Microsoft Sentinelは、Microsoft Defender XDRまたは E5 ライセンスの有無にかかわらず、Microsoft Defender ポータルで一般公開されています。 Defender ポータルでMicrosoft SentinelをMicrosoft Defender XDR サービスと共に使用すると、インシデント管理や高度なハンティングなどの機能を統合できます。 ツールの切り替えを減らし、インシデント対応を迅速化し、侵害を迅速に停止する、よりコンテキストに焦点を当てた調査を構築します。
この記事は、Microsoft Sentinel ワークスペースがまだ Defender ポータルに接続されていないお客様に関連します。 多くの場合、2025 年 7 月 1 日以降にMicrosoft Sentinelにオンボードするお客様は、自動的に Defender ポータルにオンボードされます。
詳細については、以下を参照してください:
- 統合セキュリティ操作とは
- Microsoft Defender ポータルの Microsoft Sentinel
- Microsoft Defender XDRとMicrosoft Sentinelの統合
前提条件
開始する前に、機能ドキュメントを確認して、製品の変更と制限事項を理解してください。
- Microsoft Defender ポータルの Microsoft Sentinel
- Microsoft Defender ポータルでの高度な捜索
- Microsoft Defender XDRでのアラート、インシデント、相関関係
- Defender ポータルで自動化をMicrosoft Sentinelする
Microsoft Defender ポータルでは、1 つのMicrosoft Entra テナントと、プライマリ ワークスペースと複数のセカンダリ ワークスペースへの接続がサポートされています。 Microsoft Sentinelオンボード時にワークスペースが 1 つだけの場合、そのワークスペースはプライマリ ワークスペースとして指定されます。 詳細については、「Defender ポータルの複数のMicrosoft Sentinel ワークスペース」を参照してください。 この記事のコンテキストでは、ワークスペースは、Microsoft Sentinelが有効になっている Log Analytics ワークスペースです。
Microsoft Sentinelの前提条件
Defender ポータルでMicrosoft Sentinelをオンボードして使用するには、次のリソースとアクセス権が必要です。
Microsoft Sentinelが有効になっている Log Analytics ワークスペース
Defender ポータルでMicrosoft Sentinelのサポート要求をオンボード、使用、作成するための適切なロールを持つAzure アカウント。 Defender ポータルには、必要なアクセス許可がない場所にオンボードするワークスペースは表示されません。 次の表は、必要な主要なロールの一部を示しています。
タスク Microsoft EntraまたはAzure組み込みロールが必要です 範囲 Defender ポータルへのMicrosoft Sentinelのオンボード Microsoft Entra IDのグローバル管理者またはセキュリティ管理者
AND
所有者または
ユーザー アクセス管理者 AND Microsoft Sentinel 共同作成者Tenant
- 所有者またはユーザー アクセス管理者ロールのサブスクリプション
- 共同作成者 Microsoft Sentinelのサブスクリプション、リソース グループ、またはワークスペース リソースセカンダリ ワークスペースの接続または切断 Microsoft Entra IDのグローバル管理者またはセキュリティ管理者
AND
所有者または
ユーザー アクセス管理者 AND Microsoft Sentinel 共同作成者Tenant
- 所有者またはユーザー アクセス管理者ロールのサブスクリプション
- 共同作成者 Microsoft Sentinelのサブスクリプション、リソース グループ、またはワークスペース リソースプライマリ ワークスペースを変更する Microsoft Entra IDのグローバル管理者またはセキュリティ管理者
AND
所有者または
ユーザー アクセス管理者 AND Microsoft Sentinel 共同作成者Tenant
- 所有者またはユーザー アクセス管理者ロールのサブスクリプション
- 共同作成者 Microsoft Sentinelのサブスクリプション、リソース グループ、またはワークスペース リソースDefender ポータルでMicrosoft Sentinelを表示する Microsoft Sentinel リーダー サブスクリプション、リソース グループ、またはワークスペース リソース データ テーブルMicrosoft Sentinelクエリを実行するか、インシデントを表示する Microsoft Sentinel閲覧者または次のアクションを持つロール:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/Incidents/read
