Defender ポータルを使用すると、1 つのプライマリ ワークスペースと、Microsoft Sentinel用の複数のセカンダリ ワークスペースに接続できます。 この記事のコンテキストでは、ワークスペースは、Microsoft Sentinel が有効になっている Log Analytics ワークスペースです。
この記事は、主に、 統合セキュリティ操作のために Microsoft Sentinel を Microsoft Defender XDR と共に Defender ポータルにオンボードするシナリオに適用されます。 Microsoft Defender XDR を使用せずに Defender ポータルで Microsoft Sentinel を使用する場合でも、複数のワークスペースを管理できます。 ただし、Defender XDR がないため、プライマリ ワークスペースには Defender XDR データがないため、Defender XDR 機能にアクセスできません。
プライマリ ワークスペースとセカンダリ ワークスペース
Microsoft Sentinel を Defender ポータルにオンボードするときに、プライマリ ワークスペースを選択します。 Defender ポータルにオンボードするその他のワークスペースは、セカンダリ ワークスペースと見なされます。 Defender ポータルでは、Microsoft Sentinel のテナントごとに 1 つのプライマリ ワークスペースと最大 99 個のセカンダリ ワークスペースがサポートされます。
また、Microsoft Defender XDR がある場合、プライマリ ワークスペースからのアラートは Defender XDR データと関連付けられます。インシデントには、統合キュー内のプライマリ ワークスペースと Defender XDR の両方からのアラートが含まれます。 プライマリ ワークスペースを選択すると、インシデントとアラートの Defender XDR データ コネクタ がプライマリ ワークスペースにのみ接続されます。
このような場合:
| 面積 | 説明 |
|---|---|
| 以前に Defender XDR に接続されていたその他のワークスペース | 以前に Defender XDR コネクタに接続されていたその他のワークスペースはすべて切断され、セカンダリ ワークスペースとして機能します。 Defender XDR データはセカンダリ ワークスペースでは使用できません。Defender XDR データに基づいて以前に構成した分析ルールと自動化は機能しなくなりました。 |
| テナント ベースのアラートとスタンドアロン データ コネクタ | 他の Defender サービスを含む他の Microsoft サービスからのアラートは、テナントベースのアラートであり、特定のワークスペースではなくテナント全体に関連付けられます。 ワークスペース間での重複を防ぐには、これらのサービス用の直接のスタンドアロン データ コネクタを、セカンダリ ワークスペースの Microsoft Sentinel から切断する必要があります。 これにより、テナントベースのアラートがプライマリ ワークスペースにのみ表示されます。 オンボード時に、Microsoft Defender for Office 365、Microsoft Entra ID Protection、Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint、および Microsoft Defender for Identity 用のスタンドアロン データ コネクタが自動的に切断されます。 ワークスペースにアラートを含む他のスタンドアロンの Microsoft データ コネクタがある場合は、Defender ポータルにオンボードする前に、それらを切断してください。 |
| Defender XDR のアラートとインシデント | すべての Defender XDR アラートとインシデントは、プライマリ ワークスペースにのみ同期されます。 |
| インシデントの作成とアラートの関連付け | Defender ポータルでは、Microsoft Sentinel ワークスペース間でインシデントの作成とアラートの相関関係が分離されます。 セカンダリ ワークスペースのインシデントには、他のワークスペースや Defender XDR からのデータは含まれません。 |
| 1 つのプライマリ ワークスペースが必要 | 1 つのプライマリ ワークスペースが常に Defender ポータルに接続されている必要があります。 |
