ベスト プラクティスのガイダンスは、Microsoft Sentinel の技術ドキュメント全体において提供されています。 この記事では、Microsoft Sentinel をデプロイ、管理、使用する場合に利用できる主要ないくつかのガイダンスに焦点を当てます。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
Microsoft Sentinel の使用を開始するには、展開ガイドを参照してください。このガイドでは、Microsoft Sentinel のデプロイを計画、デプロイ、および微調整するための大まかな手順について説明します。 このガイドで、デプロイの各ステージに関する詳細なガイダンスへのリンクを選択します。
単一プラットフォーム アーキテクチャを採用する
Microsoft Sentinel は、手頃な価格で長期的なストレージを提供する最新のデータ レイクと統合されており、チームはデータ管理を簡素化し、コストを最適化し、AI の導入を加速できます。 Microsoft Sentinel Data Lake は、セキュリティ データの単一プラットフォーム アーキテクチャを実現し、アナリストが Microsoft Sentinel の豊富なコネクタ エコシステムを活用しながら、統一されたクエリ エクスペリエンスを実現できるようにします。 詳細については、「 Microsoft Sentinel Data Lake 」を参照してください。
Microsoft Sentinel を Microsoft Defender ポータルにオンボードし、Microsoft Defender XDR と統合する
Microsoft Sentinel を Microsoft Defender ポータルにオンボードして、インシデント管理や高度なハンティングなどの Microsoft Defender XDR の機能と統合することを検討してください。
Microsoft Sentinel を Microsoft Defender ポータルにオンボードしない場合は、次の点に注意してください。
- 2026 年 7 月までに、Azure portal を使用しているすべての Microsoft Sentinel のお客様が Defender ポータルにリダイレクトされます。
- それまでは、 Defender XDR データ コネクタ を使用して、Azure portal で Microsoft Defender サービス データを Microsoft Sentinel と統合できます。
次の図では、Microsoft の XDR ソリューションが Microsoft Sentinel とシームレスに統合する方法が示されています。
詳細については、次の記事をご覧ください。
- Microsoft Defender XDR と Microsoft Sentinel の統合
- Microsoft Sentinel を Microsoft Defender XDR に接続する
- Microsoft Defender ポータルの Microsoft Sentinel
Microsoft セキュリティ サービスを統合する
Microsoft Sentinel は、ワークスペースにデータを送信するコンポーネントによって強化されており、他の Microsoft サービスとの統合によってより強力になります。 Microsoft Defender for Cloud Apps、Microsoft Defender for Endpoint、Microsoft Defender for Identity などの製品に取り込まれたログは、これらのサービスにより検知情報が作成され、その検知情報が Microsoft Sentinel に提供されます。 また、ログを Microsoft Sentinel に直接取り込んで、イベントやインシデントの全体像を把握することもできます。
Microsoft Sentinel には、他のソースからのアラートとログの取り込み以外にも、次の機能があります。
| 能力 | Description |
|---|---|
| 脅威の検出 | 人工知能を使用した脅威検出機能を使用すると、ブックを介して対話型ビジュアルを構築して提示したり、プレイブックを実行してアラートに自動的に対応したり、機械学習モデルを統合してセキュリティ操作を強化したり、脅威インテリジェンス プラットフォームからエンリッチメント フィードを取り込んだりフェッチしたりできます。 |
| 脅威の調査 | 脅威調査機能 を使用すると、アラートとエンティティの視覚化と探索、ユーザーとエンティティの動作の異常の検出、調査中のリアルタイム イベントの監視を行うことができます。 |
| データ収集 | オンプレミスと複数のクラウドの両方で、すべてのユーザー、デバイス、アプリケーション、インフラストラクチャにわたってデータを収集します。 |
| 脅威への対応 | Azure サービスや既存のツールと統合するプレイブックなどの脅威対応機能。 |
| パートナー統合 | Microsoft Sentinel データ コネクタを使用してパートナー プラットフォームと統合し、SOC チームに不可欠なサービスを提供します。 |
カスタム統合ソリューションを作成する (パートナー)
