Microsoft Sentinel の導入

2025-09-04

このクイックスタートでは、Microsoft Sentinel を有効にして、コンテンツハブからソリューションをインストールします。次に、データコネクタを設定して、Microsoft Sentinel へのデータの取り込みを開始します。

Microsoft Sentinel には、Microsoft Defender XDR サービス間コネクタなど、Microsoft 製品用の多くのコネクタが付属しています。また、Syslog や Common Event Format (CEF) など、Microsoft 以外の製品用の組み込みコネクタを有効にすることもできます。このクイックスタートでは、Microsoft Sentinel 用の Azure アクティビティソリューションで使用できる Azure アクティビティデータコネクタを使用します。

API を使用して Microsoft Sentinel にオンボードするには、サポートされている最新バージョンの Sentinel オンボードの状態を参照してください。

前提条件

アクティブな Azure サブスクリプション。お持ちでない場合は、開始する前に無料アカウントを作成してください。
アクセス許可:
- Microsoft Sentinel を有効にするには、Microsoft Sentinel ワークスペースが存在するサブスクリプションへの共同作成者のアクセス許可が必要です。
- Microsoft Sentinel を使用するには、ワークスペースが属しているリソースグループに対する Microsoft Sentinel 共同作成者またはMicrosoft Sentinel 閲覧者のいずれかのアクセス許可が必要です。
- コンテンツハブでソリューションをインストールまたは管理するには、ワークスペースが属するリソースグループに対する Microsoft Sentinel 共同作成者ロールが必要です。
- 新しい Microsoft Sentinel のお客様で、サブスクリプション所有者またはユーザーアクセス管理者のアクセス許可を持っている場合、ワークスペースは自動的に Defender ポータルにオンボードされます。このようなワークスペースのユーザーは、 Defender ポータルでのみ Microsoft Sentinel を使用します。
Microsoft Sentinel は有料サービスです。価格オプションと「Microsoft Sentinel の価格」ページを確認します。
運用環境に Microsoft Sentinel をデプロイする前に、Microsoft Sentinel をデプロイするためのデプロイ前アクティビティと前提条件を確認してください。

Log Analytics ワークスペースを作成する

Microsoft Sentinel をワークスペースに追加する必要があります。 Log Analytics ワークスペースが既にある場合は、 Log Analytics ワークスペースへの Microsoft Sentinel の追加に進んでください。 Log Analytics ワークスペースがまだない場合は、以下の手順を使用して作成するか、詳細な説明については、「 Log Analytics ワークスペースの作成」を参照してください。 Log Analytics ワークスペースの詳細については、「Azure Monitor ログのデプロイの設計」を参照してください。

Microsoft Sentinel に使用される Log Analytics ワークスペースに既定の 30 日の保持期間が設定されている場合があります。 Microsoft Sentinel のすべての機能を使用できるようにするには、保持期間を 90 日間に引き上げてください。データ保持とアーカイブの各ポリシーを Azure Monitor ログで構成します。

Azure Portal にサインインします。
Microsoft Sentinel を検索して選択します。
［作成］ を選択します
[ 新しいワークスペースの作成] を選択します。
[ サブスクリプション>リソースグループ] で、[ 新規作成] を選択します。リソースグループの名前を入力し、[ OK] を選択します。
ワークスペースに名前を付けてリージョンを選択し、[ 確認と作成] を選択します。 ( Log Analytics が使用可能なリージョンを確認してください)。
検証に合格したら、[ 作成] を選択します。デプロイが完了するまで待ちます。

Log Analytics ワークスペースに Microsoft Sentinel を追加する

Azure portal で、Microsoft Sentinel を検索して選択します。
［作成］ を選択します
使用するワークスペースを選択し、[ 追加] を選択します。 Microsoft Sentinel は複数のワークスペースで実行できますが、データは 1 つのワークスペースに分離されます。
- Microsoft Defender for Cloud によって作成された既定のワークスペースは一覧に表示されません。これらのワークスペースに Microsoft Sentinel をインストールすることはできません。
- Microsoft Sentinel は、一度ワークスペースにデプロイされると、そのワークスペースを他のリソースグループやサブスクリプションに移動することをサポートしていません。

注

ワークスペースが自動的に Defender ポータルにオンボードされない場合は、Microsoft Sentinel と他の Microsoft セキュリティサービスの両方でセキュリティ操作 (SecOps) を管理する際の統合されたエクスペリエンスのためにオンボードすることをお勧めします。詳細については、「 Microsoft Sentinel を Defender ポータルにオンボードする」を参照してください。

ワークスペースが自動的にオンボードされている場合、またはワークスペースを今すぐオンボードする場合は、Defender ポータルからこの記事の手順を続行できます。 Defender ポータルを初めて使用する場合は、プロセスが完了するまでに数分の遅延が発生します。

Defender ポータルで Microsoft Sentinel にアクセスする

Defender ポータルで Microsoft Sentinel にアクセスするには:

Defender ポータルにサインインします。

Defender ポータルに初めてアクセスするときは、テナントのプロビジョニングに時間がかかります。
プロビジョニングされると、ナビゲーションペインで Microsoft Sentinel が使用できるようになり、Microsoft Sentinel のノードが入れ子構造で表示されます。例えば次が挙げられます。
ナビゲーションウィンドウで下にスクロールし、Microsoft Sentinel > ワークスペース>設定を選択して、Defender ポータルにオンボードされ、使用可能なワークスペースを表示します。

