Microsoft Defender は、エンドポイント保護、クラウド セキュリティ、ID 保護、電子メール セキュリティ、脅威インテリジェンス、露出管理、SIEM を一元化されたプラットフォームに統合する統合されたサイバーセキュリティ ソリューションを提供します。 AI 主導の防御を使用して、組織が攻撃を予測して停止し、効率的で効果的なセキュリティ運用を保証します。
Microsoft Sentinel は、Microsoft Defender XDR を使用するか、独自に Microsoft Defender ポータルで一般公開されており、SIEM と XDR 全体で統一されたエクスペリエンスを提供することで、脅威の検出と対応の高速化と正確化、ワークフローの簡素化、運用効率の向上を実現します。
この記事では、Defender ポータルでの Microsoft Sentinel エクスペリエンスについて説明します。 Azure portal で Microsoft Sentinel を使用しているお客様は、使用可能な統合セキュリティ操作と最新の機能を利用するために、Microsoft Defender に移行することをお勧めします。 詳細については、「 Microsoft Sentinel 環境を Defender ポータルに移行する」を参照してください。
新機能および強化された機能
次の表では、Microsoft Sentinel の統合により、Defender ポータルで使用できる新機能または強化された機能について説明しています。 Microsoft は、Defender ポータル専用の機能を備えたこの新しいエクスペリエンスの革新を続けています。
| 機能性 | 説明 | 詳細情報 |
|---|---|---|
| 合理化された運用 | 1 つの統合インターフェイスからすべてのセキュリティ インシデント、アラート、調査を管理します。 - Defender ポータルのデバイス、ユーザー、IP アドレス、および Azure リソースの統合エンティティ ページには、Microsoft Sentinel および Defender データ ソースからの情報が表示されます。 これらのエンティティ ページでは、Defender ポータルでインシデントとアラートを調査するための拡張されたコンテキストを入手できます。 - 統合インシデント を使用すると、1 つの場所と Defender ポータルの 1 つのキューからセキュリティ インシデントを管理および調査できます。 Security Copilot を使用して、要約、応答、レポートを行います。 統合インシデントには、さまざまなソースからのデータ、セキュリティ情報とイベント管理 (SIEM) の AI 分析ツール、拡張検出と対応 (XDR) によって提供されるコンテキストと軽減ツールが含まれます。 - 高度なハンティング を使用して、異なるデータ セット間で 1 つのポータルからクエリを実行し、ハンティングをより効率的にし、コンテキスト切り替えの必要性を排除します。 Security Copilot を使用して、KQL の生成、Microsoft セキュリティ サービスと Microsoft Sentinel からのデータを含むすべてのデータの表示とクエリを行い、クエリや関数を含むすべての既存の Microsoft Sentinel ワークスペース コンテンツを使用して調査します。 |
-
Microsoft Sentinel でエンティティ ページを使用してエンティティを調査する - Microsoft Defender ポータルを使用したインシデント応答 - Security Copilot で Microsoft Sentinel インシデントを調査する - Microsoft Defender ポータルでの高度なハンティング 高度な追求における Security Copilot |
| 強化された脅威検出 | 高度な AI と機械学習を使用して、より迅速かつ正確な脅威の検出と対応を行います。 シグナル対ノイズ比の向上とアラートの相関関係の強化により、重大な脅威に迅速に対処できます。 | 統合セキュリティ操作の脅威検出 |
| 新機能 | セキュリティ インシデントの整理と管理のケース管理、忠実性の高い真陽性に対する侵害されたエンティティの修復の自動攻撃かく乱、自動インシデント要約やガイド付き対応アクションなどの埋め込み Security Copilot エクスペリエンスなどの堅牢なツールにアクセスします。 たとえば、Defender ポータルでインシデントを調査する場合は、Security Copilot を使用して スクリプトの分析、 ファイルの分析、 インシデント レポートの作成を行います。 高度なハンティングで脅威を検出する場合は、クエリ アシスタントを使用してすぐに 実行できる KQL クエリを作成 します。 |
-
ケース管理 - 自動攻撃の中断 - 自動インシデントの概要 - ガイド付き応答アクション - スクリプトを分析する - ファイルの分析 - インシデント レポートを作成する - すぐに実行できる KQL クエリを作成する |
| 可視性の向上とリスク露出の低減 | 攻撃パスを分析して、サイバー攻撃者が脆弱性を悪用する方法を確認します。 ガイド付き SOC 最適化の推奨事項を使用して、コストと露出を削減し、潜在的な影響に基づいてアクションに優先順位を付けます。 |
-
セキュリティ オペレーションを最適化する - SOC 最適化をプログラムで使用する - SOC の最適化による推奨事項のリファレンス |
| インシデント後のカスタマイズされた推奨事項 | Microsoft Security Exposure Management の活動に関連した推奨事項を活用して、同様のサイバー攻撃や反復的な攻撃を防止します。 | セキュリティ体制を強化するための Microsoft セキュリティ露出管理 |
