Microsoft Sentinel は、スケーラブルなクラウドネイティブのセキュリティ情報およびイベント管理 (SIEM) であり、組み込みの AI、自動化、脅威インテリジェンス、最新のデータ レイク アーキテクチャを使用して、マルチクラウドおよびマルチプラットフォーム環境全体でスケーラブルでコスト効率の高いセキュリティを実現します。 Microsoft Sentinel は、サイバー脅威の検出、調査、対応、プロアクティブな追求を提供し、これに企業全体を一目で見渡せるビューを使用できます。
Microsoft Sentinel には、Log Analytics や Logic Apps などの実績のある Azure サービスもネイティブで組み込まれており、AI を使用して調査と検出を強化します。 Microsoft の両方の脅威インテリジェンス ストリームを使用し、ユーザーが独自の脅威インテリジェンスを取り入れることもできます。
Microsoft Sentinel を使用すると、アナリストはクラウドやプラットフォーム間の攻撃を迅速かつ高い精度で予測し、阻止できます。 Microsoft Sentinel を使用して、一層複雑度が増す攻撃、アラート量の増加、長い解決時間枠のストレスを軽減します。 この記事では、Microsoft Sentinel の主な機能について説明します。
Microsoft Sentinel では、Azure Monitor の改ざん防止と不変性のプラクティスを継承します。 Azure Monitor は追加専用のデータ プラットフォームですが、コンプライアンスのためにデータを削除する規定が含まれています。
このサービスは Azure Lighthouse をサポートしているため、サービス プロバイダーは各自のテナントにサインインして、顧客から委任されたサブスクリプションやリソース グループを管理することができます。
すぐに使用できるセキュリティ コンテンツを有効にします
Microsoft Sentinel は、SIEM ソリューションにパッケージ化されたセキュリティ コンテンツを提供します。このソリューションを使用すると、データの取り込み、監視、アラート、追求、調査、対応を可能にし、さまざまな製品、プラットフォーム、サービスと連携できます。
詳細については、「Microsoft Sentinel のコンテンツとソリューションについて」を参照してください。
大規模なデータの収集
オンプレミスと複数のクラウド内の両方で、すべてのユーザー、デバイス、アプリケーション、インフラストラクチャ全体のデータを収集します。
![使用可能なコネクタの一覧を示す Defender ポータルの [Microsoft Sentinel データ コネクタ] ページのスクリーンショット。](media/overview/data-connector-list-defender.png#lightbox)
次の表では、Microsoft Sentinel のデータ収集のための主要な機能を示します。
| 機能 | 説明 | 概要 |
|---|---|---|
| すぐに使用できるデータ コネクタ | 多くのコネクタは、Microsoft Sentinel 用の SIEM ソリューションと共にパッケージ化され、リアルタイムの統合を提供します。 これらのコネクタには、Microsoft Entra ID、Azure アクティビティ、Azure Storage などの Microsoft ソースと Azure ソースが含まれます。 Microsoft 以外のソリューション向けの広範なセキュリティおよびアプリケーション エコシステムで、すぐに使用できるコネクタも提供されています。 一般的なイベント形式 (Syslog や REST-API) を使用して、データ ソースを Microsoft Sentinel に接続することもできます。 |
Microsoft Sentinel データ コネクタ |
| カスタム コネクタ | Microsoft Sentinel では、複数のソースからのデータの専用コネクタなしでの取り込みがサポートされます。 ご利用のデータ ソースを既存のソリューションを使用して Microsoft Sentinel に接続できない場合は、独自のデータ ソース コネクタを作成します。 | Microsoft Sentinel カスタム コネクタを作成するためのリソース。 |
| データの正規化 | Microsoft Sentinel では、クエリ時間とインジェスト時間の正規化の両方を使用して、さまざまなソースを統一され正規化されたビューに変換します。 | 正規化と Advanced Security Information Model (ASIM) |
Microsoft Sentinel データレイク
Microsoft Sentinel は、セキュリティ運用チームがデータ管理を簡素化し、コストを最適化し、AI の導入を加速できるように設計された最新のデータ レイクを提供します。 Microsoft Sentinel Data Lake は、コストとセキュリティの向上の間で組織が妥協する必要がなくなったため、手頃な価格の長期的なストレージを提供します。 セキュリティ運用チームは、Microsoft Sentinel エクスペリエンス内でインシデントをより迅速に解決し、データ分析ツールとの統合を通じて強化されるように可視性を強化しました。
| 機能 | 説明 | 概要 |
|---|---|---|
| コストとカバレッジを最適化する | シームレスなデータ階層化と一元化された管理エクスペリエンスを使用して、コストとカバレッジを管理します。 | Microsoft Sentinel のログ保持プラン |
| KQL 対話型探索 | KQL クエリを使用すると、Microsoft Sentinel データ レイク内のデータを対話形式で探索および分析できます。 詳細な分析のために、アドホック クエリの実行、スケジュールされたジョブの作成、データの分析層への昇格を行うことができます。 KQL クエリ エディターは、セキュリティ アナリストが長期的なデータを操作するための使い慣れたインターフェイスを提供します。 | KQL と Microsoft Sentinel データ レイク (概要) |