たとえば、複数の自律ワークスペースを持つ会社のグローバル SOC チームで作業しているとします。 このような場合は、Defender ポータルのグローバル SOC キューに、これらの各ワークスペースからのインシデントとアラートを表示したくない場合があります。 これらのワークスペースはセカンダリ ワークスペースとして Defender ポータルにオンボードされるため、Defender ポータルには、Defender データなしで Microsoft Sentinel としてのみ表示され、自律的に機能し続けます。 グローバル SOC ワークスペースを見ると、これらのセカンダリ ワークスペースのデータは表示されません。
Microsoft Entra ID テナント内に複数の Microsoft Sentinel ワークスペースがある場合は、グローバル セキュリティ オペレーション センターにプライマリ ワークスペースを使用することを検討してください。
ワークスペースを管理し、ワークスペース データを表示するためのアクセス許可
プライマリ ワークスペースとセカンダリ ワークスペースを管理するには、次のいずれかのロールまたはロールの組み合わせを使用します。
| 課題 | 必要なロールまたはロールの組み合わせ |
|---|---|
| プライマリ ワークスペースを接続する | 次のいずれか: - グローバル管理者とサブスクリプション所有者 - セキュリティ管理者とサブスクリプション所有者 - グローバル管理者かつユーザー アクセス管理者かつ Sentinel 共同作成者 - セキュリティ管理者とユーザー アクセス管理者と Sentinel 共同作成者 |
| プライマリ ワークスペースを変更する | 次のいずれか: - グローバル管理者 - セキュリティ管理者 |
| セカンダリ ワークスペースをオンボードまたはオフボードする | 次のいずれか: - グローバル管理者とサブスクリプション所有者 - セキュリティ管理者とサブスクリプション所有者 - グローバル管理者かつユーザー アクセス管理者かつ Sentinel 共同作成者 - セキュリティ管理者とユーザー アクセス管理者と Sentinel 共同作成者 - サブスクリプション所有者 - ユーザー アクセス管理者およびSentinel 投稿者 |
重要
Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
Microsoft Sentinel を Defender ポータルに接続すると、既存の Azure ロールベースのアクセス制御 (RBAC) アクセス許可を使用して、アクセス権を持つ Microsoft Sentinel の機能とワークスペースを表示して操作できます。
| ワークスペース | アクセス |
|---|---|
| プライマリ | プライマリ ワークスペースにアクセスできる場合は、ワークスペースと Defender XDR からデータを読み取って管理できます。 |
| セカンダリ | セカンダリ ワークスペースにアクセスできる場合は、ワークスペースからのみデータを読み取って管理できます。 セカンダリ ワークスペースには、Defender XDR データは含まれません。 |
例外: 既に 1 つのワークスペースを Defender ポータルにオンボードしている場合は、2025 年 1 月中旬までに AlertInfo テーブルと AlertEvidence テーブルでカスタム検出を使用して作成されたアラートが、すべてのユーザーに表示されます。
詳細については、「 Microsoft Sentinel のロールとアクセス許可」を参照してください。
プライマリ ワークスペースの変更
Microsoft Sentinel を Defender ポータルにオンボードしたら、プライマリ ワークスペースを変更できます。 Microsoft Sentinel のプライマリ ワークスペースを切り替えると、Defender XDR コネクタは新しいプライマリに接続され、前のプライマリから自動的に切断されます。
System>Settings>Microsoft Sentinel>Workspaces に移動して、Defender ポータルのプライマリ ワークスペースを変更します。
異なるビューにおけるワークスペースデータの範囲
Microsoft Sentinel のプライマリ ワークスペースとセカンダリ ワークスペースのデータを表示するための適切なアクセス許可がある場合は、次の表のワークスペース スコープが各機能に適用されます。
| 能力 | ワークスペース スコープ |
|---|---|
| 捜索 | Defender ポータルのブラウザー ページ上部にあるグローバル検索の結果は、ユーザーが表示する権限を持つすべての関連ワークスペースデータの集計ビューを提供します。 |
| インシデントの調査と対応、アラート >>インシデント | 統合キュー内の異なるワークスペースからのインシデントを表示するか、ワークスペースでビューをフィルター処理します。 |
| 調査と対応 > インシデントとアラート >Alerts | 統合キュー内のさまざまなワークスペースからのアラートを表示するか、ワークスペースでビューをフィルター処理します。 Defender ポータルでは、ワークスペースごとにアラートの相関関係がセグメント化されます。 |
