azure-sentinel
Azure Sentinelのデータコネクタ、分析ルール、UEBA/Fusion、ASIM/KQLジョブなどの開発や、トラブルシューティング、ベストプラクティス、アーキテクチャ設計に関する専門知識を提供するSkillです。
📜 元の英語説明(参考)
Expert knowledge for Azure Sentinel development including troubleshooting, best practices, decision making, architecture & design patterns, limits & quotas, security, configuration, integrations & coding patterns, and deployment. Use when configuring Sentinel data connectors, analytics rules, UEBA/Fusion, ASIM/KQL jobs, or multi-tenant MSSP setups, and other Azure Sentinel related development tasks. Not for Azure Defender For Cloud (use azure-defender-for-cloud), Azure Security (use azure-security), Azure Monitor (use azure-monitor), Azure Network Watcher (use azure-network-watcher).
🇯🇵 日本人クリエイター向け解説
Azure Sentinelのデータコネクタ、分析ルール、UEBA/Fusion、ASIM/KQLジョブなどの開発や、トラブルシューティング、ベストプラクティス、アーキテクチャ設計に関する専門知識を提供するSkillです。
※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。
下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o azure-sentinel.zip https://jpskill.com/download/5771.zip && unzip -o azure-sentinel.zip && rm azure-sentinel.zip$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/5771.zip -OutFile "$d\azure-sentinel.zip"; Expand-Archive "$d\azure-sentinel.zip" -DestinationPath $d -Force; ri "$d\azure-sentinel.zip"完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。
💾 手動でダウンロードしたい(コマンドが難しい人向け)
- 1. 下の青いボタンを押して
azure-sentinel.zipをダウンロード - 2. ZIPファイルをダブルクリックで解凍 →
azure-sentinelフォルダができる - 3. そのフォルダを
C:\Users\あなたの名前\.claude\skills\(Win)または~/.claude/skills/(Mac)へ移動 - 4. Claude Code を再起動
⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。
🎯 このSkillでできること
下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。
📦 インストール方法 (3ステップ)
- 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
- 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
- 3. 展開してできたフォルダを、ホームフォルダの
.claude/skills/に置く- · macOS / Linux:
~/.claude/skills/ - · Windows:
%USERPROFILE%\.claude\skills\
- · macOS / Linux:
Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。
詳しい使い方ガイドを見る →- 最終更新
- 2026-05-17
- 取得日時
- 2026-05-17
- 同梱ファイル
- 1
📖 Skill本文(日本語訳)
※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。
Azure Sentinel スキル
このスキルは、Azure Sentinel に関する専門的なガイダンスを提供します。トラブルシューティング、ベストプラクティス、意思決定、アーキテクチャと設計パターン、制限とクォータ、セキュリティ、構成、統合とコーディングパターン、デプロイメントを網羅しています。ローカルのクイックリファレンスコンテンツとリモートドキュメント取得機能を組み合わせています。
このスキルを使用する方法
エージェントにとって重要: 関連するセクションを見つけるには、以下のカテゴリインデックスを使用してください。行範囲が指定されているカテゴリ (例:
L35-L120) の場合は、指定された行でread_fileを使用してください。ファイルリンクが指定されているカテゴリ (例:[security.md](security.md)) の場合は、リンクされた参照ファイルでread_fileを使用してください。
エージェントにとって重要:
metadata.generated_atが 3 か月以上前の場合は、ユーザーにリポジトリから最新バージョンをプルするように提案してください。mcp_microsoftdocsツールが利用できない場合は、ユーザーにインストールを提案してください: インストールガイド
このスキルは、ドキュメントコンテンツを取得するためにネットワークアクセスを必要とします。
- 推奨: クエリ文字列