| コストとデータの最適化 | お客様は、Defender ポータルで統一された一貫性のあるスキーマで、Microsoft Sentinel と Defender XDR の両方のデータにアクセスできます。 高度なハンティング生ログは、Microsoft Sentinel に取り込む必要なく、30 日間無料でハンティングできます。 |
Microsoft Sentinel にストリーミングされる Defender XDR テーブルに対して想定される内容 |
Defender ポータルでのみ Microsoft Sentinel を使用する制限付きまたは使用できない機能
Defender XDR またはその他のサービスが有効になっていない状態で Microsoft Sentinel を Defender ポータルにオンボードすると、次の機能が制限または使用できなくなります。
- Microsoft セキュリティ露出管理
- Microsoft Defender XDR によって提供されるカスタム検出規則
- Microsoft Defender XDR によって提供されるアクション センター
クイック リファレンス
統合インシデント キューなどの一部の Microsoft Sentinel 機能は、Defender ポータルの Microsoft Defender XDR と統合されています。 その他の多くの Microsoft Sentinel 機能は、Defender ポータルの Microsoft Sentinel セクションで利用できます。
次の図は、Defender ポータルの Microsoft Sentinel メニューを示しています。
![[Microsoft Sentinel] セクションを含む Defender ポータルの左側のナビゲーションのスクリーンショット。](media/microsoft-sentinel-defender-portal/navigation-defender-portal.png#lightbox)
次のセクションでは、Defender ポータルで Microsoft Sentinel 機能を検索する場所について説明します。これは、Defender ポータルに移行する既存のお客様を対象としています。 セクションは、Microsoft Sentinel が Azure portal に存在するように整理されています。
詳細については、「 Microsoft Sentinel 環境を Defender ポータルに移行する」を参照してください。
全般
次の表は、Azure portal の [全般] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。
| Azure Portal | Defender ポータル |
|---|---|
| 概要 | 概要 |
| ログ | 調査と対応>ハンティング>高度なハンティング |
| ニュースとガイド | 使用不可 |
| 検索 | Microsoft Sentinel>検索 |
脅威管理
次の表は、Azure portal の [脅威管理] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。
| Azure Portal | Defender ポータル |
|---|---|
| 事件 | 調査と対応>インシデントとアラート>事件 |
| ワークブック | Microsoft Sentinel>脅威管理>ワークブック |
| 狩猟 | Microsoft Sentinel>脅威の管理>狩猟 |
| ノートブック | Microsoft Sentinel>脅威の管理>ノートブック |
| エンティティの動作 |
ユーザー エンティティ ページ:資産>アイデンティティ>{user}>Sentinel イベント および デバイス エンティティ ページ:資産>デバイス>{device}>センチネル イベント また、ユーザー、デバイス、IP、Azure リソース エンティティの種類が表示されたら、インシデントとアラートから、そのエンティティ ページを見つけます。 |
| 脅威情報 | 脅威インテリジェンス>Intel の管理 |
| MITRE ATT&CK | Microsoft Sentinel>脅威の管理>MITRE ATT&CK |
コンテンツ管理
次の表は、Azure portal の [コンテンツ管理] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。
| Azure Portal | Defender ポータル |
|---|---|
| コンテンツ ハブ | Microsoft Sentinel>コンテンツ管理>コンテンツ ハブ |
| リポジトリ | Microsoft Sentinel>コンテンツ管理>リポジトリ |
| コミュニティ | Microsoft Sentinel>コンテンツ管理>コミュニティ |
構成
次の表は、Azure portal の [構成] セクションでの Azure portal と Defender ポータル間のナビゲーションの変更点を示しています。
| Azure Portal | Defender ポータル |
|---|---|
| ワークスペース マネージャー | 使用不可 |
| データ コネクタ | Microsoft Sentinel>構成>データ コネクタ |
| 解析学 |
Microsoft Sentinel>構成>分析 および 調査と対応>ハンティング>カスタム検出ルール |
| ウォッチリスト | Microsoft Sentinel>構成>ウォッチリスト |
| オートメーション | Microsoft Sentinel>構成>オートメーション |
| [設定] | システム>> |