Defender ポータルでは複数のワークスペースがサポートされ、1 つのワークスペースがテナントごとにプライマリワークスペースとして機能します。詳細については、 Defender ポータルの複数の Microsoft Sentinel ワークスペースと Microsoft Defender マルチテナント管理に関する説明を参照してください。

コンテンツハブからソリューションをインストールする

Microsoft Sentinel のコンテンツハブは、データコネクタを含むすぐに使用できるコンテンツを検出して管理するための一元的な場所です。このクイックスタートでは、Azure アクティビティ用のソリューションをインストールします。

Microsoft Sentinel で、[ コンテンツハブ ] ページを参照し、 Azure アクティビティ ソリューションを見つけて選択します。
- Defender ポータル
- Azure Portal
右側のソリューションの詳細ウィンドウで、[インストール] を選択 します。

データコネクタを設定する

Microsoft Sentinel でサービスとアプリからのデータを取り込むには、サービスに接続して、Microsoft Sentinel にイベントとログを転送します。このクイックスタートでは、データコネクタをインストールして、Azure アクティビティのデータを Microsoft Sentinel に転送します。

Microsoft Sentinel で、 Configuration>Data コネクタ を選択し、 Azure アクティビティ データコネクタを検索して選択します。
コネクタの詳細ウィンドウで、[ コネクタページを開く] を選択します。 Azure アクティビティ コネクタページの手順を使用して、データコネクタを設定します。
1. [[Azure Policy の割り当て] ウィザードの起動] を選択します。
2. [基本] タブで、[スコープ] を、Microsoft Sentinel に送信するアクティビティがあるサブスクリプションとリソースグループに設定します。たとえば、Microsoft Sentinel インスタンスを含むサブスクリプションを選択します。
3. [ パラメーター ] タブを選択し、 プライマリ Log Analytics ワークスペースを設定します。これは、Microsoft Sentinel がインストールされているワークスペースである必要があります。
4. [確認と作成]、[作成] の順に選択します。

アクティビティデータを生成する

Microsoft Sentinel 用の Azure アクティビティソリューションに含まれていたルールを有効にして、いくつかのアクティビティデータを生成してみましょう。この手順では、コンテンツハブでコンテンツを管理する方法も示します。

Microsoft Sentinel で[コンテンツハブ]を選択し、Azure アクティビティ ソリューションで疑わしいリソースデプロイルールテンプレートを検索して選択します。
詳細ウィンドウで、[ルールの作成 ] を選択し、 分析ルールウィザードを使用して新しいルールを作成します。
[分析ルールウィザード - 新しいスケジュールされたルールの作成] ページで、[状態] を [有効] に変更します。

このタブとウィザードの他のすべてのタブでは、既定値をそのまま使用します。
[確認と作成] タブで、[作成] を選択します。

Microsoft Sentinel に取り込まれたデータを表示する

Azure アクティビティデータコネクタを有効にし、いくつかのアクティビティデータを生成したので、ワークスペースに追加されたアクティビティデータを表示しましょう。

Microsoft Sentinel で、 Configuration>Data コネクタ を選択し、 Azure アクティビティ データコネクタを検索して選択します。
コネクタの詳細ウィンドウで、[ コネクタページを開く] を選択します。
データコネクタの [状態] を確認します。 [接続済み] である必要があります。
使用しているポータルに応じて、続行するタブを選択します。
- Defender ポータル
- Azure Portal
1. [ ログ分析に移動] を選択して 、[高度なハンティング ] ページを開きます。
2. ペインの上部にある [ 新しいクエリ ] タブの横にある + を選択して、新しいクエリタブを追加します。
3. 次のクエリを実行して、ワークスペースに取り込まれたアクティビティの日付を表示します。
```
AzureActivity
```
例えば次が挙げられます。
1. [ クエリに移動] を 選択して、Azure portal で [ログ ] ページを開きます。
2. ペインの上部で、[新しいクエリ 1] タブの横にある + を選択して、新しいクエリタブを追加します。
3. 側で、 単純モード から KQL モードに切り替え、次のクエリを実行して、ワークスペースに取り込まれたアクティビティの日付を表示します。
```
AzureActivity
```
例えば次が挙げられます。

次の手順

このクイックスタートでは、Microsoft Sentinel を有効にして、コンテンツハブからソリューションをインストールしました。次に、データコネクタを設定して、Microsoft Sentinel へのデータの取り込みを開始しました。また、ワークスペース内でデータを表示することで、データが取り込まれていることも確認しました。

Defender ポータルに自動的にオンボードされた新しい顧客の場合、ユーザーは Defender ポータルでのみ Microsoft Sentinel にアクセスします。 Microsoft Sentinel のドキュメントを使用するときは、必ず Defender ポータルのバージョンのドキュメントを選択してください。

ダッシュボードとブックを使用して収集したデータを視覚化するには、「収集されたデータの視覚化」を参照してください。
分析ルールを使用して脅威を検出するには、「チュートリアル: Microsoft Sentinel で分析ルールを使用して脅威を検出する」を参照してください。

フィードバック

このページはお役に立ちましたか?