Microsoft (有志)Publicationへの投稿
🪣

Sentinel の Defender 統合 ~ Sentinel data lake 有効化までの手順

k.sato
に公開
Security
Microsoft
Microsoft Sentinel
Datastore
zennfes2025infra
tech

はじめに

Microsoft Sentinel は、最近大きな機能変更とアップデートが行われています。特に注目すべきは以下のポイントです:

  • Microsoft Defender との統合
  • Defender ポータルへの移行と Azure ポータルでの操作のリタイア発表
  • Sentinel data lake のリリース

これらの変更により、従来の Azure ポータル中心の運用から、新しいアーキテクチャや操作方法への移行が求められています。本記事では、Azure ポータルのみを使用しているユーザーを対象に、Defender 統合から Sentinel data lake の有効化までの手順を解説します。

Sentinel の Defender 統合

前提条件

前提条件は以下のリンクをご確認ください。
https://learn.microsoft.com/ja-jp/unified-secops/microsoft-sentinel-onboard

特に注意すべき点は操作時のロールです。Entra ロールと Azure ロールの双方を保持していることが必要です。

Entra ロール
グローバル管理者 OR セキュリティ管理者

Azure ロール
所有者 OR (ユーザー アクセス管理者 AND Microsoft Sentinel 共同作成者)

設定手順

Defender ポータルにて [設定] > [Microsoft Sentinel] をクリックします。

[SIEM ワークスペース] から [ワークスペースの接続] をクリックします。

接続するワークスペースを選択し [次へ] をクリックします。

[プライマリ ワークスペースの設定] で [次へ] をクリックします。
※ 前段の手順で複数選択している場合は優先するワークスペースを選択

完了画面で [接続] をクリックします。

接続完了すると以下のように表示されます。

Sentinel data lake の有効化

前提条件

前提条件は以下のリンクをご確認ください。
https://learn.microsoft.com/ja-jp/azure/sentinel/datalake/sentinel-lake-onboarding#prerequisites

設定手順

Defender ポータルにて [設定] > [Microsoft Sentinel] > [データ レイク] から [セットアップの開始] をクリックします。

課金するサブスクリプション・リソース グループを指定し、[データ レイクのセットアップ] をクリックします。
※ 設定後、ポータルからは変更不可なのでご注意ください。

以下のようにセットアップ完了の画面が表示されます。

データ レイクの準備が完了すると、ホームの以下のように表示されます。(60 分程度かかります)

注意点

  • data lake を有効化すると Defender に接続している Sentinel ワークスペースの全てで有効になります。

  • 既定で Azure Resource Graph と Entra のデータが data lake に取り込まれます。

  • Sentinel のログ保存期間が 31 日以上になっている場合、Defender の Advanced Hunting で検索可能 かつ Sentinel に取り込み可能な XDR 関連のテーブルは既定で Sentinel へのデータ取り込みが開始され、Sentinel のログインジェストの課金が発生します。(DeviceEvents や EmailEvents など)

  • この課金を避ける場合、以下の手順で対象のテーブルの Analytics retention / Total retention をいずれも 30 日に設定してください。

    • [Microsoft Sentinel] > [構成] > [表] > 対象テーブルを選択 > Analytics retention / Total retention を 30days に設定

  • ドキュメント上に記載がありませんが、現時点で把握しているテーブルは以下です (正確にはサポートへお問い合わせください)

    • AlertEvidence
    • AlertInfo
    • CampaignInfo
    • CloudAppEvents
    • DeviceEvents
    • DeviceFileCertificateInfo
    • DeviceFileEvents
    • DeviceImageLoadEvents
    • DeviceInfo
    • DeviceLogonEvents
    • DeviceNetworkEvents
    • DeviceNetworkInfo
    • DeviceProcessEvents
    • DeviceRegistryEvents
    • DeviceTvmSecureConfigurationAssessment
    • DeviceTvmSecureConfigurationAssessmentKB
    • DeviceTvmSoftwareInventory
    • DeviceTvmSoftwareVulnerabilities
    • DeviceTvmSoftwareVulnerabilitiesKB
    • EmailAttachmentInfo
    • EmailEvents
    • EmailPostDeliveryEvents
    • EmailUrlInfo
    • FileMaliciousContentInfo
    • IdentityDirectoryEvents
    • IdentityLogonEvents
    • IdentityQueryEvents
    • UrlClickEvents

  • 上記の課金の考え方は以下に解説があります。
    https://learn.microsoft.com/ja-jp/azure/sentinel/manage-data-overview#xdr-data-retention-and-costs

Data lake tier へのテーブルの変換

Sentinel メニューの [構成] > [表] から対象のテーブルをクリックし、[Data lake tier] を選択、保存日数を設定し保存します。

データ コネクタ側からも変更が可能です。

まとめ

本記事では、Azure ポータルのみで Sentinel を運用しているユーザー向けに、以下のステップをわかりやすく解説しました:

  • Defender ポータルでの Sentinel ワークスペース接続
  • Sentinel data lake の有効化
  • 課金に関する注意点
  • Data lake tier へのテーブル変換

特に、ネットワークのアクセス ログや認証系のログなど、大容量のデータを保存し、AI を活用して分析するためには data lake は必要不可欠な機能になります。
今後の運用最適化や高度化に備え、Defender ポータルでの操作に慣れておくとともに、最適な構成を検討していきましょう。

Microsoft (有志)
Microsoft (有志)Publication

Microsoft Azureをはじめとする最新技術情報をお届けします。 ※このPublicationは日本マイクロソフトまたは米Microsoft所属社員による個人の見解であり、所属する組織の公式見解ではありません。 ※Publicationに参加希望の社員は @07JP27までご連絡ください。

Discussion