| 探索用のノートブック | Jupyter Notebook は Microsoft Sentinel データ レイク エコシステムの不可欠な部分であり、データ分析と視覚化のための強力なツールを提供します。 ノートブックは、Python と Apache Spark を使用してデータ レイクを操作できる Visual Studio Code 拡張機能によって提供されます。 ノートブックを使用すると、複雑なデータ変換を実行したり、機械学習モデルを実行したり、ノートブック環境内で直接視覚化を作成したりできます。 | ノートブック (概要) |
脅威を検出する
Microsoft の分析と類を見ない脅威インテリジェンスを使用して、過去に検出されたことのない脅威を検出し、擬陽性を最小限に抑えます。
次の表は、脅威検出のための Microsoft Sentinel の主要な機能を示しています。
| 容量 | 説明 | 概要 |
|---|---|---|
| Analytics | ノイズを減らし、確認して調査する必要があるアラートの数を最小限に抑えるのに役立ちます。 Microsoft Sentinel では、分析を使用してアラートをインシデントにグループ化します。 すぐに使用できる分析ルールをそのまま使用するか、それらを開始点として使用して独自のルールを作成できます。 Microsoft Sentinel には、ネットワークの動作をマップし、リソース全体の異常を探すためのルールも用意されています。 これらの分析では、さまざまなエンティティに関する信頼度の低いアラートを組み合わせて信頼度の高いセキュリティ インシデントにすることで、点を結び付けます。 | 難しい設定なしで脅威を検出する |
| MITRE ATT&CK のカバレッジ | Microsoft Sentinel は、取り込まれたデータを分析して脅威を検出し、調査を支援するだけでなく、MITRE ATT&CK® フレームワークの戦術と手法に基づいて組織のセキュリティ状態の性質と範囲を視覚化します。 | MITRE ATT&CK® フレームワークのセキュリティ カバレッジについて |
| 脅威インテリジェンス | 脅威インテリジェンスの多数のソースを Microsoft Sentinel に統合して、ご利用の環境内の悪意のあるアクティビティを検出し、情報に基づく対応の決定に関するコンテキストをセキュリティ調査担当者に提供します。 | Microsoft Sentinel の脅威インテリジェンス |
| ウォッチリスト | 指定したデータ ソースのデータをウォッチリストと Microsoft Sentinel 環境内のイベントと関連付けることができます。 たとえば、環境内の価値の高い資産、退職した従業員、またはサービス アカウントの一覧を含むウォッチリストを作成できます。 ウォッチリストは、検索、検出規則、脅威ハンティング、応答プレイブックで使用します。 | Microsoft Sentinel でのウォッチリスト |
| Workbooks | ブックを使用して対話型のビジュアル レポートを作成します。 Microsoft Sentinel には、データ ソースに接続するとすぐにデータ全体の分析情報をすばやく得ることができる、組み込みのブック テンプレートが付属しています。 または、独自のカスタム ブックを作成します。 | 収集されたデータを視覚化します。 |
脅威の調査
人工知能を使用して脅威を調査します。Microsoft の長年にわたるサイバー セキュリティ業務を活用しながら、疑わしいアクティビティを大規模に捜索します。
次の表は、脅威調査のための Microsoft Sentinel の主要な機能を示しています。
| 特徴量 | 説明 | 概要 |
|---|---|---|
| インシデント | Microsoft Sentinel の詳細調査ツールは、潜在的なセキュリティの脅威の範囲を把握し、根本的な原因を見つけるために役立ちます。 対話型グラフ上のエンティティを選択し、特定のエンティティについて興味がある質問をして、そのエンティティとその関連性を掘り下げて脅威の根本的な原因を突き止めることができます。 | Microsoft Sentinel でのインシデントの確認と調査 |
| 捜索 | MITRE フレームワークに基づく Microsoft Sentinel の強力な捜索検索およびクエリ ツールを使用すると、アラートがトリガーされる前に、組織のデータ ソース全体でセキュリティの脅威を予防的に捜索できます。 ハンティング クエリに基づいてカスタム検出ルールを作成します。 次に、これらの分析情報をセキュリティ インシデント レスポンダーにアラートとして表示します。 | Microsoft Sentinel での脅威のハンティング |
| Notebooks | Microsoft Sentinel は、機械学習、視覚化、およびデータ分析のための完全なライブラリを含む、Azure Machine Learning ワークスペースの Jupyter ノートブックをサポートしています。 Microsoft Sentinel でノートブックを使用して、Microsoft Sentinel データで実行できることのスコープを拡張します。 次に例を示します。 - 一部の Python 機械学習機能など、Microsoft Sentinel に組み込まれていない分析を実行します。 - カスタム タイムラインやプロセス ツリーなど、Microsoft Sentinel に組み込まれていないデータの可視化を作成します。 - オンプレミスのデータ セットなど、Microsoft Sentinel の外部にあるデータ ソースを統合します。 |
Jupyter ノートブックと Microsoft Sentinel ハンティング機能 |
迅速にインシデントに対応する
一般的なタスクを自動化し、Azure サービスと既存のツールと統合するプレイブックを使用してセキュリティ オーケストレーションを簡略化します。 Microsoft Sentinel のオートメーションおよびオーケストレーションは、新しいテクノロジが登場したり脅威が発生したりしたときにスケーラブルなオートメーションを可能にする高度に拡張可能なアーキテクチャを備えています。
