Microsoft Defender for Endpoint × Sentinel で B2B SOC を組み立てる2026｜中堅企業の検知から対応までの実装ガイド

従業員 100〜500名規模の中堅企業で、「独自のSOC（Security Operations Center）を持ちたいが、人員確保が難しい」という課題が急速に顕在化している。大企業のような24/365 の自前監視は現実的ではなく、Microsoft 365 E5 に含まれる Defender for Endpoint + Sentinel を核にして、外部MDR（Managed Detection and Response）と組み合わせた "共同運用型SOC" が現実解になりつつある。

本記事では、中堅企業の情シス・セキュリティ責任者向けに、Defender + Sentinel を前提にしたSOC設計、検知ルールの優先順位、インシデント対応プレイブック、MDRパートナー選定までを整理した。

E5 ライセンスを持っている、または導入検討中の企業が対象だ。

中堅企業が自前SOCを持たない現実

大企業型の「自前SOC」は、以下の前提が成り立つ場合にのみ現実的だ：

専任セキュリティアナリスト 5〜10名を採用・維持できる
年間数千万円規模のセキュリティ人件費を許容できる
24/365 シフト勤務を組織として回せる

中堅企業では大半がこれを満たせない。そこで現実的な選択肢は3つに絞られる。

選択肢	コスト	検知品質	運用負荷
完全自前SOC	超高	高	高
Defender + Sentinel + MDR（共同運用）	中	中〜高	低
完全MDR委託	高	中〜高	最低
何もしない	低	なし	ゼロ

中堅企業の最適解は 真ん中（共同運用型）。「検知と初動は Defender + Sentinel + MDR、意思決定は社内」というハイブリッドモデルだ。

セクションまとめ： 中堅企業は完全自前SOCも完全MDRも極端。Microsoft 365 基盤 + MDR の共同運用が費用対効果の最適解。

Defender + Sentinel で揃う機能マップ

Microsoft Defender for Endpoint（EDR）

エンドポイントの プロセス監視・挙動検知・ファイル解析
自動隔離・プロセス停止・リモート調査
脆弱性管理（TVM）で端末のソフトウェア脆弱性可視化

Microsoft Defender for Office 365

Exchange Online / Teams のメール/チャット内リンク・添付ファイル検査
フィッシング検知・BEC（ビジネスメール詐欺）対策
セーフリンク / セーフ添付

Microsoft Defender for Cloud Apps

SaaS 利用状況の可視化（Shadow IT発見）
異常なファイル共有・ダウンロードの検知

Microsoft Sentinel（SIEM/SOAR）

複数データソースの統合（Defender群 + Entra ID + ネットワーク機器 + サードパーティ）
ルールベース検知 + UEBA（ユーザー/エンティティ振る舞い分析）
プレイブック（自動化されたインシデント対応）

Microsoft Defender XDR（統合コンソール）

上記 Defender 群の統合インシデント管理
エンドポイント・メール・ID・SaaSを横断した相関分析

セクションまとめ： Microsoft 365 E5 を持てば、EDR・メール・SaaS・SIEM・SOAR・統合XDRが揃う。足りないのは「それを運用する人員」。

データソースの接続優先順位

Sentinel に接続するデータソースは順序が重要。全部一度に繋ぐとアラート洪水になる。

Day 1（最優先）

Entra ID サインインログ：認証周りの異常は最大のシグナル
Defender for Endpoint：エンドポイントの挙動
Exchange Online メッセージトレース：フィッシング経由の侵入

1週間以内

Microsoft Defender for Office 365 アラート：メール経由攻撃の統合ビュー
Microsoft Defender for Cloud Apps：Shadow IT・SaaS異常
Windows Defender Firewall ログ：L3通信の異常

1ヶ月以内

Azure アクティビティログ：クラウドインフラ操作
ファイアウォール（FortiGate / Palo Alto 等）：境界ログ
VPNログ：リモートアクセス状況
業務アプリ認証ログ：業務システム利用状況

3ヶ月以内（UEBA 本格稼働用）

Microsoft Intune コンプライアンス：端末準拠状態
AD DS イベントログ（オンプレ併用時）
Privileged Access Management（PIM）ログ