from=learn-agent-skillを指定してmcp_microsoftdocs:microsoft_docs_fetchを使用してください。Markdown を返します。 - フォールバック: クエリ文字列
from=learn-agent-skill&accept=text/markdownを指定してfetch_webpageを使用してください。Markdown を返します。
カテゴリインデックス
| カテゴリ | 行 | 説明 |
|---|---|---|
| トラブルシューティング | L37-L50 | Sentinel の取り込み、コネクタ (AWS/S3、Blob、Syslog/CEF、SAP)、KQL/ジョブ、ASIM、MCP ツール、分析ルール (自動無効化)、およびソリューションパッケージングの問題の診断と修正。 |
| ベストプラクティス | L51-L68 | Sentinel ワークスペース操作、データ収集、分析チューニング (ノイズ/誤検知)、ASIM/UEBA の使用、SAP/ゼロトラスト監視、ウォッチリスト、およびソリューションライフサイクル/品質に関するベストプラクティス。 |
| 意思決定 | L69-L108 | Sentinel への SIEM 移行、コストとデータ層の計画、コネクタ/ソリューションの選択、および最適な設計のための Sentinel 機能 (ルール、ジョブ、プレイブック、データレイク) の選択に関するガイダンス。 |
| アーキテクチャと設計パターン | L109-L121 | Sentinel ワークスペース/テナントアーキテクチャ、マルチワークスペース/SAP セットアップ、BCDR 計画、MSSP マルチテナント管理、およびテナント間/ワークスペース間統合パターンの設計。 |
| 制限とクォータ | L122-L132 | サービス制限、クォータ、価格と可用性、データレイクパラメータ、クエリタイムアウト、ウォッチリストサイズ/SLA、および Microsoft Sentinel の無効化または削除の影響とタイミング。 |
| セキュリティ | L133-L147 | Sentinel のセキュリティ構成: プレイブックの認証、RBAC/ロール、アクセス制限、CMK と境界、SAP 認証/パラメータ、MSSP IP 保護、データレジデンシー、および AWS 障害時のアクション。 |
| 構成 | L148-L290 | Microsoft Sentinel の構成と管理: データコネクタ、分析と自動化ルール、UEBA/Fusion、ASIM スキーマ、データレイク/KQL ジョブ、SAP/AWS/GCP 統合、および正常性/監査。 |
| 統合とコーディングパターン | L291-L335 | データソース、脅威インテリジェンス、インシデント、プレイブック、MCP/Logic Apps と Sentinel を統合するための API、コードパターン、およびツール、KQL、GQL、REST、コネクタを介したデータのクエリ/分析。 |
| デプロイメント | L336-L356 | Microsoft Sentinel ソリューションとコネクタ (SAP、Power Platform、Dynamics) のデプロイと管理、リポジトリ/ARM を介した CI/CD、環境サポート、およびソリューションの公開/更新。 |
トラブルシューティング
ベストプラクティス
| トピック | URL |
|---|---|
| Sentinel ワークスペース管理のベストプラクティスの適用 | https://learn.microsoft.com/en-us/azure/sentinel/best-practices |
| Microsoft Sentinel でのデータ収集のベストプラクティスの適用 | https://learn.microsoft.com/en-us/azure/sentinel/best-practices-data |
| ノイズを減らすための Sentinel 分析ルールの微調整 | https://learn.microsoft.com/en-us/azure/sentinel/detection-tuning |
| Sentinel での ASIM ベースの必須ドメインソリューションの使用 | https://learn.microsoft.com/en-us/azure/sentinel/domain-based-essential-solutions |
| Microsoft Sentinel 分析での誤検知の削減 | https://learn.microsoft.com/en-us/azure/sentinel/false-positives |
| Sentinel ルールでのデータ取り込み遅延の処理 | https://learn.microsoft.com/en-us/azure/sentinel/ingestion-delay |
| UEBA データを使用して Sentinel インシデントを調査する | https://learn.microsoft.com/en-us/azure/sentinel/investigate-with-ueba |
| ASIM 正規化を使用するように Sentinel コンテンツを変換する | https://learn.microsoft.com/en-us/azure/sentinel/normalization-modify-content |
| Microsoft Sentinel SOC の運用上のベストプラクティスの適用 | https://learn.microsof |
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開
Azure Sentinel Skill
This skill provides expert guidance for Azure Sentinel. Covers troubleshooting, best practices, decision making, architecture & design patterns, limits & quotas, security, configuration, integrations & coding patterns, and deployment. It combines local quick-reference content with remote documentation fetching capabilities.
