Sentinel と Defender の権限 - 第8回 Azure Travelers 勉強会 仙台の旅
219 Views
January 25, 26
スライド概要
第8回 Azure Travelers 勉強会 仙台の旅においてのLTで利用した資料です。
JTCのセキュリティ担当 | Microsoft MVP
関連スライド
各ページのテキスト
2026 年1月24 日( 土) #AzureTravelers Sentinel と Defender の権限 ぐっち @HirotomoTaguchi Microsoft MVP
ぐっち( @HirotomoTaguchi) 福岡大学附属大濠高校 明治大学(野球部) 2019.10 デジタルアーツコンサルティング株式会社 • ISO 27001, 27017, NIST SP800 -171, ISMAP のコンサルや監査 2021.8 株式会社クラウドネイティブ • ゼロトラストの概念に基づく業務インフラ刷新 • 製品導入・運用サポート( Netskope 、 Defender 、 Sentinel 、 Box 等々) • AIを使った業務改善( Azure OpenAI 、 AI Search 、 Copilot 等々) 2024.11 と ある JTC ※個人参加のためインターネット上では所属非公表 • CSIRT(平時: SOCの継続的改善、グループ会社支援、有事:インシデントレスポンス) 趣味: ダンス、野球、ゴルフ、飲み会 1
本プレゼン資料について(免責事項) • 2026 年1月24 日時点の公式情報、および筆者の検証結果 を 元に作成しています 。 しかしながら、内容の永続的な正確性、読者の皆様の環境における安全性を保 証するものではありません。あらかじめご了承ください。 • Defender/Sentinel は急速にアップデートされています。最新情報については、 公式情報を確認するか、各自検証をお願いします。 • 本書は個人の見解・個人の検証結果を共有するもので、所属する組織の見解と は異なります。 2
経緯 2026 年 7 月 1 日までに Azure portal でのMicrosoft Sentinel 行することが発表された。 を廃止し、 Defender portal Source : Planning your move to Microsoft Defender portal for all Microsoft Sentinel customers | Microsoft Community Hub に完全移 3
前提知識: • Defender XDR(MDE/MDO 等) はM365 のサービス で、 1テナントにつき 1つ • Sentinel はAzure のサービスで、 1テナントでも複数リソースを立てられる • Defender のインシデントやログは Sentinel にコネクターで連携できる これまで(~2024年7月) Microsoft Defender XDR のログ・アラートを Azure のSentinel に飛ばして利用する形でした。 Microsoft 365 Microsoft Azure Microsoft Defender XDR Microsoft Sentinel XDR Connecter XDRのログ・ イ ンシデント XDRのログ・インシデント XDRのログ・インシデント XDRのログ・インシデント XDR以外のログ・ イ ンシデント XDR以外のログ・インシデント 自社担当 Source : Sentinel を Microsoft Defender XDR ポータルに統合して一括管理する「 Unified Security Operations Platform 外部ベンダー (MSSP) 」を試してみた – CloudNative Inc. BLOGs 4
統合(2024年8月~2026年6月※予定) Sentinel と Defender ポータルを統合すると、 Defender 側でSentinel が操作でき る ようになった。 Microsoft 365 Microsoft Azure Microsoft Defender XDR Microsoft Sentinel XDR Connecter XDRのログ・ イ ンシデント XDRのログ・インシデント XDRのログ・インシデント XDRのログ・インシデント 統合 XDR以外のログ・インシデント XDR以外のログ・ イ ンシデント XDR以外のログ・インシデント XDR以外のログ・インシデント 自社担当 Source : Sentinel を Microsoft Defender XDR ポータルに統合して一括管理する「 Unified Security Operations Platform 外部ベンダー (MSSP) 」を試してみた – CloudNative Inc. BLOGs 5
Defender ポータルへの統合(2026年7月~) 2026 年 7 月 1 日までに Azure portal でのMicrosoft Sentinel を廃止される。 Microsoft 365 Microsoft Azure Microsoft Defender XDR Microsoft Sentinel XDR Connecter XDRのログ・ イ ンシデント XDRのログ・インシデント XDRのログ・インシデント XDRのログ・インシデント 統合 XDR以外のログ・インシデント XDR以外のログ・ イ ンシデント XDR以外のログ・インシデント XDR以外のログ・インシデント 自社担当 Source : Planning your move to Microsoft Defender portal for all Microsoft Sentinel customers | Microsoft Community Hub MSSP 6
統合に向けて気になる権限周り 統合作業は簡単!ただし、 情報が見えすぎてしまう( Over -privileged ) と 、 必要な情報が見えな い( Monitoring Gaps =ポテンヒット)の 2つの大きな観点 が気になります。 Over -privileged ※画像はAI生成 Monitoring Gaps 7
