Defender に接続されているMicrosoft Sentinelワークスペースの場合は、Defender ポータルの新しいテーブル管理エクスペリエンスから階層化と保持管理を行う必要があります。 アタッチされていないMicrosoft Sentinel ワークスペースの場合は、以下で説明するエクスペリエンスを引き続き使用して、ワークスペース内のデータを管理します。
成功した脅威検出プログラムにとって重要なログ収集と保持には、競合する 2 つの側面があります。 一方で、収集するログ ソースの数を最大化して、可能な限り包括的なセキュリティ カバレッジを実現したいと考えています。 一方、すべてのデータの取り込みによって発生するコストを最小限に抑える必要があります。
これらの競合するニーズには、データ アクセシビリティ、クエリ パフォーマンス、ストレージ コストのバランスを取るログ管理戦略が必要です。
この記事では、データのカテゴリと、データの格納とアクセスに使用される保持状態について説明します。 また、ログ管理と保持戦略を構築するために提供Microsoft Sentinelログ層についても説明します。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
取り込まれたデータのカテゴリ
Microsoft では、Microsoft Sentinelに取り込まれたデータを 2 つの一般的なカテゴリに分類することをお勧めします。
プライマリ セキュリティ データ は、重要なセキュリティ値を含むデータです。 このデータは、セキュリティ上の脅威を検出するために、リアルタイムのプロアクティブ監視、スケジュールされたアラート、分析に使用されます。 データは、ほぼリアルタイムですべてのMicrosoft Sentinelエクスペリエンスですぐに利用できる必要があります。
セカンダリ セキュリティ データ は補足データであり、多くの場合、大量の詳細ログに含まれます。 このデータはセキュリティ価値は限られていますが、検出と調査に豊富さとコンテキストを提供し、セキュリティ インシデントの全体像を把握するのに役立ちます。 すぐに入手できる必要はありませんが、必要に応じて必要に応じて適切な用量でオンデマンドでアクセスできる必要があります。
プライマリ セキュリティ データ
このカテゴリは、organizationの重要なセキュリティ値を保持するログで構成されます。 セキュリティ操作の主要なセキュリティ データのユース ケースは次のとおりです。
頻繁な監視。 脅威検出 (分析) ルール は、このデータに対して頻繁な間隔またはほぼリアルタイムで実行されます。
オンデマンドハンティング。 このデータに対して複雑なクエリが実行され、セキュリティ上の脅威に対して対話型の高パフォーマンスハンティングが実行されます。
相関関係。 これらのソースからのデータは、他の主要なセキュリティ データ ソースからのデータと関連付け、脅威を検出し、攻撃ストーリーを構築します。
定期的なレポート。 これらのソースからのデータは、セキュリティと一般的な意思決定者の両方に対して、organizationのセキュリティ正常性の定期的なレポートに簡単にコンパイルできます。
動作分析。 これらのソースからのデータは、ユーザーとデバイスのベースライン動作プロファイルを構築するために使用され、基になる動作を疑わしいと識別できます。
プライマリ データ ソースの例を次に示します。
- ウイルス対策またはエンタープライズ検出と応答 (EDR) システムからのログ
- 認証ログ
- クラウド プラットフォームからの監査証跡
- 脅威インテリジェンス フィード
- 外部システムからのアラート
プライマリ セキュリティ データを含むログは、 分析レベルを使用して格納する必要があります。
セカンダリ セキュリティ データ
このカテゴリには、個々のセキュリティ値が制限されているが、セキュリティ インシデントまたは侵害の包括的なビューを提供するために不可欠なログが含まれます。 通常、これらのログは大量であり、詳細にすることができます。 このデータのセキュリティ操作のユース ケースは次のとおりです。
脅威インテリジェンス。 プライマリ データは、侵害のインジケーター (IoC) または攻撃のインジケーター (IoA) の一覧と照合して、脅威をすばやく簡単に検出できます。
アドホックハンティング/調査。 データを対話形式で 30 日間クエリできるため、脅威の検出と調査のための重要な分析が容易になります。
大規模な検索。 最小限の処理で効率的に格納しながら、ペタバイト規模でバックグラウンドでデータを取り込んで検索できます。
KQL ジョブを使用した集計。 大量のログを集計情報に要約し、結果を分析レベルに格納します。
セカンダリ データ ログ ソースの例としては、クラウド ストレージ アクセス ログ、NetFlow ログ、TLS/SSL 証明書ログ、ファイアウォール ログ、プロキシ ログ、IoT ログなどがあります。
セカンダリ セキュリティ データを含むログの場合は、高度なセキュリティとコンプライアンスのシナリオに対して強化されたスケーラビリティ、柔軟性、統合機能を提供するように設計された Microsoft Sentinel Data Lake を使用します。
ログ管理レベル
Microsoft Sentinelは、取り込まれたデータのこれらのカテゴリに対応するために、2 つの異なるログ ストレージ層 (種類) を提供します。
分析層プランは、プライマリ セキュリティ データを格納し、高パフォーマンスで簡単かつ常にアクセスできるように設計されています。
データ レイク層は、アクセシビリティを維持しながら、セカンダリ セキュリティ データを長期間にわたってコスト効率よく格納するために最適化されています。
Analytics レベル
分析レベルでは、データは既定で 90 日間対話形式の保持状態に保たれ、最大 2 年間拡張可能です。 この対話型状態はコストがかかりますが、クエリごとに無料で、高パフォーマンスで無制限の方法でデータを照会できます。
Data Lake レベル
Microsoft Sentinel Data Lake は、セキュリティ データを大規模に統合して保持するフル マネージドの最新のデータ レイクであり、複数のモダリティと AI エージェントによる脅威検出にわたる高度な分析を可能にします。 セキュリティ チームは、数か月間のデータを使用して、長期的な脅威の調査、アラートの強化、行動ベースラインの構築を支援します。
合計リテンション期間が分析層のリテンション期間より長く構成されている場合、または分析層の保有期間が終了すると、分析層のリテンション期間を超えて格納されたデータには引き続きデータ レイク層でアクセスできます。
関連コンテンツ
- データ レイクMicrosoft Sentinel詳細については、「data lake のMicrosoft Sentinel」を参照してください。
- データ レイクMicrosoft Sentinelオンボードするには、「データ レイクへのデータのオンボード」Microsoft Sentinel参照してください。