セクションまとめ： 接続は4フェーズに分けて段階的に。一気に全部繋ぐとアラート洪水で運用が破綻する。

検知ルールの初期設定（Defender / Sentinel）

Defender for Endpoint（推奨ルール）

攻撃面の削減ルール（ASR）：Office マクロからのプロセス生成ブロック等
SmartScreen / ネットワーク保護：悪質サイトへの接続遮断
自動調査・修復：低影響のインシデントを自動解決

Sentinel（標準アナリティクスルール）

Microsoft が公式提供する検知ルールテンプレートから、最優先で有効化すべき20ルール：

不可能な移動（Impossible Travel）
管理者権限昇格
新規 VPN 接続元の国外 IP
短時間の大量ファイル削除
ブルートフォース攻撃（パスワードスプレー含む）
疑わしい PowerShell コマンド
シェル実行（bash / cmd / PowerShell）の頻度異常
ログインの時間帯異常
サインイン失敗の連続
マルウェア署名ヒット直後のプロセス生成
RDP 経由の多拠点ログイン
機密ファイル（Purview ラベル）の大量ダウンロード
Entra ID 管理者ロールの一時付与の直後の大量操作
Exchange メール転送ルールの不審な作成
マクロ付き Office 文書の開封 + プロセス生成
既知 IoC（NIST NVD リスト）ヒット
SharePoint / OneDrive のパブリック共有
Conditional Access ポリシーのバイパス試行
グループポリシーの改ざん
アンチマルウェア除外リストの追加

セクションまとめ： Defender の ASR + Sentinel の20ルールが初期検知の土台。オフザシェルフで十分な精度が出る。

Defender + Sentinel の共同運用型SOC設計はGXOにご相談ください

データソース接続、検知ルール設計、プレイブック自動化、MDR パートナー選定まで一貫支援します。「E5 を契約しているが活用できていない」という中堅企業の課題を、具体的なSOC運用設計に落とし込みます。

SOC構築の無料相談を予約する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

インシデント対応プレイブック

Sentinel のプレイブック（Logic Apps ベース）で自動化すべき対応パターンは以下。

プレイブック1：高リスクサインインの自動ブロック

トリガー：Entra ID「高リスクサインイン」検知
自動アクション：対象ユーザーにMFA再認証要求 → 成功しなければ一時ブロック
通知：情シスに Teams メッセージ

プレイブック2：ランサムウェア兆候の端末隔離

トリガー：Defender for Endpoint「Ransomware behavior detected」
自動アクション：端末をネットワークから即隔離、バックアップ保存状態を Purview で確認
通知：情シス + CISO に Slack + メール

プレイブック3：管理者ロール付与の自動監視

トリガー：Entra ID 管理者ロール付与イベント
自動アクション：付与者と対象者に確認メッセージ、30分以内に承認がなければ自動取り消し

プレイブック4：外部共有の監査

トリガー：SharePoint / OneDrive の外部共有
自動アクション：共有者にリマインド通知、Purview ラベルで機密分類を再評価

プレイブック5：失敗ログインの連続検知

トリガー：同一アカウントの 10 回失敗
自動アクション：アカウントの一時ロック、サインインログを情シスに送信

実装のベストプラクティス：

段階導入：まずアラートのみ、運用慣れてから自動アクションを有効化
誤検知への対応：復旧プレイブックもセットで設計
従業員コミュニケーション：自動アクションで業務影響が出るため、事前周知必須

セクションまとめ： 5つのプレイブックで中堅企業のインシデント対応の80%をカバー。段階導入と誤検知復旧セットが成功のカギ。

MDRパートナーの選定基準

共同運用型SOC の肝は、信頼できる MDR パートナーの選定だ。以下4軸で比較する。

評価軸	確認ポイント
Microsoft スタック経験	Defender / Sentinel 公式 MSP パートナー認定、案件数
日本語対応	24/365 の日本語アナリスト対応、インシデントレポートの言語
対応速度（SLA）	High 優先度の平均初動時間、エスカレーションフロー
価格透明性	従量課金 vs サブスクリプション、追加料金のルール