関連する権限まとめ 3つの権限を使いこなさなければならない。 EntraID ロール サービス • • 用途 Azure ロール Microsoft 365 • 権限の種類 Defender XDR 統合 RBAC グローバル管理者: M365 に 関するすべての操作が可能 セキュリティ管理者: M365 のセキュリティに関するす べての操作が可能( Entra ID 等を含む) Defender に限らず M365 の広 範なアクセス権を付与する ※ただし権限が強すぎるため、管理者以 外には推奨されない場合がある 。 インポートされるロールもある が、基本カスタムロールベース で使うことが多い • • • • Security operations Security posture Authorization and settings Data Operations • Entra ID の強い権限(グロー バル管理者など)を与えず に、セキュリティ運用を完 結させる。 「端末担当」や「メール担 当」など、担当領域ごとに 操作範囲を限定する。 →Sentinel データレイクの権 限もある (今後広がるかも !? • ※ Purview のアラートには、別途 Purview のロールが関連してきます。 参考; Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) -Microsoft Defender XDR | Microsoft Learn Microsoft Azure • Sentinel Contributor • Sentinel Responder • Sentinel Reader • SIEM ( Sentinel )上のログ 分析基盤およびインシデン ト管理機能へのアクセス制 御。 8
M365のセキュリティ管理者でも全部見れるわけではない セキュリティ管理者を持っていると安心していたら、アラートの見落としのリスクあり。画面が 統合されても Sentinel 側のログを見れるわけではない。 Microsoft 365 Microsoft Azure Microsoft Defender XDR Microsoft Sentinel XDR Connecter XDRのインシデント XDRのインシデント XDRのインシデント XDRのインシデント 統合 XDR以外のインシデント XDR以外のインシデント XDR以外のインシデント XDR以外のインシデント ※2026 年1月時点の筆者検証に基づく。 対象ユーザー EntraID ロール セキュリティ管理者 Defender XDR 統合 RBAC なし Azure ロール なし 9
Sentinel権限でもDefenderにしかない情報は見れない 筆者の検証では、 Sentinel の権限だけでは、 Defender のみに存在する情報へアクセスすることは できませんでした。ただし、 Sentinel にDefender の情報を流している場合 はその限りではない。 Microsoft 365 Microsoft Azure Microsoft Defender XDR Microsoft Sentinel XDRのインシデント XDRのインシデント 統合 XDR以外のインシデント XDR以外のインシデント XDR以外のインシデント XDR以外のインシデント ※2026 年1月時点の筆者検証に基づく。 対象ユーザー EntraID ロール なし Defender XDR 統合 RBAC なし Azure ロール Sentinel Contributor 10
Sentinel が複数ある場合の考慮事項 Sentinel が複数ある場合は、 Sentinel 側のリソースで割り当たったもののみ、 で見える。 Defender ポータル Microsoft 365 Microsoft Azure Microsoft Defender XDR Microsoft Sentinel ① 統合 XDR以外のインシデント XDR以外のインシデント XDR以外のインシデント XDR以外のインシデント 統合 XDR以外のインシデント XDR以外のインシデント XDR以外のインシデント XDR以外のインシデント Microsoft Sentinel ② ※2026 年1月時点の筆者検証に基づく。 対象ユーザー EntraID ロール なし Defender XDR 統合 RBAC なし Azure ロール Sentinel ②のContributor 11
Defender XDR 統合 RBAC (URBAC)は便利 EntraID よりも細かくアクセス制御できるので、 が良いケースもある。 Defender のアクセス制御は初期構築以後はこちら 将来、 Sentinel の権限も、 Defender のURBACが使えるようになるらしい! (マイクロソフト社ブログより) 参考: Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) -Microsoft Defender XDR | Microsoft Learn 参考: Managing Microsoft Sentinel and Microsoft Defender XDR permissions in Microsoft Defender portal | Microsoft Community Hub 12
まとめ:Sentinel は裏側で生き続ける (今のところ) • 今出ている情報だと、 Sentinel 自体が消えるわけではない。画面が Defender 側に移るだけ 。 • ただし 、見えないからこそ、コントロールがより難しくなる。 • 統合RBACの進化を横目に見ながら、適切に権限設定しよう! Microsoft 365 Microsoft Azure Microsoft Defender XDR Microsoft Sentinel XDRのインシデント XDR Connecter XDRのインシデント XDR以外のインシデント XDRのインシデント XDRのインシデント 統合 XDR以外のインシデント XDR以外のインシデント XDR以外のインシデント 2026 年7月以降、存在はし続けるけど、 画面として見えなくな る 。 →見えないからこそややこしさ UP 自社担当 13