| エンティティ: インシデントまたはアラートから、デバイス、ユーザー、またはその他のエンティティ資産を選択> | 1 つのエンティティ ページで、複数のワークスペースから関連するすべてのエンティティ データを表示します。 エンティティ ページは、すべてのワークスペースからのアラート、インシデント、タイムライン イベントを集計して、エンティティの動作に関するより深い分析情報を提供します。 [インシデントとアラート]、[タイムライン]、[分析情報] タブでワークスペースでフィルター処理します。 [ 概要 ] タブには、すべてのワークスペースから集計されたエンティティ メタデータが表示されます。 |
| 調査と対応 > ハンティング >高度なハンティング | ブラウザーの右上からワークスペースを選択します。 または、クエリでワークスペース演算子を使用して、複数のワークスペース間でクエリを実行します。 「複数のワークスペースのクエリを実行する」を参照してください。 クエリ結果にワークスペース名または ID が表示されません。 読み取り専用で、クエリや関数を含むワークスペースのすべてのログ データにアクセスします。 詳細については、 Microsoft Defender ポータルの「Microsoft Sentinel データを使用した高度なハンティング」を参照してください。 一部の機能は、プライマリ ワークスペースに限定されます。 - カスタム検出の作成 - API を使用したクエリ Log Analytics データのワークスペース間クエリは、引き続き Log Analytics の制限の対象となります。 |
| Microsoft Sentinel エクスペリエンス | Defender ポータルの Microsoft Sentinel セクションで、ページごとに 1 つのワークスペースのデータを表示します。 ほとんどのページで、ブラウザーの右上にある [ワークスペースの選択 ] を選択して、ワークスペースを切り替えます。 - [ブック] ページには、 プライマリ ワークスペースに関連付けられているデータのみが表示されます。 ワークスペース間分析ルールは、 クロスワークスペース分析ルールの制限と推奨事項の対象のままです。 |
| SOC の最適化 | データと推奨事項は、複数のワークスペースから集計されます。 |
ワークスペースの双方向同期
Azure portal と Defender ポータルの間のインシデント変更の同期方法は、それがプライマリ ワークスペースかセカンダリ ワークスペースかによって異なります。
| ワークスペース | 同期の動作 |
|---|---|
| プライマリ | Azure portal の Microsoft Sentinel の場合、Defender XDR インシデントは脅威管理>インシデント プロバイダー名が Microsoft XDR のIncidents に表示されます。 Azure ポータルまたは Defender ポータルで Defender XDR インシデントの状態、終了理由、または割り当てに変更を加えると、その変更はもう一方のインシデント キューにも反映されます。 詳細については、「 Microsoft Sentinel での Microsoft Defender XDR インシデントの操作と双方向同期」を参照してください。 |
| セカンダリ | セカンダリ ワークスペースに対して作成したすべてのアラートとインシデントは、Azure ポータルと Defender ポータルでそのワークスペースの間で同期されます。 ワークスペース内のデータは、他のポータルのワークスペースにのみ同期されます。 |
Insider Risk Management (IRM) のサポート
Microsoft Purview Insider Risk Management (IRM) アラートは、プライマリ ワークスペースにのみ関連付けられます。 Microsoft Defender XDR で IRM アラートがある場合は、ワークスペースを Defender ポータルにオンボードする前に、プライマリ ワークスペースの Microsoft Defender XDR コネクタに IRM を接続する必要があります。 これは、プライマリ ワークスペースで IRM アラートとインシデントを確実に使用できるようにするために必要です。 プライマリ ワークスペースに IRM アラートを表示しない場合は、代わりに Microsoft Defender XDR との統合をオプトアウトできます。
また、 Microsoft Sentinel データ コネクタ用の直接の Microsoft 365 Insider Risk Management コネクタ がいずれかのセカンダリ ワークスペースに接続されている場合は、ワークスペースを Defender ポータルにオンボードする前に切断する必要があります。