Microsoft Defender XDR への移行は、統合されたセキュリティオペレーションセンターが効果的に機能するために不可欠な、重要なガバナンスの変更をもたらします。当初は、既存の Azure RBAC の割り当ては引き続き機能し、Sentinel のデータは現在の場所に留まるため、初日から継続性が確保されます。しかし、このプラットフォームは、単一のワークスペースに紐づかないデータスコープのアクセス許可を含む、強力な新機能を提供します。また、ティア化されたデータモデルを導入し、低コストでの長期データ保持と、単一サインオンで最大 100 の顧客テナントにまたがるマルチテナント管理を可能にします。この移行には、従来の Azure RBAC から Unified RBAC (URBAC) への役割とペルソナの進化が含まれます。URBAC が有効になると、アクセス許可の主要なソースとなりますが、URBAC ではまだ完全にサポートされていない自動化ロールやサービスプリンシパルなどの特定のユースケースでは、Azure RBAC が引き続き機能します。URBAC は、データスコープおよびクロスワークスペースのアクセス許可を備えた、より詳細なアプローチを提供し、セキュリティ強化のために行レベルの RBAC をサポートします。セキュリティアナリスト、エンジニア、マネージャーは、この新しいモデル内でのアクセス許可の管理方法に変更が見られます。重要なガバナンスの構成要素は、Sentinel データレイクであり、これは分析ティアのデータをミラーリングし、履歴の脅威ハンティング、コンプライアンス、および調査のための単一の真実のソースを提供します。「ホット」な検出データと「ウォーム/コールド」な調査データを分離することで、コストが最適化され、クエリが簡素化されます。データレイクは、接続されているすべての Sentinel ワークスペース全体での KQL クエリをサポートし、データを移動せずに外部データソースをクエリできます。マネージドセキュリティサービスプロバイダー (MSSP) および大企業にとって、Defender XDR のマルチテナント管理は、統合されたクロステナントビューを提供することで運用を簡素化します。Azure Lighthouse を置き換えるものではありませんが、最大 100 のテナントに対する集中管理システムにより、日常業務が効率化されます。この統合ビューは、複数の環境にわたるインシデント調査、高度なハンティング、およびコンテンツ配布を強化します。この移行は、最新のセキュリティオペレーションのための、より統合され、より能力の高いガバナンスフレームワークへの移行を強調しています。