How to Use This Skill
IMPORTANT for Agent: Use the Category Index below to locate relevant sections. For categories with line ranges (e.g.,
L35-L120), useread_filewith the specified lines. For categories with file links (e.g.,[security.md](security.md)), useread_fileon the linked reference file
IMPORTANT for Agent: If
metadata.generated_atis more than 3 months old, suggest the user pull the latest version from the repository. Ifmcp_microsoftdocstools are not available, suggest the user install it: Installation Guide
This skill requires network access to fetch documentation content:
- Preferred: Use
mcp_microsoftdocs:microsoft_docs_fetchwith query stringfrom=learn-agent-skill. Returns Markdown. - Fallback: Use
fetch_webpagewith query stringfrom=learn-agent-skill&accept=text/markdown. Returns Markdown.
Category Index
| Category | Lines | Description |
|---|---|---|
| Troubleshooting | L37-L50 | Diagnosing and fixing Sentinel ingestion, connectors (AWS/S3, Blob, Syslog/CEF, SAP), KQL/jobs, ASIM, MCP tool, analytics rules (auto-disabled), and solution packaging issues. |
| Best Practices | L51-L68 | Best practices for Sentinel workspace ops, data collection, analytics tuning (noise/false positives), ASIM/UEBA use, SAP/Zero Trust monitoring, watchlists, and solution lifecycle/quality. |
| Decision Making | L69-L108 | Guidance on SIEM migration to Sentinel, cost and data tier planning, connector/solution selection, and choosing between Sentinel features (rules, jobs, playbooks, data lake) for optimal design. |
| Architecture & Design Patterns | L109-L121 | Designing Sentinel workspace/tenant architectures, multi-workspace/SAP setups, BCDR planning, MSSP multi-tenant management, and cross-tenant/workspace integration patterns. |
| Limits & Quotas | L122-L132 | Service limits, quotas, pricing and availability, data lake parameters, query timeouts, watchlist size/SLA, and implications/timing of disabling or removing Microsoft Sentinel. |
| Security | L133-L147 | Security configuration for Sentinel: auth for playbooks, RBAC/roles, access restrictions, CMK & perimeters, SAP auth/params, MSSP IP protection, data residency, and AWS disruption actions. |
| Configuration | L148-L290 | Configuring and managing Microsoft Sentinel: data connectors, analytics and automation rules, UEBA/Fusion, ASIM schemas, data lake/KQL jobs, SAP/AWS/GCP integrations, and health/auditing. |
| Integrations & Coding Patterns | L291-L335 | APIs, code patterns, and tools for integrating Sentinel with data sources, threat intel, incidents, playbooks, MCP/Logic Apps, and querying/analyzing data via KQL, GQL, REST, and connectors. |
| Deployment | L336-L356 | Deploying and managing Microsoft Sentinel solutions and connectors (SAP, Power Platform, Dynamics), CI/CD via repositories/ARM, environment support, and solution publishing/updates. |
Troubleshooting
Best Practices
Decision Making
Architecture & Design Patterns
Limits & Quotas
| Topic | URL |
|---|---|
| Review Microsoft Sentinel data lake service limits and parameters | https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-lake-service-limits |
| Understand Sentinel MCP pricing, limits, and availability | https://learn.microsoft.com/en-us/azure/sentinel/datalake/sentinel-mcp-billing |
| Understand implications and timing of removing Sentinel | https://learn.microsoft.com/en-us/azure/sentinel/offboard-implications |
| Run Sentinel search jobs with query timeout limits | https://learn.microsoft.com/en-us/azure/sentinel/search-jobs |
| Review Microsoft Sentinel service limits and quotas | https://learn.microsoft.com/en-us/azure/sentinel/sentinel-service-limits |
| Create Microsoft Sentinel watchlists with size limits | https://learn.microsoft.com/en-us/azure/sentinel/watchlists-create |
| Edit Microsoft Sentinel watchlists with ingestion SLA | https://learn.microsoft.com/en-us/azure/sentinel/watchlists-manage |