Microsoft Sentinel のプレイブックは、Azure Logic Apps で構築されたワークフローに基づいています。 たとえば、ServiceNow チケット発行システムを使用している場合は、Azure Logic Apps を使用してワークフローを自動化し、特定のアラートやインシデントが生成されるたびに ServiceNow でチケットを開くことができます。
次の表では、脅威への対応のための Microsoft Sentinel の主要な機能を示します。
| 特徴量 | 説明 | 概要 |
|---|---|---|
| オートメーション ルール | さまざまなシナリオに対応する少数のルールセットを定義して調整することで、Microsoft Sentinel でのインシデント処理の自動化を一元的に管理します。 | 自動化ルールを使って Microsoft Sentinel の脅威への対応を自動化する |
| プレイブック | 修復アクションのコレクションであるプレイブックを使用して、脅威への対応を自動化および調整します。 プレイブックがオートメーション ルールによってトリガーされるときに、特定のアラートまたはインシデントに応答してオンデマンドまたは自動で実行されます。 Azure Logic Apps を使用してプレイブックを構築するために、ServiceNow、Jira などのさまざまなサービスやシステム用のコネクタがあり、常に拡大し続けているギャラリーから選択できます。 これらのコネクタを使用すると、任意のカスタム ロジックをワークフローに適用できます。 |
Microsoft Sentinel のプレイブックを使用して脅威への対応を自動化する すべての Logic Apps コネクタの一覧 |
Azure portal での Microsoft Sentinel の提供終了タイムライン
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 つまり、他の Microsoft Defender サービスを使用していない場合でも、Defender ポータルで Microsoft Sentinel を使用できます。
2026 年 7 月以降、Microsoft Sentinel は Defender ポータルでのみサポートされ、Azure portal を使用している残りの顧客は自動的にリダイレクトされます。
現在 Azure portal で Microsoft Sentinel を使用している場合は、スムーズな移行を確実に行い、Microsoft Defender によって提供される統合セキュリティ オペレーション エクスペリエンスを最大限に活用するために、今すぐ Defender ポータルへの切り替えの計画を開始することをお勧めします。
詳細については、以下を参照してください。
- Microsoft Defender ポータルの Microsoft Sentinel
- Microsoft Sentinel 環境を Defender ポータルに移行する
- すべての Microsoft Sentinel のお客様向けの Microsoft Defender ポータルへの移行の計画 (ブログ)
2025 年 7 月以降の新規顧客の変更
このセクションで説明する変更のために、新しい Microsoft Sentinel のお客様は、 テナントの最初のワークスペースを Microsoft Sentinel にオンボードしているお客様です。
2025 年 7 月以降、サブスクリプション所有者またはユーザー アクセス管理者のアクセス許可を持ち、Azure Lighthouse から委任されたユーザーではない新規のお客様は、Microsoft Sentinel へのオンボードと共に、ワークスペースが自動的に Defender ポータルにオンボードされます。
このようなワークスペースのユーザー (Azure Lighthouse から委任されたユーザーでもない) には、Azure portal の Microsoft Sentinel に、Defender ポータルにリダイレクトするリンクが表示されます。
次に例を示します。
このようなユーザーは、Defender ポータルでのみ Microsoft Sentinel を使用します。
関連するアクセス許可を持たない新規顧客は、Defender ポータルに自動的にオンボードされませんが、Azure portal には引き続きリダイレクト リンクが表示され、関連するアクセス許可を持つユーザーが手動でワークスペースを Defender ポータルにオンボードするよう求められます。
次の表は、これらのエクスペリエンスをまとめたものです。
| 顧客の種類 | エクスペリエンス |
|---|---|
| Microsoft Sentinel に対してワークスペースが既に有効になっているテナントに新しいワークスペースを作成している既存のお客様 | ワークスペースは自動的にオンボードされず、ユーザーにはリダイレクト リンクが表示されない |
| 任意のテナントに新しいワークスペースを作成する Azure Lighthouse の委任されたユーザー | ワークスペースは自動的にオンボードされず、ユーザーにはリダイレクト リンクが表示されない |
| Microsoft Sentinel にテナントの最初のワークスペースをオンボードする新規顧客 | - 必要なアクセス許可を持つユーザー は、ワークスペースを自動的にオンボードします。 このようなワークスペースの他のユーザーには、Azure portal のリダイレクト リンクが表示されます。 - 必要なアクセス許可を持たないユーザー は、ワークスペースを自動的にオンボードしません。 このようなワークスペースのすべてのユーザーには Azure portal にリダイレクト リンクが表示され、必要なアクセス許可を持つユーザーは、そのワークスペースを Defender ポータルにオンボードする必要があります。 |