よくある選定失敗：

アラート発報だけで対応しない MDR を選んでしまう（「通知するだけ MSP」）
Microsoft スタック経験不足で Sentinel クエリが書けない
日本語対応が日中のみで、深夜のインシデント対応ができない

中堅企業向けの現実解：

Microsoft パートナー経由 で Sentinel 運用に慣れた国内MDRを選ぶ
初期契約は 3〜6ヶ月の短期で運用品質を見極め、長期契約に切り替える

セクションまとめ： MDR選定は Microsoft 経験・日本語対応・対応速度・価格の4軸で。短期契約で品質を見極めてから長期化する。

構築フェーズ別チェックリスト

フェーズ1：ライセンス・接続確認

[ ] Microsoft 365 E5 が重要部門の従業員に割り当てられている
[ ] Sentinel ワークスペースが Azure 上で作成済み
[ ] Defender for Endpoint の端末オンボーディングが完了

フェーズ2：データソース接続

[ ] Day 1 優先の3データソース（Entra / Defender / Exchange）が接続済み
[ ] データ量の月次見込みから Sentinel コストを試算

フェーズ3：検知ルール有効化

[ ] Defender ASR ルールを設定
[ ] Sentinel の標準テンプレート20ルールを有効化
[ ] 誤検知・抑止ルールの初期チューニング

フェーズ4：プレイブック実装

[ ] 高リスクサインイン自動ブロック
[ ] ランサムウェア端末隔離
[ ] 管理者ロール自動監視
[ ] 従業員向け周知メッセージ

フェーズ5：MDRパートナー連携

[ ] 候補MSPの Microsoft 認定ステータス確認
[ ] 3〜6ヶ月の短期契約で品質検証
[ ] エスカレーション手順の社内合意

FAQ

Q1. Sentinel はデータ量で課金されると聞きますが、コストは読めますか？

月間の取り込みデータ量 × 単価の従量課金です。Commitment Tier（100GB/日以上の契約）で割引が効きます。事前にPoC 1ヶ月で実データ量を計測して本契約の単価を決めるのが基本です。

Q2. Defender for Endpoint は Plan 1 / Plan 2 どちらを選ぶべき？

中堅企業は Plan 2 推奨です。Plan 1 は EDR の基本機能のみ、自動調査・修復や脅威ハンティングは Plan 2 が必要です。E5 に Plan 2 が含まれるので、E5 契約なら追加コストなし。

Q3. Sentinel と他社SIEM（Splunk / Datadog 等）の併用は意味がありますか？

併用例はあります。Sentinel は Microsoft スタックの深い可視化、Splunk は全社横断の監査ログ集約 のような役割分担。ただし運用負荷・コストが増えるため、まず Sentinel 単体で運用を確立してから検討。

Q4. 自社で Sentinel クエリ（KQL）を書ける人材がいません。どうすれば？

MDR パートナー経由の運用委託が現実的です。自社ではダッシュボードの把握と意思決定に専念し、クエリ作成・チューニングは外部に任せる形で十分な価値が出ます。

Q5. UEBA（振る舞い分析）は必須ですか？

すぐには必須ではありません。ルールベース検知 3〜6ヶ月で運用が安定した後、UEBA を有効化する順序が現実的です。UEBA はデータ蓄積が必要で、開始直後はノイズが多くなりがち。

Q6. サイバー保険の引受条件として Defender + Sentinel は有効ですか？

多くの保険会社が「EDR + SIEM + MFA + バックアップ」を引受条件に挙げており、Defender + Sentinel は主要な認定対象です。保険料の軽減効果も期待できます。

参考情報

Microsoft Learn「Microsoft Defender for Endpoint」
Microsoft Learn「Microsoft Sentinel」
MITRE ATT&CK Framework
NIST「SP 800-61 Computer Security Incident Handling Guide」
IPA「情報セキュリティ10大脅威 2026」

中堅企業の共同運用型SOC構築はGXOにご相談ください

「Microsoft 365 E5 を契約したが Sentinel が活用できていない」「MDRパートナーの選定基準が分からない」——中堅企業の情シス・セキュリティ責任者向けに、実装から運用設計まで具体的に支援します。オンラインを中心に全国対応可能です。