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/tasks/readサブスクリプション、リソース グループ、またはワークスペース リソース インシデントに対する調査アクションの実行 Microsoft Sentinel共同作成者または次のアクションを持つロール:
- Microsoft.OperationalInsights/workspaces/read
- Microsoft.OperationalInsights/workspaces/query/read
- Microsoft.SecurityInsights/incidents/read
- Microsoft.SecurityInsights/incidents/write
- Microsoft.SecurityInsights/incidents/comments/read
- Microsoft.SecurityInsights/incidents/comments/write
- Microsoft.SecurityInsights/incidents/relations/read
- Microsoft.SecurityInsights/incidents/relations/write
- Microsoft.SecurityInsights/incidents/tasks/read
- Microsoft.SecurityInsights/incidents/tasks/writeサブスクリプション、リソース グループ、またはワークスペース リソース サポート リクエストの作成 所有者 または
Contributor または
Support 要求共同作成者 、または Microsoft.Support/* を使用したカスタム ロールサブスクリプション 複数のテナントを使用している場合は、Defender ポータルでデータをMicrosoft Sentinelする場合、Azure Lighthouse を使用した詳細な委任された管理者特権 (GDAP) はサポートされていないことに注意してください。 代わりに、B2B 認証Microsoft Entra使用します。 詳細については、「マルチテナント管理Microsoft Defender設定する」を参照してください。
Microsoft Sentinelを Defender ポータルに接続した後、既存のAzureロールベースのアクセス制御 (RBAC) アクセス許可を使用すると、アクセス権を持つMicrosoft Sentinel機能を操作できます。 AZURE RBAC の変更が Defender ポータルに反映されるため、引き続きAzure portalからMicrosoft Sentinel ユーザーのロールとアクセス許可を管理します。
詳細については、「Microsoft Sentinelのロールとアクセス許可」および「リソース別にMicrosoft Sentinel データへのアクセスを管理する」を参照してください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
統合セキュリティ操作の前提条件
Defender ポータルでMicrosoft Defender XDRとMicrosoft Sentinelのセキュリティ操作を統合するには、次のリソースとアクセス権が必要です。
- 前提条件の説明に従って、Defender XDRのライセンスMicrosoft Defender XDR
- Defender XDRのアカウントは、Microsoft Sentinelが関連付けられているのと同じMicrosoft Entra テナントのメンバーです
- 「Microsoft Defender XDRの前提条件」で説明されているように、Defender ポータルでMicrosoft Defender XDRにアクセスする
該当する場合は、次の前提条件を満たします。
| サービス | 前提条件 |
|---|---|
| Microsoft Purview インサイダー リスク管理 | organizationでMicrosoft Purview インサイダー リスク管理を使用する場合は、プライマリ ワークスペースでデータ コネクタ Microsoft 365 Insider Risk Management を有効にして、そのデータを統合Microsoft Sentinel。 Defender ポータルにオンボードする予定のMicrosoft Sentinelに対して、セカンダリ ワークスペースでそのコネクタを無効にします。 - プライマリ ワークスペースの Content ハブからMicrosoft Purview インサイダー リスク管理 ソリューションをインストールします。 - データ コネクタを構成します。 詳細については、「すぐに使用Microsoft Sentinelコンテンツを検出して管理する」を参照してください。 |
| Microsoft Defender for Cloud | テナントのすべてのサブスクリプション間で関連付けられた Defender for Cloud インシデントを、Microsoft Sentinelのプライマリ ワークスペースにストリーミングするには: - プライマリ ワークスペース内のテナント ベースの Microsoft Defender for Cloud (プレビュー) データ コネクタを接続します。 - テナント内のすべてのワークスペースからサブスクリプション ベースの Microsoft Defender for Cloud (レガシ) アラート コネクタを切断します。 Defender for Cloud の相関テナント データをプライマリ ワークスペースにストリーミングしない場合は、ワークスペースで引き続きサブスクリプション ベースの Microsoft Defender for Cloud (レガシ) コネクタを使用します。 詳細については、「統合を使用してクラウド インシデントのMicrosoft Defender Microsoft Defender XDR取り込む」を参照してください。 |
