Azure Sentinel プレビューをオンボードするOn-board Azure Sentinel Preview

重要

現在、Azure Sentinel はパブリック プレビュー段階にあります。Azure Sentinel is currently in public preview. このプレビュー バージョンはサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。This preview version is provided without a service level agreement, and it's not recommended for production workloads. 特定の機能はサポート対象ではなく、機能が制限されることがあります。Certain features might not be supported or might have constrained capabilities. 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

このクイック スタートでは、Azure Sentinel をオンボードする方法を説明します。In this quickstart you will learn how to on-board Azure Sentinel.

Azure Sentinel をオンボードするには、まず Azure Sentinel を有効にしてから、データ ソースを接続する必要があります。To on-board Azure Sentinel, you first need to enable Azure Sentinel, and then connect your data sources. Azure Sentinel には、Microsoft Threat Protection ソリューションや Microsoft 365 ソース (Office 365、Azure AD、Azure ATP、Microsoft Cloud App Security) など、すぐに使用できるリアルタイム統合を提供する Microsoft ソリューション用コネクタが多数付属しています。Azure Sentinel comes with a number of connectors for Microsoft solutions, available out of the box and providing real-time integration, including Microsoft Threat Protection solutions, Microsoft 365 sources, including Office 365, Azure AD, Azure ATP, and Microsoft Cloud App Security, and more. さらに、Microsoft 以外のソリューション用のより広範なセキュリティ エコシステムへの組み込みコネクタがあります。In addition, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. 一般的なイベント形式 (Syslog や REST-API) を使用して、データ ソースを Azure Sentinel に接続することもできます。You can also use common event format, Syslog or REST-API to connect your data sources with Azure Sentinel.

データ ソースを接続した後、優れた設計のダッシュボードのギャラリーから選択し、データに基づいて分析情報を表示することができます。After you connect your data sources, choose from a gallery of expertly created dashboards that surface insights based on your data. これらのダッシュボードは、お客様のニーズに合わせて簡単にカスタマイズすることができます。These dashboards can be easily customized to your needs.

グローバルな前提条件Global prerequisites

  • アクティブな Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。Active Azure Subscription, if you don't have one, create a free account before you begin.

  • Log Analytics ワークスペース。Log Analytics workspace. Log Analytics ワークスペースの作成方法をご確認くださいLearn how to create a Log Analytics workspace

  • Azure Sentinel を有効にするには、Azure Sentinel ワークスペースが存在するサブスクリプションへの共同作成者のアクセス許可が必要です。To enable Azure Sentinel, you need contributor permissions to the subscription in which the Azure Sentinel workspace resides.

  • Azure Sentinel を使用するには、ワークスペースが属しているリソース グループに対する共同作成者または閲覧者のいずれかのアクセス許可が必要ですTo use Azure Sentinel, you need either contributor or reader permissions on the resource group that the workspace belongs to

  • 特定のデータ ソースに接続するには、追加のアクセス許可が必要になる可能性がありますAdditional permissions may be needed to connect specific data sources

Azure Sentinel を有効にする Enable Azure Sentinel

  1. Azure portal にアクセスします。Go into the Azure portal.

  2. Azure Sentinel が作成されたときのサブスクリプションが選択されていることをご確認ください。Make sure that the subscription in which Azure Sentinel is created, is selected.

  3. Azure Sentinel を検索します。Search for Azure Sentinel. searchsearch

  4. [+ 追加] をクリックします。Click +Add.

  5. 使用するワークスペースを選択するか、新しいワークスペースを作成します。Select the workspace you want to use or create a new one. 複数のワークスペースで Azure Sentinel を実行できますが、データは 1 つのワークスペースに分離されます。You can run Azure Sentinel on more than one workspace, but the data is isolated to a single workspace.

    検索

    注意

    • ワークスペースの場所 Azure Sentinel にストリーミングするすべてのデータが、選択したワークスペースの地理的な場所に保管されることを理解することは重要です。Workspace location It's important to understand that all the data you stream to Azure Sentinel is stored in the geographic location of the workspace you selected.
    • Azure Security Center で作成した既定のワークスペースが一覧に表示されない場合、そこに Azure Sentinel をインストールすることはできません。Default workspaces created by Azure Security Center will not appear in the list; you can't install Azure Sentinel on them.
    • Azure Sentinel は、次のいずれかのリージョンにデプロイされているワークスペースで実行できます。オーストラリア南東部、カナダ中部、インド中部、米国東部、米国東部 2 EUAP (カナリア)、東日本、東南アジア、英国南部、西ヨーロッパ、米国西部 2。Azure Sentinel can run on workspaces that are deployed in any of the following regions: Australia Southeast, Canada Central, Central India, East US, East US 2 EUAP (Canary), Japan East, Southeast Asia, UK South, West Europe, West US 2.
  6. [Add Azure Sentinel] (Azure Sentinel の追加) をクリックします。Click Add Azure Sentinel.

データ ソースの接続Connect data sources

Azure Sentinel でサービスとアプリへの接続を確立するには、サービスに接続して、Azure Sentinel にイベントとログを転送します。Azure Sentinel creates the connection to services and apps by connecting to the service and forwarding the events and logs to Azure Sentinel. マシンと仮想マシンの場合、ログを収集し、そのログを Azure Sentinel に転送する Azure Sentinel エージェントをインストールできます。For machines and virtual machines, you can install the Azure Sentinel agent that collects the logs and forwards them to Azure Sentinel. ファイアウォールとプロキシの場合、Azure Sentinel は Linux Syslog サーバーを利用します。For Firewalls and proxies, Azure Sentinel utilizes a Linux Syslog server. エージェントがインストールされているなら、エージェントはそこからログ ファイルを収集し、そのログを Azure Sentinel に転送します。The agent is installed on it and from which the agent collects the log files and forwards them to Azure Sentinel.

  1. [データ収集] をクリックします。Click Data collection.
  2. 接続できるデータ ソースごとにタイルがあります。There is a tile for each data source you can connect.
    たとえば、 [Azure Active Directory] をクリックします。For example, click Azure Active Directory. このデータ ソースを接続する場合は、Azure AD から Azure Sentinel にすべてのログをストリーミングします。If you connect this data source, you stream all the logs from Azure AD into Azure Sentinel. サインイン ログや監査ログなど、取得するログの種類を選択できます。You can select what type of logs you wan to get - sign-in logs and/or audit logs.
    Azure Sentinel の下部には、各コネクタにインストールする必要のあるダッシュボードに関する推奨事項が示されているため、データ全体の興味深い分析をすぐに得ることができます。At the bottom, Azure Sentinel provides recommendations for which dashboards you should install for each connector so you can immediately get interesting insights across your data.
    インストール手順を実行するか、関連する接続のガイドを参照して詳細をご確認ください。Follow the installation instructions or refer to the relevant connection guide for more information. データ コネクタについては、「Microsoft サービスの接続」をご覧ください。For information about data connectors, see Connect Microsoft services.

データ ソースが接続されると、データは Azure Sentinel にストリーミングされ、操作を開始できます。After your data sources are connected, your data starts streaming into Azure Sentinel and is ready for you to start working with. 組み込みのダッシュボードでログを表示し、Log Analytics でクエリをビルドしてデータを調査できます。You can view the logs in the built-in dashboards and start building queries in Log Analytics to investigate the data.

次の手順Next steps

このドキュメントでは、データ ソースを Azure Sentinel に接続する方法を説明しました。In this document, you learned about connecting data sources to Azure Sentinel. Azure Sentinel の詳細については、以下の記事を参照してください。To learn more about Azure Sentinel, see the following articles: