します。 新しい Microsoft Sentinel のお客様は、Microsoft Defender ポータルへの最初のオンボード後に、この手順に従うことができます。

Prerequisites

Microsoft Sentinel Data Lake Public Preview にオンボードするには、次の前提条件を満たす既存の Microsoft Defender および Microsoft Sentinel のお客様である必要があります。

• データ レイクをオンボードするには、Microsoft Defender (security.microsoft.com) と Microsoft Sentinel が必要です。 Microsoft Defender ポータルで Microsoft Sentinel データ レイクと Microsoft Sentinel を使用するには、Microsoft Defender XDR ライセンスは必要ありません。

• Data Lake の課金を設定するには、既存の Azure サブスクリプションとリソース グループが必要です。 自分がサブスクリプションの所有者でなければなりません。 既存の Microsoft Sentinel SIEM Azure サブスクリプションとリソース グループを使用することも、新しいサブスクリプションを作成することもできます。

• Microsoft Defender ポータルに接続されている Microsoft Sentinel プライマリ ワークスペースが必要です。

• テナントのホーム リージョンと同じリージョンに、Microsoft Sentinel プライマリ ワークスペースとその他のワークスペースが必要です。

• データ レイクにアタッチできるように、プライマリ ワークスペースとその他のワークスペースに対する読み取り特権が必要です。 パブリック プレビューでは、プライマリ ワークスペースとすべてのワークスペースをデータ レイクにアタッチすることは、テナント のホーム リージョンと同じリージョンにある場合にのみサポートされます。

課金を設定し、データ レイクへの資産データの取り込みを承認するために必要な次のロール。

• 課金設定用の Azure サブスクリプション所有者。
• Microsoft Entra グローバル管理者、または Microsoft Entra、Microsoft 365、Azure からのデータ インジェスト承認のためのセキュリティ管理者。
• データ レイクへのアタッチを有効にするための、すべてのワークスペースへの読み取りアクセス。

既存の Microsoft Sentinel ワークスペース

Microsoft Sentinel データ レイクは、Defender ポータルに接続されている Microsoft Sentinel ワークスペースのデータをミラー化します。 Microsoft Sentinel ワークスペースをデータ レイクに含めるには、Defender ポータルに接続する必要があります。 Microsoft Sentinel を Defender ポータルに接続し、データ レイクにオンボードする場合は、プライマリ ワークスペースがテナントのホーム地理的リージョンにある必要があります。 Microsoft Sentinel を Defender ポータルに接続していない場合は、オンボード後に Microsoft Sentinel ワークスペースを Defender ポータルに接続でき、データはデータ レイクにミラー化されます。 詳細については、「Microsoft Sentinel を Microsoft Defender ポータルに接続する」を参照してください。

Onboarding steps

Microsoft Sentinel データ レイクへのテナントのオンボードは 1 回行われ、Microsoft Defender ポータルから開始されます。 オンボード プロセスでは、オンボード プロセスの間に指定されたサブスクリプションに、テナント用の新しい Microsoft Sentinel データ レイクが作成されます。

Defender ポータルから Microsoft Sentinel データ レイクにオンボードするには、次の手順に従います。

1. https://security.microsoft.comで Defender ポータルにサインインします。

2. ページの上部にバナーが表示され、Microsoft Sentinel データ レイクにオンボードできることを示します。 [Get started](作業を開始する) を選択します。

   

   Note

   バナーを誤って閉じた場合は、 System>Settings>Microsoft Sentinel>Data lake のデータ レイク設定ページに移動してオンボードを開始できます。

3. データ レイクを設定するための適切なロールがない場合は、必要なアクセス許可がないことを示すサイド パネルが表示されます。 管理者がオンボード プロセスを完了することを要求します。

   

4. 必要なアクセス許可がある場合は、セットアップのサイド パネルが表示されます。 サブスクリプションとリソース グループを選択して、Microsoft Sentinel データ レイクの課金を有効にします。

5. [ データ レイクの設定] を選択します。

   

6. セットアップ プロセスが開始され、次のサイド パネルが表示されます。 プロセスの実行中にセットアップ パネルを閉じます。

   

7. セットアップ プロセスの実行中に、Defender ポータルのホーム ページに次のバナーが表示されます。 [ セットアップの詳細の表示 ] を選択してパネルを再度開き、進行状況を確認できます。

   

8. オンボード プロセスが完了すると、新しい Data Lake エクスペリエンスの使用を開始する方法に関する情報カードを含む新しいバナーが表示されます。 たとえば、[ データ レイクのクエリ] を選択して、Data Lake 探索 KQL クエリ エディターを開きます。 KQL クエリは、Defender ポータルの新機能であり、KQL を使用して Microsoft Sentinel データ レイク内のデータを探索および分析できます。 詳細については、 Data Lake の探索、KQL クエリに関する説明を参照してください。

   

Troubleshooting

セットアップ プロセス中に問題が発生した場合は、次のトラブルシューティングのヒントを参照してください。

• Microsoft Sentinel データ レイクに参加するために必要なロールがあることを確認してください。
• 選択したサブスクリプションとリソース グループが有効でアクセス可能であることを確認します。
• Azure ポリシーで新しいリソースを作成して Microsoft Sentinel データ レイクを有効にすることを確認します。
• 新しく有効になったテーブルまたは層間で移動されたテーブルのデータは、オンボード プロセスが完了してから 90 分から 120 分後に使用できます。

オンボード プロセス中に発生する可能性があるエラーを次に示します。

DL101

エラー: セットアップを完了できません。 説明: プライマリ Microsoft Sentinel ワークスペース リージョンと Microsoft Entra テナントの本拠地が異なります。 解決策: プレビューの場合、地理的リージョンは同じである必要があります。 Microsoft Entra テナントと同じ地理的リージョンにプライマリ ワークスペースがあることを確認します。

DL102

エラー: セットアップを完了できません。 説明: プロビジョニング時にリージョンに Azure リソースが不足しています。 解決策: 再試行ボタンを選択してセットアップを再度開始します。

DL103

エラー: セットアップを完了できません。 説明: Data Lake を有効にするために必要な Azure マネージド リソースの作成を妨げるポリシーが有効になっています。 解決策: Azure ポリシーを確認して、Azure マネージド リソースの作成を許可します。

Related content

• Microsoft Sentinel Data Lake の概要 (プレビュー)
• Microsoft Sentinel Data Lake のロールとアクセス許可
• Microsoft Sentinel データ レイクの課金
• Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) を使用してカスタム ロールを作成する