Defender に接続されている Microsoft Sentinel ワークスペースの場合、階層化と保持の管理は、Defender ポータルの新しいテーブル管理エクスペリエンスから行う必要があります。 接続されていない Microsoft Sentinel ワークスペースの場合は、以下で説明するエクスペリエンスを引き続き使用して、ワークスペース内のデータを管理します。
ログの収集と保持には、脅威検出プログラムを成功させるために不可欠な 2 つの競合する側面があります。 一方では、可能な限り包括的なセキュリティ カバレッジを実現できるように、収集するログ ソースの数を最大化したいところです。 一方では、すべてのデータのインジェストによって発生するコストを最小限に抑える必要があります。
これらの競合するニーズには、データ アクセシビリティ、クエリ パフォーマンス、ストレージ コストのバランスを取るログ管理戦略が必要です。
この記事では、データのカテゴリと、データの保存とアクセスに使用される保持状態について説明します。 また、Microsoft Sentinel が提供するログ層を説明しており、ログ管理およびリテンション戦略の構築に役立ちます。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
取り込まれたデータのカテゴリ
Microsoft では、Microsoft Sentinel に取り込まれたデータを次の 2 つの一般的なカテゴリに分類することをお勧めします。
プライマリ セキュリティ データは、重要なセキュリティ値を含むデータです。 このデータは、リアルタイムのプロアクティブな監視、スケジュールされたアラート、セキュリティの脅威を検出する分析に使用されます。 データは、すべての Microsoft Sentinel エクスペリエンスでほぼリアル タイムですぐに使用できる必要があります。
セカンダリ セキュリティ データは補足データであり、多くの場合、大量の詳細なログに含まれます。 このデータのセキュリティ上の価値は限られていますが、検出と調査にさらなる情報とコンテキストを提供し、セキュリティ インシデントの全体像を把握するのに役立ちます。 すぐに使用できる必要はありませんが、必要に応じて、適切な分量でオンデマンドでアクセスできる必要があります。
プライマリ セキュリティ データ
このカテゴリは、組織にとって重要なセキュリティ値を保持するログで構成されます。 セキュリティ操作の主なセキュリティ データのユース ケースは次のとおりです。
頻繁な監視。 脅威検出 (分析) 規則は、このデータに対して頻繁な間隔またはほぼリアル タイムで実行されます。
オンデマンド ハンティング。 このデータに対して複雑なクエリが実行され、対話型でハイパフォーマンスなセキュリティ脅威のハンティングが実行されます。
相関関係。 これらのソースのデータは、脅威を検出し、攻撃ストーリーを構築する他のプライマリ セキュリティ データ ソースのデータと関連付けられています。
定期的なレポート。 セキュリティと一般の意思決定者の両方にとって、これらのソースのデータは、組織のセキュリティ正常性に関する定期的なレポートに編集するためにすぐに使用できます。
行動分析。 これらのソースのデータは、ユーザーとデバイスのベースライン行動プロファイルを構築するために使用され、異常な行動を疑わしいものとして特定できるようになります。
プライマリ データ ソースの例を次に示します。
- ウイルス対策またはエンタープライズ検出および応答 (EDR) システムからのログ
- 認証ログ
- クラウド プラットフォームからの監査証跡
- 脅威インテリジェンス フィード
- 外部システムからのアラート
プライマリ セキュリティ データを含むログは、 分析層を使用して格納する必要があります。
セカンダリ セキュリティ データ
このカテゴリには、個々のセキュリティ値が制限されているものの、セキュリティ インシデントまたは侵害の包括的なビューを提供するために不可欠なログが含まれます。 通常、これらのログは大量であり、詳細な場合があります。 このデータのセキュリティ オペレーションのユース ケースには次のとおりです。
脅威インテリジェンス。 プライマリ データを侵害インジケーター (IoC) または攻撃インジケーター (IoA) の一覧と照合して、脅威を迅速かつ簡単に検出できます。
アドホックなハンティングと調査。 データは 30 日間対話形式でクエリできるため、脅威ハンティングと調査のための重要な分析が容易になります。
大規模な検索。 ペタバイト規模のデータをバックグラウンドで取り込み、検索できる一方で、最小限の処理で効率的に保存できます。
KQL ジョブを使用した要約。 大量のログを集計情報にまとめ、分析レベルに結果を格納します。
セカンダリ データ ログ ソースの例としては、クラウド ストレージ アクセス ログ、NetFlow ログ、TLS/SSL 証明書ログ、ファイアウォール ログ、プロキシ ログ、IoT ログなどがあります。
セカンダリ セキュリティ データを含むログの場合は、 Microsoft Sentinel Data Lake を使用します。これは、高度なセキュリティとコンプライアンスのシナリオに合わせてスケーラビリティ、柔軟性、統合機能を強化するように設計されています。
ログ管理レベル
Microsoft Sentinel には、取り込まれたデータのこれらのカテゴリに対応するために、2 つの異なるログ ストレージ層 (種類) が用意されています。
分析層プランは、プライマリ セキュリティ データを格納し、高パフォーマンスで簡単かつ常にアクセスできるように設計されています。
Data Lake レベルは、アクセシビリティを維持しながら、長期間にわたってセカンダリ セキュリティ データをコスト効率に優れた方法で格納するために最適化されています。
Analytics 層
分析レベルでは、既定で 90 日間、データを対話型の保持状態に保持し、最大 2 年間拡張可能です。 この対話型の状態はコストがかかりますが、クエリごとの料金は発生せず、無制限に、ハイ パフォーマンスでデータのクエリを実行できます。
データレイク層
Microsoft Sentinel Data Lake は、セキュリティ データを大規模に統合して保持するフル マネージドの最新のデータ レイクであり、複数のモダリティと AI エージェントを利用した脅威検出にわたる高度な分析を可能にします。 セキュリティ チームは、長期的な脅威の調査、アラートの強化、数か月分のデータを使用した行動ベースラインの構築を支援します。
合計リテンション期間が分析レベルのリテンション期間よりも長く構成されている場合、または分析層のリテンション期間が終了しても、分析層のリテンション期間を超えて格納されたデータは引き続き Data Lake レベルでアクセスできます。
関連コンテンツ
- Microsoft Sentinel Data Lake の詳細については、 Microsoft Sentinel Data Lake に関する説明を参照してください。
- Microsoft Sentinel Data Lake にオンボードするには、「Microsoft Sentinel Data Lake へのデータのオンボード」を参照してください。