Microsoft Sentinel と統合するカスタム ソリューションを作成するパートナーについては、「Microsoft Sentinel と 統合するパートナーのベスト プラクティス」を参照してください。
インシデント管理と対応プロセスを計画する
次の図は、インシデント管理と応答プロセスで推奨される手順を示しています。
次の表に、インシデント管理と対応のタスクと、関連するベスト プラクティスを示します。 詳細については、 Azure portal の Microsoft Sentinel インシデント調査 、または Microsoft Defender ポータルのインシデントとアラートに関するページを参照してください。
| 課題 | ベスト プラクティス |
|---|---|
| [インシデントの確認] ページ | [ インシデント ] ページでインシデントを確認します。このページには、タイトル、重大度、および関連するアラート、ログ、および関心のあるエンティティが一覧表示されます。 また、インシデントから収集されたログや、インシデントに関連するツールにジャンプすることもできます。 |
| インシデント グラフを使用する | インシデントの インシデント グラフ を確認して、攻撃の全範囲を確認します。 その後、イベントのタイムラインを構築し、脅威チェーンの範囲を検出できます。 |
| 誤検知のインシデントを確認する | アカウント、URL、IP アドレス、ホスト名、アクティビティ、タイムラインなどの主要なエンティティに関するデータを使用して、 誤検知 が手元にあるかどうかを把握します。その場合は、インシデントを直接クローズできます。 インシデントが真陽性であることが判明した場合、 [インシデント] ページから直接アクションを起こし、ログやエンティティを調査し、脅威の連鎖を検査します。 脅威を特定し、アクション プランを作成したら、Microsoft Sentinel の他のツールおよび他の Microsoft セキュリティサービスを使用して、引き続き調査を行います。 |
| 情報を視覚化する | Microsoft Sentinel の概要ダッシュボードを見て、組織のセキュリティ体制を把握します。 詳細については、「収集データを視覚化する」を参照してください。 Microsoft Sentinel の概要ページの情報や傾向以外に、ブックも重要な調査ツールとなります。 たとえば、調査分析情報ブックを使用して、関連付けられているエンティティやアラートと共に特定のインシデントを調査します。 このブックを使用すると、関連するログ、アクション、およびアラートを表示することで、エンティティをより深く掘り下げていくことができます。 |
| 脅威を検出する | 根本原因の調査と検索では、組み込みの脅威検索クエリを実行し、セキュリティ侵害の兆候について結果を確認します。 詳細については、「Microsoft Sentinel の脅威ハンティング」を参照してください。 |
| ライブストリームを使用する | 調査中、または脅威の修復と根絶に関する措置を講じた後、ライブストリームを使用します。 ライブストリームを使用すると、残存する悪意あるイベントがないかどうかや、悪意のあるイベントがまだ継続しているかどうかをリアルタイムで監視できます。 |
| エンティティの動作 | Microsoft Sentinel のエンティティ行動を使用すると、ユーザーは特定のエンティティのアクションとアラートの確認や調査を行えます (アカウントやホスト名の調査など)。 詳細については、以下を参照してください: - Microsoft Sentinel でのユーザーとエンティティの動作分析 (UEBA) の有効化 - UEBA データを使用したインシデントの調査 - Microsoft Sentinel UEBA エンリッチメント リファレンス |
| Watchlists | 取り込まれたデータと、エンリッチ データなど外部ソースからのデータを結合するウォッチリストを使用します。 たとえば、組織または最近終了した従業員が使用する IP アドレス範囲のリストを作成します。 プレイブックでウォッチリストを使用することで、悪意のある IP アドレスをウォッチリストに追加するなど、エンリッチメント データを収集し、検知、脅威のハンティングや調査の際に使用できます。 インシデントの発生時にはウォッチリストを使用して調査データを格納し、調査が完了したらそれらを削除して、機密データが表示されないようにします。 詳細については、「Microsoft Sentinel のウォッチリスト」を参照してください。 |
データ収集とインジェストを最適化する
データ コネクタの優先順位付け、ログのフィルター処理、データ インジェストの最適化など、Microsoft Sentinel データ 収集のベスト プラクティスを確認します。
Kusto クエリ言語のクエリを高速化する
Kusto クエリ言語のベスト プラクティスを確認して、クエリを高速化します。
関連するコンテンツ
- Microsoft Sentinel 運用ガイド
- Microsoft Sentinel のオンボード
- 搭載されている Microsoft Sentinel データ レイク
- Microsoft Sentinel のデプロイ ガイド
- Microsoft Sentinel で MSSP の知的財産権を保護する