オンボード Microsoft Sentinel
この手順では、Microsoft Sentinel対応ワークスペースを Defender ポータルにオンボードする方法について説明します。
- Microsoft Defender ポータルに移動し、サインインします。
- [System>Settings>Microsoft Sentinel>ワークスペースの接続] を選択します。
- 接続するワークスペースを選択し、[ 次へ] を選択します。
- [ プライマリ] ワークスペースを選択します。
- ワークスペースの接続に関連する製品の変更を読み、理解します。
- [接続] を選択します。
ワークスペースが接続されると、[ ホーム ] ページのバナーに環境の準備ができていることが示されます。 [ホーム] ページは、データ コネクタの数や自動化ルールなど、Microsoft Sentinelからのメトリックを含む新しいセクションで更新されます。
Defender ポータルでMicrosoft Sentinel機能を調べる
ワークスペースを Defender ポータルに接続すると、Microsoft Sentinel左側のナビゲーション ウィンドウに表示されます。 Defender XDRが有効になっている場合、ホーム、インシデント、Advanced Hunting などのページには、Microsoft SentinelとDefender XDRのプライマリ ワークスペースからの統合データがあります。 Defender XDRを有効にしていない場合、これらのページにはMicrosoft Sentinelからのデータだけが含まれます。 統合された機能とポータル間の違いの詳細については、Microsoft Defender ポータルのMicrosoft Sentinelに関するページを参照してください。
既存のMicrosoft Sentinel機能の多くは、Defender ポータルに統合されています。 これらの機能については、Azure portal ポータルと Defender ポータルでのMicrosoft Sentinel間のエクスペリエンスが似ている点に注意してください。 Defender ポータルでMicrosoft Sentinelの操作を開始するには、次の記事を使用します。 これらの記事を使用する場合、このコンテキストの出発点は、Azure portalではなく Defender ポータルであることに注意してください。
Defender ポータルの [System>Settings>Microsoft Sentinel でMicrosoft Sentinel設定を見つけます。
プライマリ ワークスペースを変更する
一度に Defender ポータルに接続できるプライマリ ワークスペースは 1 つだけです。 ただし、プライマリ ワークスペースは変更できます。
- Defender ポータルで、[System>Settings>Microsoft Sentinel>Workspaces] に移動します。
- プライマリにするワークスペースの名前を選択します。
- [ プライマリとして設定] を選択します。
- プライマリ ワークスペースの変更に関連する製品の変更を読み、理解します。
- [ 確認] を選択して続行します。
Microsoft Sentinelのプライマリ ワークスペースを切り替えると、Defender XDR コネクタが新しいプライマリに接続され、前のプライマリから自動的に切断されます。 詳細については、「Defender ポータルの複数のMicrosoft Sentinel ワークスペース」を参照してください。
オフボード Microsoft Sentinel
Defender ポータルからワークスペースをオフボードする場合は、ワークスペースをMicrosoft Sentinelの設定から切断します。
ワークスペースにMicrosoft Defender XDR コネクタが構成されている場合、Defender ポータルからワークスペースをオフボードすると、Microsoft Defender XDR コネクタも切断されます。
Microsoft Defender ポータルに移動し、サインインします。
Defender ポータルの [システム] で、[設定>Microsoft Sentinel] を選択します。
[ワークスペース] ページ で 、接続されているワークスペースと [切断] ワークスペースを選択します。
ワークスペースを切断する理由を指定します。
選択内容を確認します。
ワークスペースが切断されると、Defender ポータルの左側のナビゲーションから Microsoft Sentinel セクションが削除されます。 Microsoft Sentinelからのデータはホーム ページに含まれなくなりました。
別のワークスペースに接続する場合は、[ ワークスペース] ページでワークスペースと [ ワークスペースの接続] を選択します。