Microsoft Sentinelのデータフェデレーションを使用すると、Microsoft Sentinel データ レイク環境内から複数の外部データ ソースのシームレスなクエリを実行できます。 Azure Databricks、Azure Data Lake Storage (ADLS) Gen 2、Microsoft Fabric などのデータ ソースをフェデレーションすることで、組織はデータを移動または複製することなく、セキュリティ分析と運用分析情報を強化できます。
データフェデレーションとは
データフェデレーションを使用すると、Microsoft Sentinel Visual Studio Code 拡張機能を使用して、Kusto 照会言語 (KQL) または Jupyter ノートブックを使用して、Microsoft Sentinel データ レイクから直接外部データ ソースにクエリを実行できます。 データをSentinelに取り込む代わりに、フェデレーションによって外部データ ストアへの接続が作成され、次の機能が有効になります。
- 統合分析: ネイティブ Microsoft Sentinel データ レイク テーブルと共にフェデレーション ソースに対してクエリを実行します。
- ガバナンスとコンプライアンスの制御を維持する: データを移動せずに所定の場所にクエリを実行することで、データのセキュリティとコンプライアンスを維持します。
- 強化された分析情報: セキュリティ データと、外部システムに格納されているビジネス データ、ログ、またはその他のデータセットを組み合わせます。
- 柔軟なデータ アクセス: セキュリティ操作を補完する履歴データセットまたは特殊なデータセットにアクセスします。
重要
データフェデレーションは、Sentinel データ レイクからフェデレーション ターゲットへの一方向です。 データ レイクからフェデレーション ソースにクエリを実行することはできますが、フェデレーション ソースからデータ レイクにアクセスすることはできません。
使用可能なフェデレーション ソース
次のフェデレーション ソースを使用できます。
| ソース | 説明 |
|---|---|
| Azure Databricks | Databricks Unityカタログ テーブルに接続し、Sentinelからデータを照会します。 |
| Azure Data Lake Storage Gen 2 | ADLS Gen 2 ストレージ アカウントに格納されているデータを、Sentinel データ レイクから直接照会します。 |
| Microsoft Fabric | 統合された分析のために Microsoft Fabric Lakehouse テーブルに接続します。 |
主な概念
フェデレーション接続
フェデレーション接続は、Sentinel データ レイクと外部データ ソースの間に構成されたリンクです。 各接続では、次を指定します。
- ターゲット データ ソース (Databricks、ADLS Gen 2、または Fabric)。
- ADLS および Azure Databricks のAzure Key Vaultに安全に格納されている認証資格情報。
- フェデレーションする特定のテーブル。
フェデレーション テーブル
フェデレーション テーブルは、フェデレーション接続から取得されるテーブルです。 フェデレーション テーブルは、Sentinel data lake Table Management ページに表示され、ネイティブ テーブルと同様にクエリを実行できます。 フェデレーション テーブル名は、パターン <tableName>_<connectorInstanceName>に従います。 たとえば、コネクタ インスタンスの名前が ADLS01 で、 widgets という名前のテーブルとフェデレーションする場合、フェデレーション テーブル名は widgets_ADLS01。
コネクタ インスタンス
外部データ ソースへの構成された各接続は、コネクタ インスタンスと呼ばれます。 同じフェデレーション ソースの種類に対して複数のインスタンスを作成し、それぞれが異なる外部リソースに接続できます。
前提条件
データフェデレーションを設定する前に、次の要件を満たしていることを確認してください。
- Sentinel データ レイクのオンボード: テナントをSentinel データ レイクにオンボードする必要があります。 詳細については、「Microsoft Sentinel Data Lake へのオンボード」を参照してください。
- パブリック アクセシビリティ: 外部ソースにはパブリックにアクセスできる必要があります。 プライベート エンドポイントは現在サポートされていません。
- サービス プリンシパル: Databricks と Azure Data Lake Storage Gen2 ソースをAzureするには、接続するデータ ソースに適切なアクセス許可を持つサービス プリンシパルが必要です。
- Azure Key Vault: サービス プリンシパルの認証シークレットを格納するためのAzure Key Vault。 キー コンテナーからシークレットを読み取るために、マネージド ID Microsoft Sentinelアクセス許可を構成する必要があります。
フェデレーションのしくみ
- 認証の構成: サービス プリンシパルを作成し、その資格情報をAzure Key Vaultに格納します。
- フェデレーション接続の作成: Microsoft Sentinelの [データ コネクタ] ページを使用して、選択したデータフェデレーション ソースのコネクタ インスタンスを作成します。
- [テーブルの選択]: フェデレーションする外部ソースのテーブルを選択します。
- フェデレーション データのクエリ: KQL クエリ、ノートブック、MCP ツールなどの Data Lake エクスペリエンスを使用して、ネイティブ Sentinel データと共にフェデレーション テーブルにアクセスします。
データフェデレーションの一般的なシナリオ
データフェデレーションを使用すると、Data Lake の外部にあるデータにアクセスできます。 これは、次のシナリオで特に重要です。
複数のチームとシステム間で運用可能なデータ ソース。
自然にエージング アウトする必要があり、取り込むのにコスト効率が高くない履歴データの年数。
データのコピーを制限する地域またはコンプライアンスの規制。
頻繁にアクセスされず、限られたシナリオでのみコンテキストに関連するデータ。
データフェデレーションの利点
統合セキュリティ分析
Sentinelのセキュリティ イベント データを、次のような外部ソースからのコンテキストと組み合わせます。
- Databricks からの分析出力
- ADLS Gen 2 に格納されている履歴ログ
- Microsoft Fabric のビジネス アプリケーション データ
運用の柔軟性
- 組織の境界を越えてデータにアクセスする
- さまざまなチームまたは部署のデータを統合する
- 複数のデータ ソースにまたがる複雑な調査をサポートする
制限事項
- データ ソースにはパブリックにアクセスできる必要があります。 プライベート エンドポイントはサポートされていません。
- Azure Key Vaultネットワークは、ADLS または Databricks 接続インスタンスの構成時に、Key Vaultの既定値であるすべてのネットワークからのパブリック アクセスを許可するAzure設定する必要があります。 接続の作成または編集を完了すると、関連付けられているKey Vaultに別のネットワーク設定を構成できます。
- Microsoft Fabric へのフェデレーション接続では、送信アクセス保護のためにワークスペースが有効になっていないスキーマ対応のレイクハウスがサポートされています。
- データフェデレーションは読み取り専用です。フェデレーション ソースにデータを書き戻すことはできません。
- クエリのパフォーマンスは、外部ソースの応答性とデータ ボリュームによって異なります。
- Fabric ソースへのフェデレーション接続は、接続インスタンス内で最大 100 個のテーブルを持つことができます。
- 最大 100 個のコネクタ インスタンスを使用できます。 Databricks と ADLS Azure、フェデレーション接続ごとに 1 つのコネクタ インスタンスを使用します。 Microsoft Fabric では、フェデレーション接続で lakehouse スキーマごとに 1 つのコネクタ インスタンスが使用されます。