本ドキュメントは、Microsoft Sentinel ワークスペースの管理を Microsoft Azure ポータルから Microsoft Defender ポータルへ移行し、一元管理を実現するためのガイドです。移行の背景、方法、必要な設定、運用上の注意点などを詳細に説明しています。

・移行の背景と目的: 2027年3月31日以降、Microsoft Sentinel の管理は Microsoft Azure ポータルから Microsoft Defender ポータルに統合されるため、移行が必要となります。これによりログ管理やインシデント対応が一元化され、Security Copilot の活用も容易になります。

・Microsoft Defender ポータルへの接続方法: 2025年7月1日以前に作成されたワークスペースは手動で接続設定が必要で、ポータルの設定画面からワークスペースを選択しプライマリワークスペースを指定する手順を示しています。

・プライマリワークスペースの役割: 複数のワークスペースが接続されても、プライマリに指定された1つのワークスペースのみが Microsoft Defender XDR のデータコネクタやインシデント管理機能を利用可能です。

・Microsoft Defender 統合 RBAC の活用: インシデント対応の役割分担やアクセス制御を細かく設定できる統合 RBAC 機能を紹介しています、カスタムロールの作成手順も解説します。

・Microsoft Defender ポータルと Azure ポータルの操作比較: 各機能のメニュー名称の違いや、Fusion ルールの廃止、コメント機能の制限など運用上の違いを説明しています。

・マルチテナント管理の概要と設定: 異なるテナント間で Microsoft Sentinel ワークスペースを管理するにはマルチテナント管理機能を利用し、ゲストユーザーの作成やテナント追加の具体的な手順を示しています。

・Azure Lighthouse によるテナント間接続: MSSP などが複数テナントを一元管理するための仕組みとして Azure Lighthouse を紹介し、管理者グループの作成や ARM テンプレートの作成・登録、クエリ実行例も示しています。

・データレイクの設定と利用: 長期ログ保管のためのデータレイク機能が説明され、設定方法や KQL クエリ、ジョブ実行による分析例を紹介しています。データレイクはコスト効率の良い保管手段として位置づけられています。