サイバーセキュリティの資産データとは、コンピューター、ID、ソフトウェア、クラウド サービス、ネットワークなど、organizationの物理的およびデジタルエンティティを指します。 何を保護する必要があるかを把握できるように、存在するものが表示されます。 Microsoft Sentinelのデータ レイクは、この資産データを、長期的なリテンション期間、高度な分析、AI 主導の脅威検出をサポートするスケーラブルでコスト効率の高い方法で格納することで、強力な価値を追加します。 Sentinel Lake は、システム全体の統合された可視性と柔軟なデータ管理により、セキュリティ チームが自分の環境を理解し、異常なアクティビティを見つけ、脅威に対応するのに役立ちます。
Sentinel Data Lake で資産データ インジェストを有効にする方法
Sentinel Lake にオンボードすると、適切なアクセス許可がある場合、資産データが自動的に取り込まれます。 詳細については、「 資産ソースに必要なアクセス許可」を参照してください。
十分なアクセス許可がない場合、資産テーブルは作成されますが、データは取り込まれません。 資産データ インジェストを次のように手動で有効にします。
- Azure portalの [Microsoft Sentinel] ワークスペースに移動します。
- [データ コネクタ] ページに移動します。
- 関連する資産データ ソース コネクタを見つけます。
- コネクタを選択し、プロンプトに従ってインジェストを有効にします。
資産データは、Microsoft Sentinel データ レイク層にのみ取り込まれます。 オンボード後、資産データがレイクに到着するまでに最大 24 時間かかることがあります。
資産データは、既定で 30 日間保持されます。 リテンション期間は最大 12 年間拡張できます。 テーブル保持の管理の詳細については、 テーブル管理に関するドキュメントを参照してください。
課金に関する考慮事項
お客様は、資産データ インジェストに対して料金が発生します。
お客様は、資産データの保持に対して料金が発生します。
資産データ スナップショットは、24 時間ごとに 1 回作成されます。
資産データ インジェストは、Sentinel データ レイクへのオンボード時に既定で有効になるため、資産データ インジェストを容易にする資産Sentinelデータ コネクタの基本的な役割を理解することが重要です。 これらのデータ コネクタは、資産関連のデータを data lake に取り込む役割Sentinel担い、それぞれのSentinel ソリューション パッケージにバンドルされます。 これらのソリューションは、Content Hub を使用して検出および管理できます。
資産ソースに必要なアクセス許可
次の表では、さまざまな資産データ ソースとそのデータ コネクタについて説明します。
| データ ソース | テーブル | アクセス許可 | データ コネクタ ソリューション |
|---|---|---|---|
| Azure Resource Graph (ARG) |
ARGResources ARGResourceContainers ARGAuthorizationResources |
サブスクリプション所有者 | Azure Resource Graph |
| Microsoft Entra ID |
EntraApplications EntraGroupMemberships EntraGroups EntraMembers EntraOrganizations EntraServicePrincipals EntraUsers |
なし | Microsoft Entra IDアセット |
注:
資産コネクタを含むがこれに限定されない特定のデータ コネクタは、Purview でのデータ リスク グラフの構築に貢献します。 これらのグラフがアクティブな場合、関連付けられているコネクタを無効にすると、生成が中断されます。 コネクタの説明は、データ リスク グラフの構築に関与しているかどうかを示します。
前提条件
資産データ コネクタを管理するには、次の前提条件を満たす必要があります。
- 前のテーブルの [アクセス許可] 列に指定されているように、Microsoft Sentinelに必要なアクセス許可とアクセス許可があることを確認します。
- Content Hub のデータ コネクタを含む関連ソリューションを検索します。 コンテンツ ハブは、[コンテンツ管理>Content Hub] メニューのMicrosoft Sentinelにあります。 まだインストールされていない場合は、ソリューションをインストールします。
構成と管理
次のいずれかの方法でコネクタ ページにアクセスします。
インストールされているソリューションから:
- [ 管理] を選択します
- コネクタを選択し、[コネクタ ページを開く]
コネクタ ギャラリーから:
- コネクタ ギャラリーは、Microsoft Sentinel メニューの [構成>Data コネクタ] の下にあります。
テーブル保持期間を編集するには、テーブル管理グリッドのテーブル名の右側にある 3 つのドット (...) を選択します。 最大 12 年間の保持期間を選択します。 資産データ コネクタに [接続済み ] 状態が表示されると、トグル ボタンのテキストに [切断] と表示されます。 これは、インジェストが有効になっていることを示します。 インジェストを無効にするには、[ 切断 ] ボタンを選択します。 接続が切断されると、コネクタの状態に [切断済み ] と表示され、ボタンのテキストが [接続] に切り替わります。
![[接続] ボタンを含む資産ホーム ページのスクリーンショット。](media/enable-data-connectors/disconnect.png#lightbox)
資産データを使用してアクティビティ データをエンリッチする
資産データは、アクティビティ ログだけでは明らかではない可能性がある貴重なコンテキストと分析情報を追加します。
たとえば、 SigninLogs テーブル内の危険なサインインを調査する場合は、 EntraUsers テーブルと結合して分析を強化し、部署や雇用日などのユーザー固有の属性を含めることができます。 この余分なコンテキストは、セキュリティ チームがユーザーの行動をより正確に理解し、潜在的な脅威をより正確に評価するのに役立ちます。
SigninLogs
| where IsRisky == true
| join kind=leftouter (
EntraUsers
| summarize arg_max(TimeGenerated, userPrincipalName, department, employeeHireDate) by userPrincipalName
) on $left.UserPrincipalName == $right.userPrincipalName
| project Identity, UserPrincipalName, IsRisky, IPAddress, department, employeeHireDate
資産データに対して KQL クエリを実行する
Sentinel データ レイク内の資産データに対して KQL クエリを実行するには、正しいワークスペース スコープ内でクエリを実行していることを確認します。 次の手順を実行します。
[Microsoft Sentinel] メニューの [データ レイク探索>KQL クエリ] に移動します
[ 選択したワークスペース ] ボタンを選択します。
[システム テーブル] ワークスペースが選択されていることを確認します。
![[システム テーブル] ワークスペースが選択されていることを示す KQL クエリ情報バーのスクリーンショット。](media/enable-data-connectors/workspace-scope.png)
資産データ テーブルは、資産カテゴリの下に表示されます。
![[資産] カテゴリの下の資産データ テーブルを示す KQL クエリ テーブル ピッカーのスクリーンショット。](media/enable-data-connectors/kql-queries.png#lightbox)
次の手順
- データ階層化オプションと保持設定の詳細については、 テーブル管理のドキュメントを参照 してください。
- 資産データが Purview データ リスク グラフをエンリッチする方法を参照してください。
- データ レイクSentinelクエリを実行する方法